El Gobierno de EE.UU. asegura que debe controlar la tecnología de Internet más estrechamente para poder protegerse ante ciberataques.
Si bien es cierto que el Departamento de Defensa de Estados Unidos financió las investigaciones que condujeron a la creación de Internet, fue la innovación espontánea y libre la que creó el conjunto de tecnología privada que conforma lo que es Internet en la actualidad. Ahora el gobierno estadounidense está intentando recuperar algo de control, mientras se adapta a una era en la que los ciberataques contra empresas y agencias gubernamentales estadounidenses son algo habitual.
En la conferencia de seguridad informática RSA celebrada la semana pasada, representantes de la Casa Blanca, el Departamento de Defensa (DoD, por sus siglas en inglés) y la Agencia de Seguridad Nacional (NSA) afirmaron que para salvaguardar los intereses de Estados Unidos debían adoptar un papel más activo en el gobierno de lo que ha sido un recurso puramente comercial y civil. Pero a algunos expertos les preocupa que la influencia cada vez mayor de organizaciones militares y de defensa sobre el manejo y desarrollo futuro de Internet comprometa la libertad que la ha convertido en un éxito.
El DoD está obligado a reducir su presupuesto en medio billón de dólares a lo largo de la próxima década, pero el gasto en ciberdefensa aumentará, como explicó el secretario adjunto de defensa Ashton Carter en una de las ponencias de la conferencia. “Los barcos, los aviones, las fuerzas terrestres y muchas otras cosas sufrirán los recortes, pero no la ciberdefensa”, afirmó. “La inversión se encuentra a un nivel de varios miles de millones de dólares [y] seguimos aumentándola”.
Otros comentarios hechos por compañeros de Carter a lo largo del día dejaron claro que este dinero no se usará solo para reforzar los sistemas del gobierno. La NSA y el DoD pretenden dar forma al modo en que las empresas privadas crean y usan infraestructura para Internet y que las estas les ayuden a responder más activamente para detectar y limpiar después de que se produzca un ataque.
“Nuestros sistemas dependen de productos de seguridad e infraestructura que provienen del sector privado”, afirmó Debora Plunkett, directora de la Junta de Garantía de Información de la NSA, que supervisa la ciberseguridad de todos los sistemas de seguridad nacionales. Explicó que la NSA quería animar a las empresas privadas a que automatizaran las tareas básicas, tediosas, manuales, y a menudo descuidadas, de asegurar las redes informáticas. “Necesitamos la ayuda de la industria”, enfatizó. “Estamos empleando demasiado tiempo en limpieza de las redes: fragmentos que faltan, contraseñas débiles, vulnerabilidades conocidas”.
La clase de automatización que a Plunkett le gustaría ver en acción cambiaría significativamente el funcionamiento de la infraestructura de Internet. Debería ser posible, según Plunkett, que una empresa o agencia diera instrucciones inmediatas a partes del hardware de una red para que cortara las conexiones o aislase sistemas informáticos cuando se produce un ataque, algo que va en contra de la tradición de que el hardware de Internet es independiente y difícil de someter a un control central. Nicira, una start-up que cuenta con muchísima financiación, lanzó hace poco una tecnología que podría lograr algo de eso, y se sabe que está trabajando con agencias de inteligencia de Estados Unidos.
Plunkett también explicó que espera que la NSA sea capaz de desarrollar y fomentar el uso de tecnologías que hagan los aparatos móviles más seguros tanto dentro como fuera de la Administración. “Una de mis prioridades es que se creen teléfonos inteligentes y tabletas seguros”, afirmó. A pesar de que los departamentos del Gobierno están cambiando sus BlackBerrys por teléfonos inteligentes con software de Apple o Google -igual que numerosas empresas del sector privado-, estos se consideran aparatos con baja seguridad que pueden convertirse en puntos débiles que permiten la entrada de atacantes.
Richard Hale, director adjunto de comunicación de ciberseguridad en el Departamento de Defensa afirmó que su área había empezado a compartir información clasificada sobre ciberdefensa con 36 empresas industriales consideradas vitales. A cambio, se espera que estas empresas compartan información sobre cualquier ataque que sufran.
Junto con Hale y Plunkett habló también Howard Schmidt, de la administración de Obama, quien afirmó que los días de Internet desarrollándose orgánicamente y sin un mandato centralizado para añadir canales de seguridad o de control tenían que llegar a su fin. “No hagamos como solíamos: dejar que sucedan las cosas y luego arreglar los problemas”, afirmó. “Tenemos que cambiar eso, hacer que a quien intente entrar en nuestros sistemas le cueste. Si no lo hacemos, lo sufriremos todos”.
La administración de Obama ha puesto sobre la mesa medidas legislativas que darían al Departamento de Seguridad Nacional poderes para hacer una vigilancia activa de los sistemas de empresas que operan infraestructuras 'clave'; y agentes de la Casa Blanca y del Departamento de Seguridad Nacional ya han puesto en marcha un programa de supervisión de las empresas encargadas de la red eléctrica nacional.
Y algunos políticos y miembros del Gobierno empiezan a pedir que el DoD y la NSA tenga un papel más importante. El senador John McCain (senador republicano por Arizona) afirmó ante el Congreso este mes (declaración completa) que solo la NSA y el Cibercomando de EE.UU., ambas organizaciones dentro del DoD dirigidas por el General Keith Alexander, pueden proteger a EE.UU.
Michael Hayden, antiguo director tanto de la NSA como de la CIA afirmó que había mucha gente de acuerdo con McCain en que los militares, y más en concreto la NSA, deberían estar al mando. “La [NSA] representa una capacidad demasiado grande como para dejarla al margen en este asunto”. Al igual que McCain, afirmó que la NSA debería hacer una supervisión activa de los sistemas de empresas que operan infraestructuras clave e intervenir si detectase un ataque.
Ron Diebert, director del Centro Canadiense para Estudios de Seguridad Global y director del equipo que descubrió el ciberataque GhostNet sobre el Dalai Lama y varias embajadas en China en 2009, mostró su preocupación por la influencia cada vez mayor del DoD. Introducir un control más centralizado de la infraestructura de Internet mandaría el mensaje equivocado a países como Rusia y Siria, que ya están usando ciberataques o censura sobre sus propios ciudadanos, afirmó, añadiendo que Internet podría acabar siendo fragmentada y cerrada en vez de abierta..
Hayden se mostró de acuerdo en que existe un riesgo de que “los principios fundamentales de Internet” sufran, pero afirmó que esperar a que sectores no militares del Gobierno desarrollen los medios necesarios es demasiado arriesgado. “Una renuencia a enfrentarse con estos temas dejará el campo abierto para otros que pretenden hacernos daño. Pasará algo catastrófico y entonces sobreactuaremos”, afirmó.
Jim Dempsey, vicepresidente de políticas públicas en el think tank 'Centro para la Democracia y la Tecnología', afirmó que militarizar Internet sería un error. “¿Cómo hemos llegado a este punto en el que los recursos más eficaces para asegurar la importancia de Internet para nuestra sociedad están en manos de una agencia militar de alto secreto? Afirmar que solo existe un camino pervertirá nuestra tecnología y nuestra sociedad”, concluyó Dempsey.