CAMBRIDGE – Durante la primera reunión cumbre entre los presidentes estadounidense, Joe Biden, y ruso, Vladímir Putin en Ginebra el mes pasado, las armas cibernéticas fueron más preponderantes en la agenda que las nucleares. Claramente, el mundo cambió desde la Guerra Fría, pero, ¿logró algo Biden?
Desde hace más de dos décadas que Rusia propone un tratado cibernético en las Naciones Unidas, pero Estados Unidos consideró que no sería posible verificar su cumplimiento. A diferencia de las armas nucleares, las armas cibernéticas se distinguen de los demás programas para computadoras simplemente por la intención del programador.
En vez de un tratado, Rusia, EE. UU. y 13 estados más acordaron normas voluntarias, redactadas por grupos de expertos gubernamentales patrocinados por la ONU, que prohíben los ataques a la infraestructura civil de los demás y los actos ilícitos desde sus territorios. Aunque se confirmaron esas normas en la ONU en la primavera pasada, los escépticos señalan que poco después de aceptar un informe de 2015, Rusia atacó la red de distribución eléctrica de Ucrania e interfirió en la elección presidencial estadounidense de 2016.
A diferencia de EE. UU., que estableció un Comando Cibernético (USCYBERCOM) en 2010, Rusia nunca admitió formalmente sus capacidades informáticas ofensivas. Ambos países se infiltran en las redes de otros para obtener inteligencia, pero a veces resulta difícil distinguir entre el espionaje y la preparación para la batalla. Por eso, EE. UU. se quejó este año del ataque ruso a la empresa estadounidense SolarWinds, que, según se afirma, infectó al menos a 9 grandes agencias gubernamentales y a más de 100 corporaciones de tamaño significativo.
Incluso si los tratados para el control de armas son impracticables, tal vez sea posible fijar límites sobre ciertos tipos de blancos civiles y negociar las reglas de juego a grandes rasgos. Por ejemplo, a pesar de sus profundas diferencias ideológicas, en 1972 EE. UU. y la Unión Soviética negociaron un Acuerdo sobre Incidentes Marítimos para limitar los comportamientos navales que pudieran derivar en escaladas peligrosas.
El espionaje no infringe el derecho internacional y un acuerdo para prohibirlo no sería creíble, sin embargo, EE. UU. y Rusia podrían negociar límites a sus comportamientos sobre el grado (aunque no la existencia) de sus actividades de espionaje cibernético. O podrían acordar límites a la intervención en los procesos políticos internos del otro. Incluso sin acuerdos ni definiciones precisas, podrían intercambiar declaraciones unilaterales sobre áreas de autolimitación y establecer un proceso consultivo regular para limitar los conflictos.
Este parece haber sido el enfoque que exploró Biden en Ginebra. Según los informes de la prensa, Biden entregó a Putin una lista de 16 áreas de infraestructura crítica —entre las que se cuentan la energía, la salud, las tecnologías de la información, los servicios financieros, los productos químicos y las comunicaciones— que, según él «deben quedar al margen de los ataques, sin discusión».
En cierto modo, esto no es nuevo. Hace mucho que los estadounidenses publicaron la lista de lo que consideran infraestructura crítica en el sitio web de la Agencia para la Seguridad Informática y de la Infraestructura de EE. UU., pero es distinto cuando un jefe de estado le entrega una lista a otro.
Después de la reunión, Biden reveló que le preguntó a Putin cómo se sentiría si los ductos rusos fueran atacados con programas de chantaje (ransomware), como ocurrió con el Colonial Pipeline en mayo en EE. UU., que fue afectado por criminales desde Rusia. Esto sería muy costoso para la economía rusa, que depende fuertemente de esa infraestructura para exportar gas. Los estadounidenses no atribuyeron ese ataque al gobierno ruso, pero sus expertos han notado que los grupos criminales suelen funcionar en Rusia con impunidad, siempre que sus ataques la dejen al margen.
En su conferencia de prensa después de la cumbre, Biden dijo: «Le señalé que contamos con capacidades informáticas significativas. Él lo sabe. No sabe exactamente de qué se trata, pero son significativas. Y, de hecho, si infringen estas normas básicas, responderemos con la cibernética. Lo sabe». En otras palabras, Biden insinuó una amenaza disuasoria si Rusia continúa infringiendo las normas voluntarias que prohíben ataques a la infraestructura civil y el uso de su territorio con objetivos perjudiciales. Putin es inteligente, ciertamente recibió el mensaje, pero las mejoras en el comportamiento ruso dependerán de la credibilidad de Biden.
Fijar límites infranqueables puede ser complicado. A algunos críticos les preocupa que al especificar qué hay que proteger, tal vez Biden haya dado a entender que otras áreas quedan exentas de las restricciones. Además, para que los límites sean eficaces, hay que hacerlos cumplir. Los críticos afirman que el mensaje debió centrarse en alcance del daño y no en la forma utilizada o el objetivo afectado.
Análogamente, no se le dice al anfitrión de una fiesta que apague toda la música, se le advierte que si el ruido se torna intolerable, se informará a la policía. La manera en que Putin interpretará el mensaje de Biden se verá en los meses venideros, pero ambos presidentes acordaron establecer un grupo de trabajo informático para tratar de definir los límites de lo «tolerable».
EE. UU. tendrá que declarar unilateralmente las normas a las que promete atenerse. Cuando Rusia las infrinja, EE. UU. tendrá que estar preparado para tomar represalias específicas, como vaciar las cuentas bancarias de oligarcas privilegiados, liberar información embarazosa o trastocar las redes rusas. La estrategia de «defensa de vanguardia» de USCYBERCOM y su continua participación pueden ser útiles como disuasores, pero deben ir acompañadas por un proceso de discreta comunicación.
Los grupos criminales a menudo actúan, en diversos grados, a instancias de los gobiernos. EE. UU. tendrá que dejar en claro que funcionar como refugio para los cibercriminales tendrá consecuencias. Debido a que las reglas de juego nunca son perfectas, hay que acompañarlas con un proceso consultivo regular que establezca el marco para las advertencias y negociaciones. En los próximos meses tal vez quede claro si Biden tuvo éxito en Ginebra para iniciar un proceso de ese tipo, o si las relaciones cibernéticas entre Rusia y EE. UU. seguirán tan mal como de costumbre.
Traducción al español por Ant-Translation
CAMBRIDGE – Durante la primera reunión cumbre entre los presidentes estadounidense, Joe Biden, y ruso, Vladímir Putin en Ginebra el mes pasado, las armas cibernéticas fueron más preponderantes en la agenda que las nucleares. Claramente, el mundo cambió desde la Guerra Fría, pero, ¿logró algo Biden?
Desde hace más de dos décadas que Rusia propone un tratado cibernético en las Naciones Unidas, pero Estados Unidos consideró que no sería posible verificar su cumplimiento. A diferencia de las armas nucleares, las armas cibernéticas se distinguen de los demás programas para computadoras simplemente por la intención del programador.
En vez de un tratado, Rusia, EE. UU. y 13 estados más acordaron normas voluntarias, redactadas por grupos de expertos gubernamentales patrocinados por la ONU, que prohíben los ataques a la infraestructura civil de los demás y los actos ilícitos desde sus territorios. Aunque se confirmaron esas normas en la ONU en la primavera pasada, los escépticos señalan que poco después de aceptar un informe de 2015, Rusia atacó la red de distribución eléctrica de Ucrania e interfirió en la elección presidencial estadounidense de 2016.
A diferencia de EE. UU., que estableció un Comando Cibernético (USCYBERCOM) en 2010, Rusia nunca admitió formalmente sus capacidades informáticas ofensivas. Ambos países se infiltran en las redes de otros para obtener inteligencia, pero a veces resulta difícil distinguir entre el espionaje y la preparación para la batalla. Por eso, EE. UU. se quejó este año del ataque ruso a la empresa estadounidense SolarWinds, que, según se afirma, infectó al menos a 9 grandes agencias gubernamentales y a más de 100 corporaciones de tamaño significativo.
Incluso si los tratados para el control de armas son impracticables, tal vez sea posible fijar límites sobre ciertos tipos de blancos civiles y negociar las reglas de juego a grandes rasgos. Por ejemplo, a pesar de sus profundas diferencias ideológicas, en 1972 EE. UU. y la Unión Soviética negociaron un Acuerdo sobre Incidentes Marítimos para limitar los comportamientos navales que pudieran derivar en escaladas peligrosas.
El espionaje no infringe el derecho internacional y un acuerdo para prohibirlo no sería creíble, sin embargo, EE. UU. y Rusia podrían negociar límites a sus comportamientos sobre el grado (aunque no la existencia) de sus actividades de espionaje cibernético. O podrían acordar límites a la intervención en los procesos políticos internos del otro. Incluso sin acuerdos ni definiciones precisas, podrían intercambiar declaraciones unilaterales sobre áreas de autolimitación y establecer un proceso consultivo regular para limitar los conflictos.
SPRING SALE: Save 40% on all new Digital or Digital Plus subscriptions
Subscribe now to gain greater access to Project Syndicate – including every commentary and our entire On Point suite of subscriber-exclusive content – starting at just $49.99.
Subscribe Now
Este parece haber sido el enfoque que exploró Biden en Ginebra. Según los informes de la prensa, Biden entregó a Putin una lista de 16 áreas de infraestructura crítica —entre las que se cuentan la energía, la salud, las tecnologías de la información, los servicios financieros, los productos químicos y las comunicaciones— que, según él «deben quedar al margen de los ataques, sin discusión».
En cierto modo, esto no es nuevo. Hace mucho que los estadounidenses publicaron la lista de lo que consideran infraestructura crítica en el sitio web de la Agencia para la Seguridad Informática y de la Infraestructura de EE. UU., pero es distinto cuando un jefe de estado le entrega una lista a otro.
Después de la reunión, Biden reveló que le preguntó a Putin cómo se sentiría si los ductos rusos fueran atacados con programas de chantaje (ransomware), como ocurrió con el Colonial Pipeline en mayo en EE. UU., que fue afectado por criminales desde Rusia. Esto sería muy costoso para la economía rusa, que depende fuertemente de esa infraestructura para exportar gas. Los estadounidenses no atribuyeron ese ataque al gobierno ruso, pero sus expertos han notado que los grupos criminales suelen funcionar en Rusia con impunidad, siempre que sus ataques la dejen al margen.
En su conferencia de prensa después de la cumbre, Biden dijo: «Le señalé que contamos con capacidades informáticas significativas. Él lo sabe. No sabe exactamente de qué se trata, pero son significativas. Y, de hecho, si infringen estas normas básicas, responderemos con la cibernética. Lo sabe». En otras palabras, Biden insinuó una amenaza disuasoria si Rusia continúa infringiendo las normas voluntarias que prohíben ataques a la infraestructura civil y el uso de su territorio con objetivos perjudiciales. Putin es inteligente, ciertamente recibió el mensaje, pero las mejoras en el comportamiento ruso dependerán de la credibilidad de Biden.
Fijar límites infranqueables puede ser complicado. A algunos críticos les preocupa que al especificar qué hay que proteger, tal vez Biden haya dado a entender que otras áreas quedan exentas de las restricciones. Además, para que los límites sean eficaces, hay que hacerlos cumplir. Los críticos afirman que el mensaje debió centrarse en alcance del daño y no en la forma utilizada o el objetivo afectado.
Análogamente, no se le dice al anfitrión de una fiesta que apague toda la música, se le advierte que si el ruido se torna intolerable, se informará a la policía. La manera en que Putin interpretará el mensaje de Biden se verá en los meses venideros, pero ambos presidentes acordaron establecer un grupo de trabajo informático para tratar de definir los límites de lo «tolerable».
EE. UU. tendrá que declarar unilateralmente las normas a las que promete atenerse. Cuando Rusia las infrinja, EE. UU. tendrá que estar preparado para tomar represalias específicas, como vaciar las cuentas bancarias de oligarcas privilegiados, liberar información embarazosa o trastocar las redes rusas. La estrategia de «defensa de vanguardia» de USCYBERCOM y su continua participación pueden ser útiles como disuasores, pero deben ir acompañadas por un proceso de discreta comunicación.
Los grupos criminales a menudo actúan, en diversos grados, a instancias de los gobiernos. EE. UU. tendrá que dejar en claro que funcionar como refugio para los cibercriminales tendrá consecuencias. Debido a que las reglas de juego nunca son perfectas, hay que acompañarlas con un proceso consultivo regular que establezca el marco para las advertencias y negociaciones. En los próximos meses tal vez quede claro si Biden tuvo éxito en Ginebra para iniciar un proceso de ese tipo, o si las relaciones cibernéticas entre Rusia y EE. UU. seguirán tan mal como de costumbre.
Traducción al español por Ant-Translation