Ciberguerra: es hora de escribir sus reglas

Karl Rauscher

El mundo requiere una Convención de Ginebra para el cibercombate.

En el siglo XXI, prácticamente todo es susceptible de un ciberataque. Un golpe en un banco o una bolsa de valores puede causar un escándalo en el sector financiero; un golpe a la red eléctrica podría dejar sin actividad una ciudad. Y las consecuencias de un ataque podrían ser mucho más temibles que la mera inconveniencia. Si los hackers interrumpieran la actividad de una planta nuclear, podrían ocasionar una gran crisis. Un ataque a un hospital dejaría en la oscuridad a los doctores y ocasionaría fallas en los equipos médicos, mientras los pacientes mueren en sus camas.

Karl RauscherTales escenarios se hacen más y más posibles. En el 2007 la ciberguerra dio inicio en serio, cuanto las redes gubernamentales de Estonia fueron hackeadas durante una disputa política con Rusia. En años más recientes, los Estados Unidos y China se acusan mutuamente de apoyar ciberespionajes, mientas que Irán ha acusado a Israel y a Estados Unidos de desencadenar un gusano contra sus instalaciones nucleares. Antes de que estas actividades escalen a ciberataques que ocasionen la destrucción de vidas inocentes, debemos poner en práctica las lecciones del pasado amargo y establecer normas para el ciberconflicto. Se deben definir objetivos aceptables y se debería incluso poner límite a las ciberarmas, tal y como se hizo con las armas químicas hace casi cien años.

Propongo que nos basemos en los principios de las convenciones de Ginebra y La Haya para lidiar con los ciberconflictos. Estas convenciones, que alcanzaron su madurez después de la Primera Guerra Mundial, establecieron reglas para el trato a civiles, prisioneros de guerra y heridos, así como la prohibición de cierto tipo de armas, tales como gas venenoso. La preservación de estos principios es de una relevancia solemne para miles de millones de personas, aunque no existe aún una manera clara de aplicarlos a los ciberataques. Aunque es poco probable convencer a los países de la necesidad de firmar un tratado con consecuencias jurídicas, las normas internacionales podrían tener el mismo efecto.

Como una manera de avanzar, el EastWest Institute ha creado Cyber 40, con delegados provenientes de 40 países avanzados digitalmente. Nuestro equipo se especializa en negociaciones entre países que no usualmente no cooperan, y yo mismo encabezo la Worldwide Cybersecurity Initiative (Iniciativa Mundial de Ciberseguridad) del instituto. Hemos hecho ya recomendaciones prácticas sobre spam, piratería y hacking, muchas de las cuales han sido ya implementadas. Desde que hicimos nuestra primera propuesta para “las reglas del juego” para ciberconfictos en un reporte Rusia-Estados Unidos en la Conferencia de Seguridad Munich 2011, las ideas han obtenido más atención. Otros grupos trabajan también en asuntos legales alrededor de los ciberataques –la mayoría de ellos relacionados con la OTAN en Tallinn, Estonia, que publicó sus resultados en marzo como el Manual Tallinn.

En cooperación con personal de la industria y equipos de especialistas en China, Rusia y otros países, estamos ahora tratando de definir acuerdos humanitarios prácticos para los ciberconflictos. Tales acuerdos podrían, por ejemplo, señalar la infraestructura civil como hospitales y registros médicos electrónicos fuera de los límites de un ciberataque. Tenemos la esperanza de al menos iniciar las conversaciones sobre si algunas ciberarmas son análogas a las prohibidas en las convenciones de La Haya y Ginebra por ser ofensivas “a los principios de humanidad y dictados de la conciencia pública”.

Antes de que estas actividades escalen a ciberataques que ocasionen la destrucción de vidas inocentes, debemos poner en práctica las lecciones del pasado amargo y establecer normas para el ciberconflicto. Se deben definir objetivos aceptables y se debería incluso poner límite a las ciberarmas, tal y como se hizo con las armas químicas hace casi cien años.

Nuestro equipo internacional ha revisado los 750 artículos de las convenciones de La Haya y de Ginebra, buscando la manera de transferir directamente la regla del mundo físico al mundo cibernético. Muy a menudo la situación es más  simple en el mundo material: por ejemplo, la diferencia entre operaciones rutinarias de inteligencia y la guerra es relativamente clara. En las ciberoperaciones, la infiltración de una red de computación podría ser espionaje o el preludio de una acción ofensiva –pero el mecanismo es el mismo en ambos casos.

Aparentemente prohibiciones claras, tales como el ataque a hospitales, se hace más complicadas cuando se trata del ciberespacio. En el mundo físico, los militares pueden fácilmente distinguir entre un hospital y una base militar, y pueden planear sus campañas de acuerdo a eso. En el mundo cibernético, todo está entrelazado. Los registros de un hospital pueden almacenarse en un centro de datos que también almacene registros de un contratista militar. En realidad, es la facilidad con la cual la información y las funciones de búsqueda pueden ser distribuidas a través de redes lo que hace el ciberespacio algo valioso.

Cuando construimos la Internet, no estábamos pensando en como implementar las Convenciones de Ginebra en línea. Para adaptar esas reglas a nuestro tiempo, debemos modelar ciberconflictos, definir objetivos legítimo y sugerir formas de cumplir con esas normas.

Tendremos que marcar de alguna manera los objetivos no atacables. Las convenciones de Ginebra y La Haya indican que las entidades protegidas (como hospitales y ambulancias) y personal protegido (médicos, por ejemplo) deben ser marcadas de manera visible y distinta, con una cruz roja o media luna roja. Identificar un hospital en los mapas disponibles constituye otro de esos avisos.

Hemos estado realizando valoraciones sobre la especial forma de determinar los intereses humanitarios en el ciberespacio. Estamos actualmente trabajando con nuestros socios internacionales para evaluar cierta cantidad de soluciones técnicas para este reto. Por ejemplo, una idea inicial fue utilizar “.+++” para identificar direcciones de internet de hospitales y bases de datos de salud.

Por supuesto, la sola identificación de zonas protegidas en el ciberespacio no detendría a los malandrines de entrar en ellas; igualmente, una cruz roja no rebota una bomba sobre una clínica médica. El asunto es que tal identificación o marcador daría la opción de cumplir con esa norma para que al escribir virus o realizar ataques se evite afectar las instituciones así designadas.

Asumiendo que podemos visualizar un sistema para crear lugares seguros en la Internet, otra preocupación es como lograr que todas las partes se involucren. En el pasado, las reglas de la guerra obtenían fuerza si las naciones más fuertes decidían seguir la norma. Sin embargo, eso no es suficiente para asegurar la utilidad de las normas en los ciberconflictos, ya que los cibersoldados podrían no ser actores de un estado o incluso ser sólo un individuo actuando por su propia cuenta. Para lograr que estas personas respeten las reglas, será necesario que los gobiernos de todo el mundo se junten para condenar cierto tipo de actos. Tal tipo de consenso tendría la suficiente fuerza moral para aislar los ciberataques que sobrepasen la línea.

La primera vez que pensé sobre este asunto fue cuando trabajaba en el National Security Telecommunications Advisory Committee para el presidente George W. Bush. En el 2002, cuando nuestro grupo se reunió con el vicepresidente Dick Cheney en la Casa Blanca, un miembro del comité le preguntó a Cheney sobre con qué países deberían los Estados Unidos tratar temas de ciberseguridad. Su primera respuesta fue obvia: los países de habla inglesa que estarían interesados en asociarse con nosotros. “pero la segunda respuesta realmente los sorprenderá”, dijo. Nunca escuchamos su respuesta. En ese momento, personal del Servicio Secreto se acercó a él y a nosotros para llevarnos a un lugar seguro. Todo se debió a una falsa alarma que sonó cuando un avión Cessna pequeño accidentalmente violó espacio aéreo restringido sobre la Casa Blanca.

Sin embargo, eso no es suficiente para asegurar la utilidad de las normas en los ciberconflictos, ya que los cibersoldados podrían no ser actores de un estado o incluso ser sólo un individuo actuando por su propia cuenta

Desde entonces, he pensado sobre cual sería la segunda parte de la respuesta de Cheney –y el trabajo de mi vida ha sido encontrar mi propia respuesta. He llegado a la conclusión que debemos trabajar con los países difíciles ya que esos son los países que más importan. “Países difíciles” significará distintas cosas para distintos países; para Estados Unidos esa lista seguramente incluiría a Rusia y China, ambos formidables por sus proezas tecnológicas.

La Iniciativa Mundial de Ciberseguridad del EastWest Institute ha iniciado ya procesos bilaterales con expertos de Estados Unidos y Rusia para definir los términos utilizados en discusiones sobre ciberconflictos,  de manera que en el futuro los negociadores tendrán un diccionario claro que les ayudará a diferenciar, por ejemplo, entre cibercrimen y ciberterrorismo.

Hemos también reunido a expertos estadounidenses y chinos para generar recomendaciones conjuntas para combatir el spam y botnets –las redes de computadores hackeadas que son usadas en algunos ataques. Estas recomendaciones fueron adoptadas por el Messaging, Malware, and Mobile Anti-Abuse Working Group, grupo que reúne a las más grandes empresas de internet para desarrollar estrategias y colaborar en proyectos conjuntos. Recientemente, hemos trabajado con nuestras contrapartes chinas para emitir recomendaciones en la manera de resolver conflictos sobre hacking. Con estos esfuerzos, hemos preparado el camino para extender los principios humanitarios de las convenciones de Ginebra y La Haya en el ciberespacio.

Se dice a menudo que las normas internacionales son inservibles –que los países sólo raramente recurren a armas químicas o biológicas por el miedo de ser contraatacados de la misma manera. Sin embargo, los eventos recientes en la guerra civil en Siria, muestran que las normas son importantes. El gobierno sirio, que no forma parte de la Convención de Armas Químicas, sintió el rechazo mundial cuando utilizó gas venenoso contra fuerzas rebeldes y civiles. Estados Unidos amenazó con intervenir en la guerra como protesta por esta acción. Sin embargo, la amenaza fue revocada cuando los aliados del régimen sirio –principalmente Rusia, que se oponía en teoría al uso de armas químicas– ideó un plan para quitar las armas químicas al gobierno sirio.

Este caso ilustra algunos de los problemas a los que se enfrentará cualquier intento de aplicar normas a la ciberguerra, siendo el más obvio el problema de ubicar la posición del ejecutor del ataque. El gobierno sitio sostuvo que no había violado ninguna ley internacional sobre guerra química, y algunos observadores estuvieron de acuerdo en que no estaba claro sobre quién había realizado qué. Puedo haber sido incluso una provocación, o quizá, un disparate por parte de los rebeldes. Afortunadamente, la comunidad internacional pudo llegar a una solución práctica a pesar de la carencia de pruebas.

Si somos capaces de determinar los parámetros de la decencia humana básica en una ciberguerra, quizá también podamos prohibir algunos aspectos de esa guerra también. Al menos, podemos discutir sobre eliminar algunas ciberarmas del arsenal. Algunas de ellas tienen el potencial de un comportamiento viral, sin discriminar el tipo de objetivos y todas a la velocidad de la computación. Estos atributos, combinados con una causa beligerante, son una razón entendible para nuestra preocupación.

Se dice a menudo que las normas internacionales son inservibles –que los países sólo raramente recurren a armas químicas o biológicas por el miedo de ser contraatacados de la misma manera.

Podemos traer los principios de las Convenciones de Ginegra al siglo XXI si acordamos que vale la pena preservar estas normas y que la guerra no tiene que ser la inflicción del mayor sufrimiento sobre el enemigo. Algunos podrán decir que soy ingenuo, pero creo que la humanidad puede ser civilizada incluso en una era donde nos adentramos en ciberconflictos.

Este artículo fue publicado originalmente en línea aquí.
Traducción de: Julio C. Palencia

Encuentras el Manual Tallinn aquí.

Karl Rauscher recientemente finalizó su trabajo como jefe de tecnología y miembro distinguido del EastWest Institute, donde dirigó la Iniciativa Mundial Sobre Ciberseguridad, que condujo varias discusiones de política bilateral entre China, Rusia y Estados Unidos. Rauscher, ingeniero eléctrico, tiene la esperanza que las naciones puedan sentarse a discutir los límites de los ciberataques, y él quiere asegurarse que los ingenieros están involucrados en esta conversación. “El mundo no puede resolver este problema sin los ingenieros eléctricos”, dijo.