Artículos

La siguiente fase de la ciberseguridad: Ciberdisuasión

por Dorothy Denning traducción David Ormeño

Los atacantes cibernéticos representan muchas amenazas para una amplia gama de objetivos. Rusia, por ejemplo, fue acusada de piratear computadoras del Partido Demócrata durante todo el año, interfiriendo con las elecciones presidenciales de Estados Unidos. Luego estaba el desconocido atacante que, en un solo día de octubre, utilizó miles de dispositivos conectados a Internet, como grabadoras de vídeo digitales y cámaras comprometidas por el malware Mirai, para derribar varios sitios web de alto perfil, entre ellos Twitter.

Entre 2005 y 2015, las agencias federales informaron un aumento del 1.300 por ciento en los incidentes de ciberseguridad. Evidentemente, necesitamos mejores formas de abordar esta amplia categoría de amenazas. Algunos de nosotros en el campo de la ciberseguridad nos preguntamos si la ciberdisuasión podría ayudar.

La disuasión se centra en hacer que los adversarios potenciales se lo piensen dos veces antes de atacar, obligándoles a considerar los costes de hacerlo, así como las consecuencias que podrían derivarse de un contraataque. Hay dos principios fundamentales de la disuasión. La primera, la negación, consiste en convencer a los posibles atacantes de que no tendrán éxito, al menos sin un esfuerzo y costo enormes más allá de lo que están dispuestos a invertir. El segundo es el castigo: Asegurarse de que los adversarios sepan que habrá una respuesta fuerte que podría causar más daño del que están dispuestos a soportar.

Durante decenios, la disuasión ha contrarrestado eficazmente la amenaza de las armas nucleares. ¿Podemos lograr resultados similares contra las armas cibernéticas?

Por qué la disuasión cibernética es difícil

La disuasión nuclear funciona porque pocos países tienen armas nucleares o los recursos significativos necesarios para invertir en ellas. Los que los tienen reconocen que lanzar un primer ataque corre el riesgo de dar una respuesta nuclear devastadora. Además, la comunidad internacional ha establecido instituciones, como el Organismo Internacional de Energía Atómica, y acuerdos, como el Tratado sobre la no proliferación de las armas nucleares, para contrarrestar la amenaza catastrófica que plantean las armas nucleares.

Las armas cibernéticas no se parecen en nada a las nucleares. Son fácilmente desarrolladas y desplegadas por individuos y pequeños grupos, así como por los estados. Son fácilmente replicadas y distribuidas a través de redes, haciendo imposible la esperanza de algo que podría llamarse “ciber no-proliferación”. Las armas cibernéticas a menudo se despliegan bajo un manto de anonimato, lo que dificulta averiguar quién es el verdadero responsable. Y los ciberataques pueden lograr una amplia gama de efectos, la mayoría de los cuales son perjudiciales y costosos, pero no catastróficos.

Esto no significa que la disuasión cibernética esté condenada al fracaso. La magnitud de los ciberataques exige que hagamos algo mejor para defendernos de ellos.

Hay tres cosas que podemos hacer para fortalecer la disuasión cibernética: Mejorar la ciberseguridad, emplear defensas activas y establecer normas internacionales para el ciberespacio. Las dos primeras medidas mejorarán significativamente nuestras defensas cibernéticas, de modo que aunque no se disuada un ataque, no tendrá éxito.

Reforzar la protección

La ciberseguridad contribuye a la disuasión principalmente a través del principio de negación. Detiene los ataques antes de que puedan alcanzar sus objetivos. Esto incluye el refuerzo de la seguridad de inicio de sesión, el cifrado de datos y comunicaciones, la lucha contra virus y otros programas maliciosos, y el mantenimiento del software actualizado para parchear los puntos débiles cuando se encuentren.

Pero aún más importante es el desarrollo de productos que tienen pocas o ninguna vulnerabilidad de seguridad cuando se envían e instalan. El botnet Mirai, capaz de generar flujos masivos de datos que sobrecargan los servidores de Internet, se apodera de dispositivos que tienen agujeros de seguridad, incluyendo contraseñas predeterminadas codificadas en firmware que los usuarios no pueden cambiar. Mientras que algunas empresas como Microsoft invierten mucho en la seguridad de los productos, otras, incluidos muchos proveedores de Internet-of-Things, no lo hacen.

El gurú de la ciberseguridad Bruce Schneier caracteriza acertadamente la prevalencia de dispositivos inseguros de Internet-of-Things como una falla del mercado similar a la contaminación. En pocas palabras, el mercado favorece los dispositivos inseguros baratos en lugar de los que son más costosos pero seguros. ¿Su solución? La regulación, ya sea imponiendo normas básicas de seguridad a los fabricantes o haciéndolos responsables cuando sus productos se utilizan en ataques.

Defensas activas

Cuando se trata de tomar medidas contra los atacantes, hay muchas maneras de monitorear, identificar y contrarrestar los ciberataques del adversario. Estas defensas cibernéticas activas son similares a los sistemas de defensa aérea que vigilan el cielo en busca de aviones hostiles y derriban los misiles que llegan. Los monitores de red que vigilan y bloquean (“shoot down”) los paquetes hostiles son un ejemplo, al igual que las honeypots que atraen o desvían los paquetes del adversario hacia áreas seguras. Allí, no dañan la red objetivo, e incluso pueden ser estudiados para revelar las técnicas de los atacantes.

Otro conjunto de defensas activas consiste en recopilar, analizar y compartir información sobre amenazas potenciales para que los operadores de red puedan responder a los últimos desarrollos. Por ejemplo, los operadores podrían escanear regularmente sus sistemas en busca de dispositivos vulnerables o comprometidos por la botnet Mirai u otro malware. Si encuentran alguno, podían desconectar los dispositivos de la red y alertar a los propietarios de los dispositivos del peligro.

La ciberdefensa activa hace mucho más que negar oportunidades a los atacantes. A menudo puede desenmascarar a las personas que están detrás de ellos, lo que conduce al castigo. Los atacantes no gubernamentales pueden ser clausurados, arrestados y procesados; los países que llevan a cabo o apoyan la guerra cibernética pueden ser sancionados por la comunidad internacional.

Sin embargo, en la actualidad, el sector privado es reacio a emplear muchas defensas activas debido a las incertidumbres legales. El Centro para la Seguridad Cibernética y Nacional de la Universidad George Washington recomienda varias acciones que el gobierno y el sector privado podrían tomar para permitir un uso más generalizado de las defensas activas, incluyendo la clarificación de las regulaciones.

Estableciendo normas internacionales

Por último, las normas internacionales para el ciberespacio pueden contribuir a la disuasión si los gobiernos nacionales creen que se les nombraría y avergonzaría dentro de la comunidad internacional por llevar a cabo un ciberataque. Estados Unidos presentó cargos en 2014 contra cinco hackers militares chinos por apuntar a empresas estadounidenses. Un año después, Estados Unidos y China acordaron no robar y explotar los secretos corporativos del otro para obtener ventajas comerciales. A raíz de esos acontecimientos, el espionaje cibernético de China se desplomó.

También en 2015, un grupo de expertos de las Naciones Unidas recomendó prohibir los ciberataques contra infraestructuras críticas, incluidos los equipos de respuesta a emergencias informáticas de un país. Y más tarde ese mismo año, el G20 emitió una declaración oponiéndose al robo de propiedad intelectual para beneficiar a las entidades comerciales. Estas normas podrían disuadir a los gobiernos de llevar a cabo tales ataques.

El ciberespacio nunca será inmune a los ataques, como tampoco lo serán nuestras calles. Pero con una mayor ciberseguridad, un mayor uso de ciberdefensas activas y normas cibernéticas internacionales, podemos esperar al menos mantener el problema a raya.