Tras citar la existencia de una "creciente amenaza de ataques cibernéticos", Obama afirmó el pasado martes haber emitido una orden ejecutiva con la que reforzar las defensas computarizadas de Estados Unidos.

"Sabemos que los hackers roban las identidades de las personas y se infiltran en los correos electrónicos privados. Sabemos que hay países y empresas extranjeros que intentan arrebatarnos nuestros secretos corporativos. En la actualidad, nuestros enemigos también están intentando sabotear nuestra red eléctrica, las instituciones financieras y los sistemas de control aéreo", señaló Obama durante su discurso sobre el Estado de la Unión.

La iniciativa se presenta en respuesta a un aparente aumento de los ataques a organismos gubernamentales e infraestructuras (ver "Redes eléctricas y plantas de agua, próximo objetivo hacker").

El número de ataques denunciados ante el equipo de respuesta de seguridad cibernética del Departamento de Seguridad Nacional de EE.UU. creció un 52 por ciento hasta llegar a 198 en 2012, según señaló el equipo recientemente. También hay que tener en cuenta la reciente publicación de ataques cometidos contra medios de comunicación como el New York Times, el Wall Street Journal y el Washington Post.

A pesar de la amenaza descrita por Obama, el Congreso de EE.UU. no ha aprobado ninguna ley. En los últimos años se han redactado cerca de 80 proyectos de ley que incluían algún componente de seguridad informática, aunque ninguno se ha convertido en ley. 

Una de las mayores dificultades es que gran parte de la infraestructura de tecnología de la información en el país pertenece a empresas privadas y está controlada por ellas. Por tanto, no resulta fácil especificar qué constituye una seguridad adecuada y saber qué tipo de ataques están surgiendo en los diferentes sectores.

La orden ejecutiva está destinada a llenar el vacío legislativo mediante la mejora de la cooperación entre los organismos gubernamentales y las empresas. Se aplica a un subconjunto de industrias, entre ellas los sectores de las comunicaciones, la energía, los financieros y los químicos, considerados de importancia crítica para la seguridad nacional, la economía y la salud y seguridad públicas.

La orden requiere que el Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) establezca un programa voluntario en el que los operadores de infraestructuras críticas adopten prácticas de seguridad cibernética diseñadas por el Instituto Nacional de Estándares y Tecnología, junto con las empresas de seguridad. Después, el DHS tiene la intención de trabajar con otras agencias y grupos de la industria para implementar dichas prácticas. La orden también pide que se analice cómo mejorar la comunicación entre el Gobierno federal y las empresas privadas.

La orden ejecutiva establece una serie de pasos clave, entre ellos una descripción de las relaciones que se establezcan entre las agencias en un plazo de 120 días, el desarrollo de una capacidad de conocimiento situacional de las infraestructuras críticas dentro de 240 días, y un plan de investigación y desarrollo dentro de dos años.

Obama indicó que aún hacen falta leyes que exijan una mayor protección. "El Congreso también debe actuar, mediante la aprobación de leyes que den a nuestro Gobierno una mayor capacidad para proteger nuestras redes y disuadir ataques", señaló durante su intervención. "Esto es algo que deberíamos conseguir mediante una colaboración bipartidista".

Sin embargo, no mencionó la cuestión de las contramedidas, o armas cibernéticas, que al parecer ya están siendo utilizadas por agencias gubernamentales y contratistas.