Las empresas son ahora combatientes en una ciberguerra con China e Irán

Bancos estadounidenses según se informa ser objeto de un ciberataque hostil por parte de Irán. Empresas de medios de comunicación de élite confirmar sus firewalls han sido violados por ciberataques chinos exitosos. De hecho, el presidente de Google, Eric Schmidt declara audazmente China, el país «hacker más sofisticado y prolífico» del mundo. El presidente de los Estados Unidos según se informa ha asumido nuevos poderes para preservar, proteger y defender las infraestructuras digitales de los Estados Unidos.

Los escenarios I ofrecido ya que una evaluación seria de las amenazas empresariales de hace casi dos años, ahora parece demasiado educada y conservadora en retrospectiva. La naturaleza intrínsecamente global de Internet y las oportunidades que ofrece de hacer travesuras, manipulaciones y caos aparentemente han demostrado ser irresistibles. Las empresas con negocios en China que ofenden a las autoridades u ofrecen oportunidades de espionaje industrial (o posindustrial) han sido atacadas. Parece una ciberguerra «fría» en la que los «humanos» han sido reemplazados digitalmente por bots, registradores y virus. Los supuestos ataques iraníes son más disruptivos; hay menos ejercicios de espionaje activo que pinchazos, picanas y sondas para determinar las debilidades de los sistemas explotables.

Parafraseando a Trotsky, puede que no le interese la ciberguerra, pero la ciberguerra sí que le interesa.

Los negocios, tanto globales como empresariales, son el objetivo difícil en este caso. Si su empresa utiliza las redes digitales para gestionar las cadenas de suministro, las relaciones con los clientes, las comunicaciones internas, las finanzas o la información confidencial que pueda interesar a los ciberguerreros chinos o iraníes, es fundamental replantearse la evaluación del riesgo. Si está subcontratando la Web 2.0 a Amazon Web Services u otros proveedores de nube, tiene que saber que sus protocolos de seguridad y planes de contingencia se han intensificado hasta convertirse en elementos críticos.

Pero, sobre todo, tiene que reconocer que la realidad de los ciberconflictos dicta que «el gobierno» —definido e interpretado en términos generales— se convertirá cada vez más en el nuevo mejor amigo de las empresas en el ciberespacio. El alcance intrínsecamente internacional de Internet significa que todos y cada uno de los ciberataques, graves o casuales, atraviesan múltiples soberanías y jurisdicciones. Cuando la filial europea de un banco estadounidense (o proveedor de servicios web) es atacada, ¿a quién, exactamente, pide ayuda? ¿Estos «delitos» transfronterizos requieren la acción policial? ¿La intervención diplomática debería provenir de las autoridades estadounidenses o europeas? ¿Qué papel, público o encubierto, deberían desempeñar las respectivas agencias nacionales de inteligencia?

La nueva realidad más importante que se desprende de este (aparente) aumento de los ciberataques patrocinados por el estado contra la empresa privada es que las empresas individuales están mal equipadas y mal posicionadas para hacer frente a estas incursiones por sí mismas. Las empresas no pueden —ni deben— librar unilateralmente una ciberguerra contra los países. Pero esperar un recurso legal efectivo por parte de naciones soberanas que tienen, en el mejor de los casos, relaciones ambivalentes con el «estado de derecho» es una ilusión. Las empresas, desde emprendedores digitales hasta los gigantes de la lista Fortune 10, no tendrán más remedio que asociarse con el gobierno para establecer normas técnicas, protocolos de notificación de incidentes y respuestas a las contramedidas con la esperanza significativa de disuadir o negar los ciberataques patrocinados por el estado.

Esa cooperación, colaboración y coordinación no serán «gratuitas». Es probable que veamos un aumento de la vigilancia y el monitoreo de las nubes privadas e híbridas y de las redes propias, de modo que tanto los gobiernos como las empresas puedan adquirir más información y conocimiento sobre la naturaleza de los ataques y sus propias vulnerabilidades. Esto se convertirá en un enorme desafío para los defensores de la «privacidad» y las organizaciones que desconfían de ser demasiado abiertos con los datos de sus clientes y proveedores.

Pero si los piratas informáticos patrocinados por el estado corrompen las comunicaciones entre las firmas de servicios financieros europeas y sus megatacentros en la India, ¿qué recurso existe? Si los ciberguerreros patrocinados por el estado persiguen las ofertas de «servicios en la nube» de Microsoft, SAP, IBM y/o Amazon y generan disrupción en el sistema nervioso digital de millones de usuarios, las fuertes protestas diplomáticas parecen impotentes. Si China o Irán lograran cerrar la red de cajeros automáticos de un banco importante durante una semana, ¿qué tipo de respuesta se califica de «proporcionada»?

¿Recuerda la «caída relámpago» de mayo de 2010, en la que el mercado de valores cayó casi 1000 puntos en cuestión de momentos? Supongamos, solo como experimento mental, que hubiera sido causado por un ciberataque patrocinado por el estado.

En otro contexto, Andy Grove, cofundador y exdirector ejecutivo de Intel, observó una vez: «Solo los paranoicos sobreviven». Los recientes ciberestallidos y escaramuzas son, metafóricamente, tomas digitales en la proa de las empresas occidentales y sus redes. Las empresas privadas suelen carecer de la capacidad legal y los recursos de seguridad para valerse por sí mismas ante los ataques patrocinados por el estado desde el extranjero. El excepcionalmente astuto historiador y estudioso de política exterior Walter Russell Mead observa que las interdependencias y vulnerabilidades globales que Internet crea para las empresas globales requieren una nueva entente entre el gobierno y las empresas. Afirma que los progresistas tradicionalmente pacifistas de Silicon Valley pronto exigirán una postura de seguridad nacional más sólida para Estados Unidos y Occidente ante una amenaza digital demostrable.

Si los ciberataques se vuelven más innovadores o intensos, es muy posible que Occidente vea surgir un «complejo militar y posindustrial» para proteger y hacer valer sus intereses.