Defenderse de un ataque es tan difícil que algunos creen que hay que ser más ofensivos.
Es probable que a las burocracias militares de todo el mundo tener capacidad ofensiva en una ciberguerra les resulte cada vez más atractivo, sugiere el director del departamento de investigación de ordenadores de la Academia Nacional de Ciencias.
“Las operaciones y la cibertecnología de carácter ofensivo son en sí mismas más fuertes que las de carácter defensivo, es decir, que el ataque gana a la defensa en el ciberespacio en la mayoría de los casos y dándole el tiempo suficiente”, afirma Herbert Lin, científico jefe de la Junta de Informática y Telecomunicaciones del Consejo Nacional de Investigación. Lin habló la semana pasada en un taller del Instituto de Tecnología de Massachusetts (MIT en sus siglas en inglés) sobre la dimensión cibernética de las relaciones internacionales, que está creciendo a una velocidad considerable.
Los ciberataques podrían perjudicar o anular redes militares o infraestructuras civiles como las redes eléctricas, o podrían conllevar el robo de secretos militares e industriales. Los expertos avisan de que dichos ataques podrían tener lugar a la velocidad de la luz y ser difíciles de rastrear, sobre todo si los datos se desvían por ordenadores en muchos países distintos.
“Como no sabemos cómo hacer una buena defensa, no se puede impedir la dominación del ataque y no se puede hacer buena disuasión porque tomar represalias de forma eficaz es muy difícil. Así que si quieres aprovechar el ciberespacio, hay que hacer operaciones ofensivas con objetivos no defensivos”, explica Lin. “Me gustaría estar equivocado al respecto, pero me temo que es hacia donde vamos”.
Lin contribuyó a un informe de 2009 de la Academia Nacional que sostenía que la situación requiere iniciar conversaciones con otros países para establecer las reglas del juego, abrir el debate en el Congreso sobre la estrategia a seguir por Estados Unidos y desarrollar mejores herramientas para detectar y medir las amenazas. Un informe posterior hablaba del complicado paisaje de la disuasión.
El mes pasado, el General Keith Alexander, jefe de la Agencia Nacional de Seguridad y el Cibercomando de EE.UU, afirmó que el ejército de Estados Unidos necesita mejores capacidades no solo para defenderse de los ciberataques, sino para tener la posibilidad de lanzarlos. En un discurso en el Simposio sobre el Espacio y el Ciberespacio del Comando Estratégico de EE.UU. en Omaha, Nebraska, ante un público compuesto por 1.500 agentes de contratación militares y de defensa, afirmó que el ejército de EE.UU. debería tener el potencial para atacar a otros países en el ciberespacio. “No podemos estar solo a la defensiva”, añadió Alexander.
Señaló que, en general, Estados Unidos tenía que luchar contra países que habían llevado a cabo ciberespionaje sobre empresas y contratistas de defensa de Estados Unidos, como sugieren muchos expertos que es el caso de China y Rusia. (Technology Review describió el intricado panorama del cibercrimen, el espionaje y la guerra en este informe del año pasado).
Un motivo subyacente de la escalada de la ciberguerra es que es difícil identificar amenazas emergentes y ponerlas en perspectiva. Un esfuerzo interdisciplinario del MIT está construyendo un panel con ciberdatos que cruza información sobre ciberseguridad y crimen con datos políticos, económicos y demográficos para permitir a los usuarios hallar patrones y correlaciones.
Cualquier persona que usara el panel podría encontrar, por ejemplo, el número de virus de ordenador detectados en función del número de usuarios de Internet de un país, o ver la relación de un cibercrimen con el PIB de distintos países. El panel se puede usar de forma pública y aún no es necesaria una contraseña para acceder a él.
Ese esfuerzo por hacer una mayor recopilación de datos se repite en una llamada de los profesores de la facultad de derecho de la Universidad de Harvard (EE.UU.) Jonathan Zittrain y John Palfrey para que se lleven a cabo más investigaciones para producir mejores datos respecto a Internet, como por ejemplo las actividades dentro de las redes sociales relacionadas con el cibercrimen.
En el taller del MIT de la semana pasada, David Clark, informático del MIT que fue el director de arquitectura de protocolos de Internet en la década de 1980, afirmó que Internet tendrá que diseñarse tanto para resistir a los ataques como para dificultar que regímenes individuales lo configuren a su gusto.
“¿Que si lo diseñamos para resistir a los ataques y el control? La respuesta es no”, según Clark. “Pensamos en la red como resistente a los fallos y eso es algo distinto. Ahora tenemos que pensar en una disciplina de diseños relevante para el control”.
Y Clark añadió: “El futuro no se centra en el rendimiento, sino en el control y el poder. No estamos preparados, como especialistas en telecomunicaciones, para evaluar las cosas desde esa perspectiva”.