Grupo La Colina

Nuevas normas para la ciberseguridad

 
   JOSEPH S, NYE JR.

El mes pasado, el secretario general de las Naciones Unidas, António Guterres, pidió una acción global para minimizar el riesgo que supone la guerra electrónica para los civiles. Guterres expresó su preocupación porque “no hay un esquema regulatorio para este tipo de guerra” y señaló que “no está claro de qué manera se le aplica la Convención de Ginebra o el derecho internacional humanitario”.

Diez años atrás, la ciberseguridad recibía poca atención como tema internacional. Pero desde 2013  se la describe como la mayor amenaza a la que se enfrenta Estados Unidos. Las cifras exactas son opinables, pero el Informe de Seguimiento de Ciberoperaciones del Consejo de Relaciones Exteriores señala que desde 2005 hubo casi 200 ataques con patrocinio estatal de 16 países, de los que 20 ocurrieron en 2016.

El término ciberseguridad se refiere a una amplia variedad de problemas que la pequeña comunidad de investigadores y programadores que desarrolló Internet en los años setenta y ochenta no tuvo muy en cuenta. En 1996, solo usaban Internet 36 millones de personas (cerca del 1% de la población mundial). A inicios de 2017 ya había 3.700 millones de personas conectadas, casi la mitad de la población mundial. A la par de este enorme aumento de la cantidad de usuarios desde fines de los noventa, Internet se convirtió en un sustrato vital de las interacciones económicas, sociales y políticas. Pero, junto con más interdependencia y oportunidades económicas, esto también trajo consigo vulnerabilidad e inseguridad. Algunos expertos anticipan que los macrodatos, el aprendizaje automático y el “Internet de las cosas” pueden llevar la cantidad de conexiones en la Red a casi un billón en 2035. Habrá una cantidad inmensa de posibles blancos de ataque por parte de agentes privados o estatales, desde sistemas de control industrial hasta marcapasos y autos sin conductor.

El poder de cómputo se duplica cada dos años; pero los hábitos humanos, las normas y las prácticas estatales cambian más lentamente.

Muchos observadores han pedido leyes y normas que protejan este nuevo entorno. Pero el desarrollo de esos estándares en el dominio cibernético se enfrenta a varios obstáculos. La Ley de Moore dice que el poder de cómputo se duplica cada dos años; es decir, el tiempo cibernético pasa muy rápido. Pero los hábitos humanos, las normas y las prácticas estatales cambian más lentamente.

Para empezar, como Internet es una Red transnacional de redes que en su mayoría son de propiedad privada, los actores no estatales son importantes. Las herramientas cibernéticas admiten un uso dual (civil o militar), veloz, barato y generalmente fácil de negar; difícil de verificar y atribuir; y al alcance de muchos. Además, aunque Internet es transnacional, la infraestructura y las personas de las que depende están dentro de las diferentes jurisdicciones de Estados soberanos. Y entre los principales hay diferencias de objetivos; Rusia y China insisten en la importancia del control soberano, mientras que muchas democracias presionan por una Internet más abierta.

Sin embargo, aquellos que dicen que “www” quiere decir Wild West Web (una red sin ley ni normas) exageran: en el ciberespacio hay reglas. Al mundo le llevó unos veinte años lograr los primeros acuerdos cooperativos para la limitación de conflictos en la era nuclear. Si el inicio del problema internacional de ciberseguridad lo situamos no en los orígenes de Internet a principios de los setenta, sino cuando comienza su adopción generalizada a fines de los noventa, entonces la cooperación intergubernamental para la limitación de ciberconflictos anda más o menos por la marca de los veinte años.

La primera propuesta para un tratado de las Naciones Unidas que prohíba las armas cibernéticas (incluso con fines de propaganda) la hizo Rusia en 1998; y junto con China y otros miembros de la Organización de Shanghái para la Cooperación, este país sigue impulsando que la ONU adopte una medida amplia de ese tipo. Pero Estados Unidos todavía considera que su verificación sería imposible.

Por su parte, el secretario general designó un grupo de expertos gubernamentales (UNGGE), que se reunió por vez primera en 2004, y en julio de 2015 propuso una serie de normas que más tarde fueron avaladas por el G-20. Los grupos de expertos no son infrecuentes dentro de la ONU, pero sí lo es que su trabajo ascienda desde la base de la organización hasta verse reconocido en una cumbre de los 20 Estados más poderosos. Pero aunque el UNGGE tuvo un éxito extraordinario, no consiguió ponerse de acuerdo para el siguiente informe en 2017.

¿Hacia dónde se dirige el mundo? Hay una variedad de propuestas de políticas que pueden sugerir y desarrollar normas. Por ejemplo, la nueva Comisión Mundial sobre la Estabilidad en el Ciberespacio (un organismo no gubernamental presidido por la exministra de Asuntos Exteriores de Estonia, Marina Kaljurand) solicitó que se proteja el núcleo público de Internet (definido como la combinación de enrutamiento, sistema de nombres de dominio, certificados de confianza e infraestructura crítica).

El Gobierno chino, a través de la serie de conferencias mundiales sobre Internet celebradas en Wuzhen, propuso unos principios que han sido avalados por la Organización de Cooperación de Shanghái y piden se reconozca el derecho de los Estados soberanos a controlar el contenido de Internet en sus territorios. Otros proponentes de normas incluyen a Microsoft, que pidió una nueva Convención de Ginebra para Internet. Igualmente importante es el desarrollo de normas de privacidad y seguridad en cuestiones como el cifrado, las “puertas traseras” y la eliminación de pornografía infantil, comentarios infamantes, desinformación y amenazas terroristas.

Mientras los Estados miembros contemplan los próximos pasos en el desarrollo de una normativa para el ciberespacio, tal vez convenga no depender demasiado de una institución sola, como el UNGGE. Es posible que el progreso demande trabajo simultáneo en diversos ámbitos. En algunos casos, la elaboración de principios y prácticas entre estados con una visión similar puede llevar a normas que otros aceptarán más tarde (por ejemplo, el acuerdo bilateral alcanzado por China y Estados Unidos para la restricción del ciberespionaje comercial). En otros casos (como las normas de seguridad para el Internet de las cosas), puede ocurrir que la formulación de códigos de conducta surja de iniciativas del sector privado, las compañías de seguros y actores sin fines de lucro.

Lo único que podemos decir con certeza es que el desarrollo de normas de ciberseguridad será un proceso prolongado. Sin embargo, el progreso en un área no tiene por qué depender del progreso en otras.

Joseph S. Nye, Jr. es profesor en Harvard y autor de The Future of Power [El futuro del poder].
Traducción de Esteban Flamini.
© Project Syndicate, 2018.