Algunas consideraciones en torno a la militarización del ciber-espacio
Política
Por: Gabriela Nava - 06/10/2011
La nueva estrategia militar del Pentágono clasifica todo ataque cibernético deliberado por parte de otras naciones como un acto de guerra.
Pocos días después de que el ataque cibernético a Lockheed Martin Aeronautics (el contratista militar más grande de los Estados Unidos fabricante, entre otras cosas, del avión de combate F-16) accionara las alarmas del establishment militar en Estados Unidos, altos funcionarios del Departamento de Defensa adelantaron al periódico Wall Street Journal que la nueva estrategia militar del Pentágono —de inminente presentación oficial— clasifica todo ataque cibernético deliberado por parte de otras naciones como un acto de guerra. El portavoz del Pentágono, Coronel Dave Lapan, dejó muy en claro que los Estados Unidos considerarían todas las opciones —incluso las militares— para responder a una agresión de esta naturaleza.
Las invasiones de piratas cibernéticos con fines ideológicos, estratégicos o simplemente criminales no son nada nuevo. Con todo, las dimensiones casi épicas de algunos de los incidentes más notables del último año han subrayado la urgencia de invertir en el desarrollo de mejores sistemas de protección y han intensificado el debate en torno a la potencial militarización del ciber-espacio. El asalto a la Red PlayStation comprometió la información financiera de aproximadamente 70 millones de usuarios y exhibió a Sony en una situación de fragilidad muy embarazosa. Pero los repetidos intentos de invasión a los sistemas de organizaciones militares (y sus contratistas) por parte de agencias de inteligencia o sus operadores en diversas partes del mundo , así como la propagación de gusanos cuyo objetivo es destruir (o por lo menos dañar) recursos estratégicos del enemigo, apuntan al ciber-espacio como el nuevo campo de batalla entre naciones.
Antes de que se descubriera que una nación enemiga podía ser saboteada enviándole un gusano cibernético, quedaba más o menos claro bajo qué condiciones un ataque armado se considera legítimo. Y habría que decir que, incluso en esos casos, el margen para la interpretación era bastante amplio. En el ciber-espacio la indefinición es todavía mayor. Lo anterior no solo torna mucho más difícil la regulación de este tipo de conflictos; también pone en entredicho las ventajas del ciber-espacio como campo de batalla. Después de todo, si bien la protección del interés nacional puede tener prioridad sobre la legalidad de los actos bélicos, la mayoría de los países preferiría que la comunidad internacional reconociera la legitimidad de sus actos.
La Carta de las Naciones Unidas sugiere que la primera condición para declarar una guerra en legítima defensa se da cuando una nación ataca o agrede el territorio de otra utilizando cualquier tipo de arma. Los gusanos cibernéticos, virus y demás formas de malware son, para efectos prácticos, armas. Durante la guerra entre Rusia y Georgia en 2008 provocaron la caída de los sistemas del gobierno georgiano y obstaculizaron la comunicación entre éste y los ciudadanos. Stuxnet trastornó las operaciones de la planta nuclear de Natanz y si bien no acabó con el programa nuclear iraní, lo retrasó, al tiempo que infectaba miles de computadoras en lugares tan distantes como Azerbaijan, Alemania y los Estados Unidos, entre otros.
Sin embargo, no es del todo claro cuándo un ataque cibernético justifica una respuesta bélica. Primero, porque estamos muy lejos de definir el tipo de ataque cibernético que calificaría, siguiendo los lineamientos de la ONU, como uso de la fuerza o agresión armada. Hasta donde se sabe, las intrusiones en los sistemas del Departmento de Defensa norteamericano han sido maniobras de espionaje que en ningún caso han producido daños de gran consecuencia o pérdidas humanas. Por otro lado, si los incidentes del 11 de septiembre hubieran sido producto de sabotaje cibernético a las torres de control aéreo que dirigían los vuelos que chocaron contra el Pentágono y las Torres Gemelas, no cabe duda de que el ataque habría calificado como agresión armada. Sin embargo, imaginemos un escenario en el que un virus colapsa temporalmente el sistema de pagos o entorpece el funcionamiento de la industria energética: los daños económicos y financieros serían sin duda, en estos casos, enormes. ¿Justificaría esto el uso de la fuerza?
Al final del día, es posible que consideraciones de índole mas pragmática sean las que dominen este debate. En el caso de Stuxnet, por ejemplo, Irán no demoró mucho en responsabilizar a los gobiernos de Estados Unidos e Israel por el ataque a Natanz, aunque insistiendo reiteradamente en que los daños causados fueron mínimos y la operación en general un fracaso. Con todo, queda la duda de si Irán habría buscado algún tipo de sanción contra los perpetradores incluso en el supuesto de que los daños hubieran sido significativos, pues corría el riesgo de exponer un programa nuclear en verdad encaminado a la fabricación de armas (objetivo que el gobierno iraní siempre ha negado).
Quizá de mayores alcances es la dificultad práctica para identificar al o los perpetradores de estos ataques en el ciber-espacio y atribuirles responsabilidad más alla de toda duda razonable. Lo anterior es pre-requisito para la planificación de cualquier represalia que busque minimizar daños colaterales. Las intrusiones de hackers pueden ser más o menos obvias al ojo entrenado pero siempre dejan rastros. El problema con gusanos como Stuxnet o los famosos botnets lanzados contra Georgia es que los rastros no apuntan hacia ninguna nación específica —la genialidad de estos artefactos, como explicaron recientemente expertos de Symantec, el Departmento de Defensa de EU y la Universidad de Toronto, es que utilizan código desarrollado y probado por criminales cibernéticos alrededor del mundo y que se encuentra ampliamente disponible. Así pues, mientras que alguna evidencia circunstancial (que el periódico New York Times y otros espacios difundieron en su oportunidad) sugiere la participación de Estados Unidos e Israel en Stuxnet, el proceso de neutralización reveló que parte del código empotrado en el gusano bien podría ser de orígen ruso. En el mejor de los casos, los fragmentos residuales pueden ser rastreados hasta un código numerico (IP address) asignado a todas las computadoras con acceso a internet, pero el ataque pudo haberse generado a miles de kilómetros de ahí, en un país neutral o dentro del mismo territorio de la nación agredida. Está por verse si en estos casos las nociones tradicionales de soberanía nacional y neutralidad no se revelan anacrónicas, obsoletas y rebasadas en este contexto de operaciones digitales.
Este es, sin duda, un tema fascinante con muchas dimensiones aún inexploradas. Por lo pronto, habrá que esperar por la respuesta del Pentágono, su manera de aborda los detalles de esta nueva estrategia y hasta qué punto serán de conocimiento público. Será tambien muy interesante observar la reacción internacional al respecto.