La siguiente fase de la ciberseguridad: la ‘ciberdisuasión’

 

Los atacantes informáticos representan toda una serie de amenazas para muy diversos objetivos. Rusia, por ejemplo, ha sido acusada de piratear los ordenadores del Partido Demócrata a lo largo del año e interferir en las elecciones presidenciales de Estados Unidos. Otro caso fue el del atacante desconocido que, en un solo día de octubre, utilizó miles de dispositivos conectados por Internet, como grabadoras de vídeo y cámaras, infectados con el malware Mirai para inutilizar destacadas webs, Twitter entre ellas.

Desde 2005 hasta 2015, los organismos federales han informado de un aumento del 1.300% en los incidentes relacionados con la ciberseguridad. Es evidente que tenemos que mejorar nuestra manera de hacer frente a esta amplia categoría de amenazas. Algunos de los que trabajamos en este campo nos preguntamos si la ciberdisuasión podría ser de ayuda.

Desde 2005 hasta 2015, los organismos federales han informado de un aumento del 1.300% en los incidentes relacionados con la ciberseguridad

El objetivo de la disuasión es hacer que los adversarios en potencia se lo piensen dos veces antes de atacar, al obligarlos a considerar los costes que tendría, así como las posibles consecuencias de un contraataque. La disuasión tiene dos principios básicos. El primero es el rechazo, que consiste en convencer a los posibles atacantes de que no van a tener éxito, al menos sin un coste y un esfuerzo enormes, superiores a los que están dispuestos a invertir. El segundo es el castigo, consistente en asegurarse de que los adversarios saben que habrá una respuesta contundente que podría causarles más daño del que están dispuestos a soportar.

Durante décadas, la disuasión ha contrarrestado eficazmente la amenaza de las armas nucleares. ¿Podemos alcanzar resultados similares frente a las armas cibernéticas?

Por qué es difícil la ‘ciberdisuasión’

La disuasión nuclear funciona porque hay pocos países que tengan armas atómicas o los importantes recursos necesarios para invertir en ellas. Los que las tienen reconocen que lanzar un primer ataque es exponerse a una respuesta nuclear devastadora. Además, la comunidad internacional ha establecido instituciones, como el Organismo Internacional de la Energía Atómica, y acuerdos, como el Tratado de No Proliferación de Armas Nucleares, para neutralizar la amenaza catastrófica que representa el armamento atómico.

El objetivo de la disuasión es hacer que los adversarios en potencia se lo piensen dos veces antes de atacar

Las armas cibernéticas no tienen nada que ver con las nucleares. Se desarrollan sin dificultad y las emplean tanto individuos y grupos pequeños como Estados. Son fáciles de reproducir y distribuir por las redes, lo cual hace vana toda esperanza en cualquier cosa que pudiese recibir el nombre de “no proliferación cibernética”. Con frecuencia, se utilizan al amparo del anonimato, lo cual hace que resulte difícil averiguar quién es el verdadero responsable. Además, los ciberataques pueden producir una amplia variedad de efectos, la mayoría de los cuales causan trastornos y son costosos, pero no catastróficos.

Esto no significa que la ciberdisuasión esté condenada al fracaso. La magnitud de los ciberataques basta para exigir que nos defendamos mejor de ellos.

Podemos hacer tres cosas para reforzar la ciberdisuasión: mejorar la ciberseguridad, utilizar defensas activas y establecer normas internacionales para el ciberespacio. Las dos primeras medidas perfeccionarán nuestras ciberdefensas, de manera que aunque no se impida el ataque, este no tenga éxito.

Redoblar la protección

La ciberseguridad contribuye a disuadir fundamentalmente por el principio del rechazo, al frenar los ataques antes de que puedan alcanzar sus objetivos. Esto incluye reforzar la seguridad de la conexión, codificar los datos y las comunicaciones, combatir los virus y otros programas malignos, y tener actualizado el software para recomponer los puntos débiles cuando se detecten.

Los ciberataques pueden producir una amplia variedad de efectos, la mayoría de los cuales causan trastornos y son costosos, pero no catastróficos

Pero aún más importante es desarrollar productos que, en el peor de los casos, apenas tengan puntos débiles en cuanto a seguridad cuando se envían e instalan. El botnet Mirai, capaz de generar flujos masivos de datos que sobrecargan los servidores de internet, se adueña de los dispositivos con grandes agujeros de seguridad, entre otros las contraseñas predeterminadas incrustadas en elfirmware que los usuarios no pueden cambiar. Mientras que algunas empresas, como Microsoft, hacen grandes inversiones en la seguridad de sus productos, otras, incluidos muchos comercializadores de la Internet de las Cosas, no lo hacen.

El gurú de la ciberseguridad Bruce Schneier caracteriza acertadamente el predominio de los aparatos de la Internet de las Cosas inseguros como un fallo del mercado parecido a la contaminación. En pocas palabras, el mercado prefiere los aparatos baratos e inseguros a los más caros pero seguros. ¿Qué solución da él? La regulación, ya sea imponiendo unas normas básicas de seguridad a los productores, o haciéndolos responsables cuando sus productos se utilizan en ataques.

Defensas activas

En lo que respecta a emprender acciones contra los atacantes, existen muchas maneras de vigilar, identificar y contrarrestar los ciberataques enemigos. Estas ciberdefensas activas son similares a los sistemas de defensa antiaéreos que controlan el cielo en busca de aviones hostiles y derriban los misiles que se aproximan. Las redes de monitores que vigilan y bloquean (“derriban”) los paquetes hostiles son un ejemplo, como también los sistemas señuelo que atraen a los paquetes enemigos o los desvían hacia áreas seguras, donde no dañan la red contra la que iban dirigidos e incluso se pueden estudiar para descubrir las técnicas de los atacantes.

El botnet Mirai se adueña de los dispositivos con grandes agujeros de seguridad, entre otros las contraseñas predeterminadas incrustadas en el firmware

Otro conjunto de defensas activas consiste en recoger, analizar y compartir información sobre amenazas en potencia, de tal manera que los operadores de la red puedan reaccionar a las últimas novedades. Por ejemplo, podrían escanear regularmente sus sistemas en busca de aparatos vulnerables al botnet Mirai o infectados por él o por otros programas malignos. Si encuentran alguno, podrían desconectarlos de la red y advertir del peligro a los propietarios de los aparatos.

La ciberdefensa activa hace algo más que limitarse a privar de oportunidades a los atacantes. Con frecuencia logra desenmascarar a las personas que se esconden detrás de ellos y hacer que reciban su castigo. A los atacantes no gubernamentales se les puede impedir operar, detenerlos y juzgarlo; los países que practican o apoyan la guerra informática pueden ser sancionados por la comunidad internacional.

Actualmente, sin embargo, el sector privado es reacio a utilizar muchas defensas activas debido a la incertidumbre legal. El Centro para la Ciberseguridad y la Seguridad Nacional de la Universidad George Washington recomienda diversas medidas que el Gobierno y el sector privado pueden adoptar para facilitar una mayor generalización del empleo de las defensas activas, entre otras, una normativa clarificadora.

Establecer normas internacionales

Por último, las normas internacionales para el ciberespacio pueden contribuir a la disuasión si los Gobiernos de los países saben que se les puede identificar y avergonzar ante la comunidad internacional por haber llevado a cabo un ciberataque. En 2014, Estados Unidos presentó cargos contra cinco piratas informáticos militares chinos por atacar a varias empresas estadounidenses. Un año después, este mismo país y China acordaron no robarse ni explotar los secretos de sus respectivas empresas con fines comerciales. A raíz de estos sucesos, el ciberespionaje procedente de China cayó en picado.

Estas ciberdefensas activas son similares a los sistemas de defensa antiaéreos que controlan el cielo en busca de aviones hostiles

También en 2015, un grupo de expertos de Naciones Unidas recomendó que se prohibiesen los ciberataques contra infraestructuras vitales, como los equipos de respuesta a emergencias informáticas de un país. Y más adelante ese mismo año, el G-20 hizo pública una declaración oponiéndose al robo de la propiedad intelectual en beneficio de las firmas comerciales. Estas normas podrían disuadir a los Gobiernos de perpetrar esta clase de ataques.

El ciberespacio nunca será inmune a las agresiones; no más de lo que nuestras calles son inmunes a la delincuencia. Pero con una ciberseguridad reforzada, un mayor empleo de las ciberdefensas activas y unas normas internacionales para el ciberespacio podemos esperar, al menos, tener el problema bajo control.

Dorothy Denning es Catedrática de Análisis de la Defensa. Escuela de Posgrado de la Marina.

Cláusula de divulgación: Dorothy Denning es catedrática de Análisis de la Defensa de el Escuela de Posgrado de la Marina. Las opiniones expresadas en este artículo son de la autora y no reflejan la política ni la postura oficiales del Departamento de Defensa ni del Gobierno federal de Estados Unidos.

Este artículo fue publicado originalmente en inglés en la web The Conversation.