La ceremonia de inauguración de los Juegos Olímpicos de Invierno de PyeongChang 2018 tuvo a un invitado no deseado. Los organizadores del encuentro deportivo confirmaron que los servicios de televisión e internet de los juegos se vieron comprometidos por un ciberataque. El Comité Olímpico Internacional no dio más detalles sobre la vulneración y su vocero dijo que no revelarían la identidad del atacante, esto a pesar de que la experiencia señala que la atribución de la responsabilidad de un delito cibernético disminuye la posibilidad de que se cometan otros del mismo tipo.

La atribución de delitos cibernéticos es un problema complejo que requiere la participación de los sectores público y privado. La confianza de empresas y organizaciones civiles depende en buena medida de las garantías que los gobiernos ofrezcan para investigar y perseguir delitos como el hacking, el spyware o el robo de identidad.

En el caso del ciberataque a los sistemas de los Juegos Olímpicos, se ha especulado acerca de que la exclusión de Rusia debido a prácticas de dopaje motivó la participación de hackers rusos en ciberataques contra la organización. También se ha hecho referencia a las tensiones entre las dos Coreas como otra posible causa de estos ataques. Sin embargo, el silencio de la organización de los juegos hace imposible que se pueda atribuir algún tipo de responsabilidad ante este ciberataque.

De acuerdo con el Manual de ciberresiliencia para la colaboración público privada, elaborado por el Foro Económico Mundial y The Boston Consulting Group, no atribuir a un individuo, organización u Estado la responsabilidad por haber cometido un ataque cibernético podría invitar a que se cometan otros ataques y al mismo tiempo socavar la confianza de las personas.

El documento detalla que existen varias formas de aproximación de la política pública sobre la atribución de ataques. Por un lado, el gobierno puede ignorar las atribuciones hechas por compañías privadas y no verse obligado a perseguir un delito informático. Una segunda política sería escuchar a las organizaciones privadas y perseguir los delitos informáticos sin la validación de lo que éstas dijeran.

 

Para Emily Orton, directiva de la firma de ciberseguridad inglesa Darktrace, el objetivo de una empresa u organización es continuar funcionando y no verse comprometida por un ataque cibernético. En caso de que este ocurra, para la compañía es más importante controlar y reaccionar ante un ciberdelito que investigar quién lo cometió y por eso es necesario que sea el gobierno el que atienda las llamadas de atención del sector privado e investigue y adjudique la responsabilidad. “Tienen que establecer un modelo de atribución porque en este momento el ciberdelito es muy atractivo, debido a que ofrece mayor impunidad que un delito en la calle y es necesario hacerlo menos seductor”, dijo Orton.

Jacobo Nájera, investigador de Enjambre Digital, un colectivo para la defensa de los derechos fundamentales, cree que la atribución de un ciberdelito es una tarea compleja, incluso desde la perspectiva científica, porque cualquier infraestructura que esté conectada a la red puede verse comprometida y ser usada para un fin distinto para el que originalmente fue destinada. De esta forma, una página de la Secretaría de Educación Pública puede ser utilizada para minar criptomonedas sin que sea esa oficina la que busque obtener ganancias utilizando la capacidad de procesamiento de sus usuarios. “Usamos computadoras compartidas y probar la voluntad en un contexto con esas cualidades no siempre resulta en evidencia que pueda sostener una atribución”, dijo Nájera.

Para el investigador, atribuir la responsabilidad de un ciberdelito e incluso de un delito regular requiere formas de investigación que entran en tensión con los derechos fundamentales. Nájera recuerda el conflicto entre Apple y las autoridades de Estados Unidos sobre el requerimiento para que la compañía abriera el acceso a los datos de un smartphone iPhone en particular, a lo que la empresa se negó. “Hay que defender el derecho a la privacidad de las personas y la integridad de los sistemas que usan”, dijo Nájera.

De acuerdo con el manual del Foro Económico Mundial, si bien la atribución es técnicamente posible, en la práctica son pocos los actores que tienen la capacidad de establecerla de manera confiable; en casos como el ataque a los Juegos Olímpicos de Corea del Sur, el manual establece que si se acusa a un Estado de perpetrar un ataque se corre el riesgo de empeorar la situación diplomática entre países.

Tal vez esta sea la razón por la que los organizadores de los Juegos Olímpicos de PyeongChang 2018 han mantenido en secreto la mayoría de los detalles sobre el ataque durante la ceremonia de inauguración. Sin embargo, el Foro Económico Mundial advierte que, en el largo plazo, la atribución puede mejorar la postura de disuasión de un país, lo que puede limitar futuros ataques y generar confianza pública.

[email protected]