La guerra equivocada: la insistencia en aplicar metáforas de la guerra fría a la ciberseguridad está fuera de lugar y es contraproducente

Para cada gran problema de política, suele haber un paralelo que se puede encontrar en el pasado. Como dijo una vez Mark Twain, la historia no se repite, pero rima.





Sin embargo, el problema para los responsables de la formulación de políticas es identificar qué tono es exactamente lo que están escuchando. Si bien la aplicación de lecciones del pasado puede ser una herramienta analítica útil, con frecuencia descubrimos viejas analogías que pueden no ser las adecuadas para el nuevo problema que enfrentamos. De hecho, la mayoría de las veces recurrimos a las canciones que mejor conocemos, las que tarareamos en nuestra juventud, cuando otras pueden ser más adecuadas. Por ejemplo, los oficiales superiores de la Fuerza Aérea durante la guerra de Vietnam se aferraron a una campaña de bombardeo estratégico más adecuada a sus primeras experiencias bombardeando la Alemania nazi que a una insurgencia del Tercer Mundo, mientras que, a su vez, el debate reciente sobre Afganistán sigue resonando en las preocupaciones de los baby boomers sobre si una guerra del siglo XXI sería el Vietnam de Obama.



Hoy en día, los creadores de éxitos de Washington podrían estar cometiendo un error similar en lo que respecta a la seguridad cibernética, tratando de meter un nuevo problema en el marco histórico equivocado. Los nuevos ritmos del crimen, el espionaje y el arte de gobernar en línea son desconocidos. Entonces, tal vez no sea sorprendente, están recurriendo a un viejo paralelo en el que pasaron la mayor parte de su vida profesional trabajando: la Guerra Fría.



Guerra fría, guerra equivocada



Una y otra vez en los círculos políticos, la dinámica, las amenazas y las respuestas de la ciberseguridad se comparan sistemáticamente con la tecnología de las armas nucleares y el enfrentamiento entre los Estados Unidos y la Unión Soviética. El exasesor de seguridad nacional Brent Scowcroft, por ejemplo, describe la Guerra Fría y la ciberseguridad como inquietantemente similares, mientras que el periodista David Ignatius resumió sus reuniones con los principales funcionarios del Pentágono en un artículo de 2010 titulado Sentimiento de la guerra fría sobre la ciberseguridad.



Incluso la empresa de seguridad de redes McAfee es susceptible a este tipo de comentarios. Creemos que estamos viendo algo parecido a una guerra fría cibernética, dice el vicepresidente de McAfee, Dmitri Alperovitch. Esta actitud culminó, quizás, con lo que se reporta en la versión clasificada de la reciente estrategia cibernética del Departamento de Defensa, que anunció una nueva doctrina de equivalencia, argumentando que la acción dañina dentro del dominio cibernético puede encontrarse con una respuesta paralela en otro dominio. Cambie las palabras convencional y nuclear por cibernético y cinético, y la nueva doctrina se revela esencialmente como la vieja doctrina de disuasión de la década de 1960 de respuesta flexible, donde un ataque convencional podría enfrentarse con una respuesta convencional y / o nuclear. El Comando Cibernético del Pentágono y el Departamento del Tercer Ejército del Ejército de Liberación Popular de Beijing reemplazan ahora al antiguo Comando Aéreo Estratégico y las Fuerzas de Cohetes Estratégicos del Ejército Rojo.



El problema es que la canción no es la misma y el ajuste histórico a la Guerra Fría en realidad no es tan nítido. El ciberespacio es un dominio creado por el hombre del comercio tecnológico y la comunicación, no un tablero de ajedrez geográfico de alianzas en competencia. La Guerra Fría fue una competencia principalmente entre dos superpotencias, con liderazgo político y toma de decisiones claramente ubicados en Washington y Moscú, cada uno el centro de una red de tratados aliados y estados clientes, y una zona del Tercer Mundo por la que competían. Por el contrario, Internet no es una red de gobiernos, sino las actividades digitales de 2 mil millones de usuarios, que viajan a través de una red propiedad de una serie de empresas, en su mayoría 5.039 proveedores de servicios de Internet, que dependen casi exclusivamente de acuerdos de apretón de manos para transportar datos desde de un lado del planeta al otro, según Bill Woodcock y Vijay Adhikari en su artículo Encuesta de características de los acuerdos de interconexión de operadores de Internet de Packet Clearing House. La Guerra Fría también fue una guerra de ideas entre dos ideologías políticas en competencia. La mayor parte de la infraestructura de Internet está en manos de estos ISP y redes de operadores, al igual que la experiencia para asegurar esa infraestructura. Las ideas en juego a veces tocan la ideología, pero también van desde cuestiones de privacidad y derechos humanos hasta publicaciones en Twitter sobre el nuevo corte de pelo de Justin Bieber.

más grandes piratas de todos los tiempos

Esta desconexión va mucho más allá. Las barreras de entrada para obtener la última arma en la Guerra Fría, la bomba nuclear, eran bastante altas. Solo unos pocos estados pudieron unirse al club atómico de las superpotencias, y nunca en números que hicieran que estas potencias nucleares de segundo nivel fueran comparables a las fuerzas estadounidenses y soviéticas. En comparación, los actores en el ciberespacio pueden variar desde adolescentes en busca de emociones fuertes hasta bandas criminales, comunidades de piratas informáticos patrióticos patrocinadas por el gobierno y más de 100 estados nacionales que han establecido unidades de guerra cibernética militares y de inteligencia.



Los problemas de ciberseguridad son más de análisis forense y atribución e influencia sutil que de disuasión a la antigua. Por lo tanto, la idea de hacer equivalentes los ataques nucleares y cibernéticos de la vieja escuela puede tener cierto atractivo, pero en el ámbito cibernético es posible que no sepa quién lo atacó, o incluso cuándo y si fue atacado. Tomemos el gusano Stuxnet, que supuestamente fue diseñado para obstaculizar el programa nuclear iraní. Los iraníes (así como la mayoría de las empresas de ciberseguridad) tardaron varios meses en darse cuenta de que estaban siendo atacados, e incluso ahora la fuente de ese ataque se basa más en el retroceso y la deducción forense que en cualquier fuente obvia, como el lanzamiento de un misil balístico intercontinental. penacho.



Sin embargo, hay un paralelo de la Guerra Fría que podría ser cierto. Muchas de las discusiones de hoy sobre ciberseguridad en Washington recuerdan los extraños debates sobre las armas nucleares en las décadas de 1940 y 1950, en los que la exageración y la histeria variaban libremente, las versiones del mundo real del Dr. Strangelove se tomaban en serio y las horribles ideas políticas como la La división Pentomic del Ejército (que se organizó para utilizar artillería nuclear, como si fuera un arma más) se implementó realmente. Como Loving the Cyber ​​Bomb, un estudio reciente realizado por verdaderos expertos cibernéticos en el Mercatus Center de la Universidad George Mason (a diferencia de los muchos Cold Warriors que ahora se han rebautizado a sí mismos como expertos cibernéticos) encontró que hay una enorme cantidad de amenaza de inflación en Washington. discusión de los peligros en línea, con mayor frecuencia por parte de aquellos con motivos políticos o de lucro para promocionar las amenazas. Es una nueva versión de la vieja histeria de la brecha de misiles.

Cuidado con la brecha



El resultado de este malentendido fundamental es que en la prensa, un ciberataque podría sin duda ser retratado como una enorme nube en forma de hongo pixelada que se cierne sobre todas las ciudades estadounidenses (como decía la portada de la revista Economist). En Washington, el malware podría describirse como un [arma de destrucción masiva] (Sen. Carl Levin, D-Mich.) Capaz de destruir nuestra sociedad (Scowcroft), lo que significa que debería ser visto como una amenaza existencial (Adm. Mike Mullen, presidente del Estado Mayor Conjunto). Pero la realidad es que incluso un ciberconflicto total no se compararía con una guerra termonuclear global que realmente amenazaba con acabar con la vida en la Tierra. Tampoco ha habido un preludio del tamaño de Hiroshima todavía. Por ejemplo, el tan aclamado ataque ruso contra Estonia en 2007 fue una preocupación para el gobierno del país, que vio sus sitios web bloqueados y desfigurados, pero apenas afectó la vida diaria de la mayoría de los estonios.



En Georgia, los ciberataques rusos en 2008 derribaron algunos sitios web gubernamentales externos durante unos días, pero estos fueron cacahuetes en comparación con el daño real causado por los misiles y bombas rusos reales en la guerra que los acompañó. De hecho, al año siguiente, una mujer de 75 años pudo superar a todo el aparato de guerra cibernética ruso con una simple pala. Mientras buscaba chatarra, cortó accidentalmente un cable y desconectó todo el servicio de Internet de la vecina Armenia. Sin embargo, no se produjo ninguna catástrofe local o global de las acciones físicas mucho más efectivas de este llamado hacker de pala.

¿Qué tan grande es el Mars Rover?

De manera similar, los ataques de 2009 contra los Estados Unidos y Corea del Sur se citan repetidamente como ejemplos de lo que un gobierno estatal (en este caso se suele afirmar que Corea del Norte) puede hacer a los Estados Unidos en este ámbito, pero el resultado real fue que los sitios web de Nasdaq, la Bolsa de Valores de Nueva York y The Washington Post estuvieron inaccesibles de forma intermitente durante algunas horas. Los sitios web recuperados, y lo que es más importante, estas instituciones y las que dependen de ellas no se perdieron irrecuperablemente como si un arma real de destrucción masiva las hubiera alcanzado.



El problema con la inflación de amenazas y el historial mal aplicado es que existen riesgos extremadamente graves, pero también respuestas manejables, de las cuales nos desvían. Ciberataques masivos, simultáneos y que abarcan todo a la red eléctrica, el sistema bancario, las redes de transporte, etc., en la línea de un primer ataque de la Guerra Fría o lo que el secretario de Defensa Leon Panetta ha llamado el próximo Pearl Harbor (otro uso excesivo e inadecuado analogía) ciertamente tendría importantes consecuencias, pero también quedarían completamente teóricas, y la nación se recuperaría. Mientras tanto, se está ignorando un peligro real para la seguridad nacional: la combinación de crimen y espionaje en línea que está socavando gradualmente nuestras finanzas, nuestro conocimiento y nuestra ventaja empresarial. Mientras los aspirantes a guerreros fríos cibernéticos miran al cielo y esperan a que caiga, les roban las billeteras y les roban las oficinas.



Una de las principales razones de la derrota de la armada española fue

Aproximadamente 7 millones de estadounidenses informaron que sufrieron directamente de la actividad delictiva cibernética el año pasado, mientras que según el gobierno británico, los ladrones, extorsionadores, estafadores y espías industriales en línea cuestan a las empresas un estimado de $ 43.5 mil millones solo en el Reino Unido. A nivel internacional, estas cifras ascienden a cientos de miles de millones de dólares, lo que crea un enorme lastre para la economía mundial. También están reduciendo lentamente la confianza en la industria de la tecnología de la información y la innovación que impulsó gran parte del crecimiento económico de Estados Unidos durante las últimas dos décadas (lo que es más importante durante el declive de la fabricación). Estos compromisos de propiedad intelectual crítica amenazan con socavar las ventajas a largo plazo que Estados Unidos ha disfrutado en el comercio económico. Tomemos los llamados ataques del Dragón Nocturno, que revelaron secretos corporativos de las compañías energéticas occidentales justo antes de que presentaran una oferta contra los chinos por los principales depósitos de petróleo. El resultado: miles de millones de dólares en negocios perdidos en los próximos años. Este tipo de espionaje incluso ha afectado a las pequeñas empresas hasta las pequeñas empresas de muebles. El problema también afecta la seguridad nacional. Mire el compromiso de las cuentas de correo electrónico de los funcionarios estadounidenses por parte de piratas informáticos con sede en China y los cables diplomáticos de WikiLeaks que revelan secretos internos y ponen en peligro las alianzas externas. O mire la penetración repetida de Lockheed Martin Corp., fabricante del F-35 Joint Strike Fighter, el programa de armas más grande en la historia del Pentágono. Se robaron terabytes de datos no clasificados relacionados con el diseño del avión y los sistemas electrónicos. Estos bytes perdidos representan miles de millones de dólares en investigación y desarrollo y años de ventaja tecnológica desaparecidos, lo que hace que sea más fácil contrarrestar (o copiar) nuestro último avión de combate. Y como una señal de lo que vendrá, más tarde también se tomaron tokens de seguridad, que permitían a los infiltrados pasar como empleados de la empresa.

El código pirata

Si el paralelo más adecuado no es la Guerra Fría, ¿cuáles son algunas de las alternativas a las que podríamos recurrir en busca de orientación, especialmente cuando se trata del problema de la construcción de la cooperación internacional en este espacio? Los paralelismos de la ciberseguridad, y algunas de sus soluciones, se encuentran más en los años 1840 y 50 que en los años 40 y 50.

Al igual que Internet se está convirtiendo en la actualidad, en siglos pasados ​​el mar era un dominio principal del comercio y la comunicación sobre el que ningún actor por sí solo podía reclamar el control total. Lo que es notable es que los actores que se relacionaron con la seguridad marítima y la guerra en el mar en ese entonces son paralelos a muchas de las situaciones en nuestras redes hoy. Pasaron de piratas individuales a flotas estatales con presencia global como la Armada británica. En el medio se encontraban piratas sancionados por el estado o corsarios. Al igual que los piratas informáticos patrióticos de hoy (o contratistas de la NSA), estas fuerzas se utilizaron tanto para aumentar las fuerzas militares tradicionales como para agregar desafíos de atribución a aquellos que intentan defender activos marítimos lejanos. En la Edad de Oro del corso, un atacante podría cambiar rápidamente de identidad y ubicación, a menudo aprovechándose de puertos de terceros con leyes locales laxas. Las acciones que el atacante podría tomar iban desde bloqueos comerciales (similar a una denegación de servicio) hasta robo y secuestro hasta asaltos reales a activos militares o infraestructura económica subyacente con gran efecto.

Durante la Guerra de 1812, por ejemplo, la flota de corsarios estadounidense tenía más de 517 barcos, en comparación con los 23 de la Armada de los EE. UU., Y, aunque los británicos conquistaron y quemaron la capital estadounidense, causaron tal daño a la economía británica que obligaron a Negociaciones.

Si hay ciertos paralelismos, ¿cuáles son las lecciones potenciales que podríamos adaptar a la situación actual, además de intentar colgar a los piratas informáticos del yardarm?

La piratería marítima todavía nos acompaña hoy. Pero está confinado a las costas de los estados fallidos y en una escala relativamente minúscula (aproximadamente el 0,01 por ciento del transporte marítimo mundial en realidad es tomado por piratas de la actualidad). El corso, el paralelo a los ataques más atroces que hemos visto en el ámbito cibernético, no solo ha caído en desgracia como táctica militar, sino que hace mucho tiempo se convirtió en un tabú. Si bien el corso puede haber ganado la Guerra de 1812 para los Estados Unidos, en 1856, 42 naciones habían acordado la Declaración de París, que abolió el corso, y durante la Guerra Civil, el presidente Lincoln no solo se negó a reclutar saqueadores a sueldo, sino también criticó a los confederados como inmorales por hacerlo ellos mismos. Recuerde, dos generaciones antes, emplear a estos secuestradores había sido una piedra angular de la estrategia naval estadounidense. En la década de 1860, ya no era algo que hicieran los gobiernos civilizados.

La forma en que se produjo este cambio es instructiva para la ciberseguridad y las relaciones globales en la actualidad. Al igual que el mar, el ciberespacio puede concebirse como un ecosistema de actores con intereses y capacidades específicos. La responsabilidad y la rendición de cuentas no son de ninguna manera resultados naturales del mercado, pero se pueden crear incentivos y marcos legales para permitir el mal comportamiento o para apoyar un mayor orden público.

Al tomar medidas drásticas contra la piratería y el corso, se adoptó un enfoque de dos frentes, que fue más allá de solo apuntalar las defensas o amenazar con un ataque masivo, como lo querrían los Guerreros Fríos. El primer paso fue ir tras los mercados y estructuras subyacentes que pusieron en práctica las ganancias y engrasaron las ruedas del mal comportamiento. Londres desmanteló los mercados para comerciar con botines piratas; Se dominaron ciudades amigas de los piratas como Port Royal, Jamaica, y se lanzaron bloqueos contra los potentados que albergaban a los corsarios del sur del Mediterráneo y el sudeste asiático. Hoy en día, existen equivalentes modernos de estos paraísos piratas. Por ejemplo, las redes de solo 50 proveedores de servicios de Internet representan alrededor de la mitad de todas las máquinas infectadas en todo el mundo, según un estudio preparado para la Organización para la Cooperación y el Desarrollo Económicos. Solo tres empresas procesan el 95 por ciento de las transacciones con tarjetas de crédito de los medicamentos falsos anunciados por los spammers, según una investigación presentada en el Simposio de Seguridad y Privacidad de IEEE en mayo. Cuando se eliminó una empresa de alojamiento particularmente nociva, McColo Corp. de San José, California, el volumen de spam en todo el mundo se redujo en un 70 por ciento. Sin el apoyo de estas empresas, las empresas delictivas en línea no pueden practicar su acción ilegal, que no solo limpia los mares, sino que también facilita la identificación y la defensa de los ataques más graves a la infraestructura. Y, al igual que los antiguos puertos amigables con los piratas, las empresas y los estados que permiten el ciberdelito como un pase legal gratuito son generalmente conocidos.

Esto se vincula con la segunda estrategia: la construcción de redes o tratados y normas. Como cuenta Janice Thompson en su estudio fundamental Mercenaries, Pirates and Sovereigns (Princeton University Press, 1996), los secuestradores marítimos (y sus homólogos aprobados por el estado) quedaron marginados a medida que las naciones afirmaban un mayor control sobre sus fronteras y establecían un monopolio de la violencia. A lo largo de este período, se estableció una red de acuerdos bilaterales y multilaterales que afirmaron los principios del comercio abierto en mar abierto. Pocos de estos documentos abolieron explícitamente la piratería; ni fueron aceptados universalmente. Pero allanaron el camino hacia un código de conducta global que finalmente convirtió a los piratas de actores aceptados en parias internacionales, perseguidos por todas las principales potencias del mundo. También establecieron que cualquier respeto por la soberanía marítima vendría solo cuando una nación asumiera la responsabilidad de los ataques que emanaron desde dentro de sus fronteras.

El paralelo cibernético de hoy nuevamente es más instructivo que tratar de repetir las conversaciones sobre limitación de armas de la Guerra Fría, como se propone en algunos informes recientes de políticas de think tanks. (¡Buena suerte tratando de contar las botnets como si fueran sitios de misiles balísticos intercontinentales!) Más bien, lo que se necesita es la construcción gradual de una agenda internacional que busque crear un estándar de comportamiento en línea que garantice el comercio legal y responsabilice a quienes se dirigen a la Web. La expectativa global compartida de libertad de los mares debe ir acompañada de una expectativa global compartida de libertad de comercio por Internet. Si a sabiendas hospeda o incita a piratas marítimos o corsarios, sus acciones se reflejarán en usted. Lo mismo debería ser cierto en línea. La construcción de esas normas motivará tanto a los estados como a las grandes empresas a controlar mejor a los hackers y delincuentes individuales (el equivalente pirata). También debilitará el valor de la acción de subcontratación para los piratas informáticos y contratistas patrióticos (los corsarios de los últimos días utilizados con tanta frecuencia por estados como Rusia y China). Y ayudará a crear una línea más clara entre la conducta y los objetivos civiles y militares, una de las principales preocupaciones de los actores cibernéticos estadounidenses.

horas exactas en un día

Además de fomentar esta nueva rendición de cuentas, los responsables de la formulación de políticas también pueden aplicar estrategias de fomento de la confianza que podrían tener beneficios reales. A principios del siglo XIX, por ejemplo, la Royal Navy y la naciente Marina de los EE. UU. Se preparaban constantemente para luchar entre sí. Pero también cooperaron en campañas contra la piratería y el comercio de esclavos. Esa cooperación ayudó a subrayar las normas mundiales, así como a generar una mayor confianza entre las dos fuerzas que ayudó a mitigar el verdadero peligro de un conflicto militar real durante varias crisis. De manera similar, Estados Unidos y China ciertamente continuarán reforzando nuestras defensas cibernéticas e incluso nuestras ofensas. Pero esto no debería ser un obstáculo para intentar construir una mayor cooperación. En particular, podríamos lanzar una iniciativa para perseguir lo que los chinos llaman delitos dobles, esas acciones en el ciberespacio que ambas naciones reconocen como ilegales.

El punto subyacente aquí es que al navegar por el problema emergente de la ciberseguridad, los legisladores tendrán que ser más reflexivos que intentar ciegamente aplicar las lecciones de su propio pasado personal. Si bien la ciberseguridad es un problema cada vez mayor de importancia tanto económica como de seguridad, los paralelos cibernéticos torturados de su juventud no son tan fructíferos como parecería su uso generalizado. De hecho, son menos útiles que una historia marítima menos conocida de los siglos pasados.

Pero para estos y otros paralelos históricos, existe un límite. Deberíamos utilizar estas metáforas para abrir nuevos horizontes y perspectivas, no para crear nuevas barreras. De hecho, como Mark Twain también dijo en un correctivo a su idea de que la historia rima, solo hay una cosa solitaria sobre el pasado que vale la pena recordar, y ese es el hecho de que es pasado.