Se ha hablado mucho últimamente sobre la amenaza que suponen los ataques cibernéticos para la infraestructura nacional de Estados Unidos, pero la nueva orden ejecutiva del presidente Obama, enfocada en los estándares voluntarios y en compartir información, no tiene muchas probabilidades de otorgar demasiada protección. La orden ejecutiva requiere poner en marcha durante los próximos meses y de aquí a dos años nuevos planes de intercambio de información, de establecimiento de normas y de I+D.

Los ataques a los organismos e infraestructura del Gobierno aparentemente van en aumento. El porcentaje de violaciones reportadas al equipo de respuesta de ciberseguridad del Departamento de Seguridad Nacional de EE.UU. creció un 52 por ciento y alcanzó los 198 ataques en 2012 (ver "Redes eléctricas y plantas de agua, próximo objetivo hacker"). Mientras tanto, la escritura de malware se ha convertido en una gran industria, gracias al apoyo de Gobiernos y contratistas de defensa, así como de criminales. El presidente Obama ha denominado las ciberamenazas como "uno de los más graves desafíos de seguridad económica y nacional" a los que se enfrenta el país.

La orden ejecutiva, anunciada por Obama durante el Estado de la Unión, no obliga a las empresas a adoptar medidas que protejan infraestructuras tales como la red eléctrica. Ravi Sandhu, director ejecutivo del Instituto para la Seguridad Cibernética en la Universidad de Texas en San Antonio (EE.UU.), señala que esto limita seriamente su valor. "Da la impresión de que la estrategia anima a seguir intentando lo mismo otra vez, para ver si quizás esta vez se logra tener éxito, o a retrasar la solución del problema para que se convierta en un problema ajeno", señala. "No veo muchas posibilidades de éxito significativo. La ciberseguridad de las infraestructuras de importancia crítica debería ser una prioridad para todos los países".

Entre otras cosas, la Orden Ejecutiva para la Mejora de la Ciberseguridad de las Infraestructuras Críticas pide al Instituto Nacional de Estándares y Tecnología que cree un marco de seguridad que las empresas privadas que operan infraestructuras críticas pudieran seguir de forma voluntaria.

Stewart Baker, consultor y exconsejero general de la Agencia de Seguridad Nacional, así como jefe de política del Departamento de Seguridad Nacional durante parte de la segunda administración Bush, afirma que se trata de un buen comienzo, pero que será propenso a verse influenciado por los 'lobbies'. Definir el marco podría ser "tan difícil debido a la corrección política, el temor a la imposición de costosas cargas y los requisitos de procedimiento que podría tardar muchos años en completarse, y para ese entonces todas las medidas de seguridad estarán anticuadas, lo que no nos dejará más protegidos que antes", asegura.

Gran parte de la infraestructura de tecnología de la información del país es propiedad de empresas privadas, por lo que los esfuerzos de esas empresas son cruciales para la seguridad nacional. Sin embargo, aunque la orden aumenta el modo en que las agencias federales comparten información no clasificada con las empresas, no requiere que las empresas compartan su propia información sobre ataques ni sus datos de inteligencia con el Gobierno, aunque en la práctica muchas empresas ya lo hacen.

Un proyecto de ley aprobado por la Cámara de EE.UU. el año pasado fue reintroducido esta semana, conocido como la Ley de Intercambio y Protección de Inteligencia Cibernética (CISPA, por sus siglas en inglés), obligaría a las empresas a compartir más información, pero ha sido atacada por grupos de privacidad y libertades civiles, que aseguran que alentaría a las empresas a entregar datos de Internet demasiado personales a los organismos gubernamentales y de seguridad. La Unión Americana de Libertades Civiles elogió la orden ejecutiva y criticó la iniciativa CISPA, lo que sugiere que las preocupaciones sobre la privacidad fueron sustanciales. Obama tomó una posición similar el año pasado cuando se opuso al proyecto de ley CISPA. Fue uno de los cerca de 80 proyectos de ley relacionados con la ciberseguridad en los últimos años, y ninguno de ellos se ha convertido en ley.

Sean cuales sean los estándares que surjan, el hecho de que no sean voluntarios no es un defecto mortal, señala Baker. Las empresas que no cumplan con ellos podrían enfrentarse a una desventaja competitiva o de relaciones públicas, o un mayor riesgo de litigio, afirma: "Seguir los estándares del Gobierno es una buena manera de rebatir las alegaciones de negligencia". Una de las ventajas de la orden es que requiere que el Gobierno actúe de forma clara mediante un intercambio de información más transparente por parte de las agencias. Muchas agencias tiene proyectos en curso de investigación y desarrollo de ciberseguridad, y parte de este trabajo es redundante o se ve dificultado por una falta de cooperación, señala Radu Sion, científico informático de la Universidad de Stony Brook y líder en investigación de seguridad de computación en nube. "La oportunidad de finalmente sincronizar los esfuerzos federales... así como los elementos individuales propuestos puede tener un impacto significativo", indica.

En la orden del presidente no se habla del esfuerzo paralelo del Gobierno federal por desarrollar capacidades de armamento cibernético ofensivo, algo que muchos consideran un modo de prevención de ataques más eficaz frente a simplemente aumentar las defensas, al menos cuando el atacante está patrocinado por el estado.