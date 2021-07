Incluso si los tratados formales de ciberseguridad son inviables, aún puede ser posible establecer límites a ciertos tipos de objetivos civiles y negociar reglas de tránsito estrictas. Si el presidente de los Estados Unidos, Joe Biden, logró lanzar un proceso de este tipo en su reunión del mes pasado con el presidente ruso Vladimir Putin, podría quedar claro en poco tiempo.

CAMBRIDGE – Durante la primera reunión cumbre entre los presidentes de Estados Unidos, Joe Biden, y de Rusia, Vladímir Putin, en Ginebra el mes pasado, las armas cibernéticas fueron el tema preponderante en la agenda sobre los relativos a las armas nucleares. Claramente, el mundo cambió desde la Guerra Fría, pero ¿logró algo Biden?

Desde hace más de dos décadas Rusia propone un tratado cibernético en las Naciones Unidas, pero Estados Unidos consideró que no sería posible verificar su cumplimiento. A diferencia de las armas nucleares, las armas cibernéticas se distinguen de los demás programas para computadoras simplemente por la intención del programador.

En vez de un tratado, Rusia, Estados Unidos y 13 estados más acordaron normas voluntarias, redactadas por grupos de expertos gubernamentales patrocinados por la Organización de las Naciones Unidas (ONU), que prohíben los ataques a la infraestructura civil de los demás y los actos ilícitos desde sus territorios.

Aunque se confirmaron esas normas en el seno de las Naciones Unidas en la primavera pasada, los escépticos señalan que poco después de aceptar un informe de 2015, Rusia atacó la red de distribución eléctrica de Ucrania y en el 2016 interfirió en la elección presidencial estadounidense.

A diferencia de Estados Unidos, que estableció un Comando Cibernético (uscybercom) en el 2010, Rusia nunca admitió formalmente sus capacidades informáticas ofensivas. Ambos países se infiltran en las redes de otros para obtener inteligencia, pero a veces resulta difícil distinguir entre el espionaje y la preparación para la batalla. Por eso, Estados Unidos se quejó este año del ataque ruso a la empresa estadounidense SolarWinds, que, según se afirma, infectó al menos a nueve grandes agencias gubernamentales y a más de 100 corporaciones de tamaño significativo.

Incluso si los tratados para el control de armas son impracticables, tal vez sea posible fijar límites sobre ciertos tipos de blancos civiles y negociar las reglas de juego a grandes rasgos. Por ejemplo, a pesar de sus profundas diferencias ideológicas, en 1972 Estados Unidos y la entonces Unión Soviética negociaron un Acuerdo sobre Incidentes Marítimos para limitar los comportamientos navales que pudieran derivar en escaladas peligrosas.

El espionaje no infringe el derecho internacional y un acuerdo para prohibirlo no sería creíble, sin embargo, Estados Unidos y Rusia podrían negociar límites a sus comportamientos sobre el grado (aunque no la existencia) de sus actividades de espionaje cibernético. O podrían acordar límites a la intervención en los procesos políticos internos del otro. Incluso sin acuerdos ni definiciones precisas, podrían intercambiar declaraciones unilaterales sobre áreas de autolimitación y establecer un proceso consultivo regular para limitar los conflictos.

Este parece haber sido el enfoque que exploró Joe Biden en Ginebra. Según los informes de la prensa, el presidente de Estados Unidos entregó a Vladimir Putin una lista de 16 áreas de infraestructura crítica -entre las que se cuentan la energía, la salud, las tecnologías de la información, los servicios financieros, los productos químicos y las comunicaciones- que, según él “deben quedar al margen de los ataques, sin discusión”.

En cierto modo, esto no es nuevo. Hace mucho que los estadounidenses publicaron la lista de lo que consideran infraestructura crítica en el sitio web de la Agencia para la Seguridad Informática y de la Infraestructura de Estados Unidos, pero es distinto cuando un jefe de Estado le entrega una lista a otro.

Después de la reunión, Biden reveló que le preguntó a Putin cómo se sentiría si los ductos rusos fueran atacados con programas de chantaje (ransomware), como ocurrió con el Colonial Pipeline en mayo en Estados Unidos, que fue afectado por criminales desde Rusia. Esto sería muy costoso para la economía rusa, que depende fuertemente de esa infraestructura para exportar gas. Los estadounidenses no atribuyeron ese ataque al gobierno ruso, pero sus expertos han notado que los grupos criminales suelen funcionar en Rusia con impunidad, siempre que sus ataques dejen al margen al país.

En su conferencia de prensa después de la cumbre, Biden dijo: “Le señalé que contamos con capacidades informáticas significativas. Él lo sabe. No sabe exactamente de qué se trata, pero son significativas. Y, de hecho, si infringen estas normas básicas, responderemos con la cibernética. Lo sabe”.

En otras palabras, Biden insinuó ante su par, y después ante los medios, una amenaza disuasoria si Rusia continúa infringiendo las normas voluntarias que prohíben ataques a la infraestructura civil y el uso de su territorio con objetivos perjudiciales. Putin es inteligente, ciertamente recibió el mensaje, pero las mejoras en el comportamiento ruso dependerán de la credibilidad de Biden.

Fijar límites infranqueables puede ser complicado. A algunos críticos les preocupa que al especificar qué hay que proteger, tal vez Biden haya dado a entender que otras áreas quedan exentas de las restricciones. Además, para que los límites sean eficaces, hay que hacerlos cumplir. Los críticos afirman que el mensaje debió centrarse en el alcance del daño y no en la forma utilizada o el objetivo afectado.

Para tratar de explicar lo anterior con una analogía, no se le dice al anfitrión de una fiesta que apague toda la música, se le advierte que si el ruido se torna intolerable, se informará a la policía. La manera en que Putin interpretará el mensaje de Biden se verá en los meses venideros, pero ambos presidentes acordaron establecer un grupo de trabajo informático para tratar de definir los límites de lo “tolerable”.

Estados Unidos tendrá que declarar unilateralmente las normas a las que promete atenerse. Cuando Rusia las infrinja, Estados Unidos tendrá que estar preparado para tomar represalias específicas, como vaciar las cuentas bancarias de oligarcas privilegiados, liberar información embarazosa o trastocar las redes rusas.

La estrategia de “defensa de vanguardia” de uscybercom y su continua participación pueden ser útiles como disuasivos, pero deben ir acompañadas por un proceso de discreta comunicación.

Los grupos criminales a menudo actúan, en diversos grados, a instancias de los gobiernos. Estados Unidos tendrá que dejar asentado con toda claridad que funcionar como refugio para los cibercriminales tendrá consecuencias.

Debido a que las reglas de juego nunca son perfectas, hay que acompañarlas con un proceso consultivo regular que establezca el marco referencial para las advertencias y negociaciones.

En los próximos meses tal vez quede claro si el presidente Biden tuvo éxito en Ginebra para iniciar un proceso de ese tipo, o si las relaciones cibernéticas entre Rusia y Estados Unidos seguirán tan mal como de costumbre.

El autor

Joseph S. Nye, Jr. es profesor en Harvard University y autor de Do Morals Matter? Presidents and Foreign Policy from FDR to Trump.

Copyright: Project Syndicate, 2020

www.projectsyndicate.org