Los defectos de la iniciativa de ciberseguridad de Obama

El nuevo presidente Obama serie de propuestas tienen como objetivo abordar la creciente preocupación de que Estados Unidos no esté tomando medidas lo suficientemente duras contra el creciente problema de ciberseguridad de los estados nacionales y los delincuentes (normalmente bandas criminales) que atacan a los consumidores y las organizaciones estadounidenses. La motivación de los malhechores para hacerlo suele ser el dinero, pero también se roba la propiedad intelectual e Internet también se utiliza para cualquier cosa, desde el robo de identidad hasta objetivos políticos ilícitos.

Las piedras angulares de la propuesta son:

• Prohibir la venta de botnets y herramientas similares
• Dar a los tribunales la facultad de cerrar las redes creadas para la ciberdelincuencia, como las implicadas en Ataques de «denegación de servicio distribuida» (DDOS)
• Proteja de la responsabilidad a las empresas que comparten información con el gobierno sobre las amenazas informáticas

También pide una mejor cooperación entre las empresas y el gobierno a la hora de combatir la ciberdelincuencia.

No cabe duda de que los problemas son reales. Estamos perdiendo en el campo de batalla de la ciberseguridad. Por ejemplo, los beneficios que la TI contribuyó al PIB de los Países Bajos en 2014 se vieron anulados por el coste aún mayor de la ciberdelincuencia. La ciberdelincuencia se ha generalizado lo suficiente como para ser un lastre para el crecimiento en muchos países. Según algunas estimaciones, cuesta entre 500 000 y 1 billón de dólares en todo el mundo. Eso es más grande que el PIB de 75 países combinado.

Pero, ¿cuánto puede hacer un gobierno para abordar el problema de la ciberdelincuencia? ¿Y estas propuestas servirán de algo para arreglar la situación en los Estados Unidos? Muchas de las bandas criminales (y ciertamente los estados-nación) están al acecho más allá de la jurisdicción de los Estados Unidos o, al menos, más allá de la capacidad de las fuerzas del orden para rastrearlos en gran número. Por lo tanto, es probable que penalizar muchas de las actividades y productos asociados a la ciberdelincuencia tenga más un valor simbólico que un efecto real.

Esta es una limitación a la que se enfrentaría el gobierno de cualquier país, excepto quizás aquel en el que viven los ladrones. Rusia, por ejemplo, tiene un subsuelo que explota industria del cibercrimen. Las conclusiones de Trend Micro son que puede comprar una botnet directamente por unos 700 dólares o alquilar una durante una hora por 2 dólares, tiempo suficiente para causar daños graves. Troyanos que le permita espiar los mensajes de texto entrantes y salientes le costará 350 dólares.

Cada país tiene ahora sus propios productos especiales que vender. Al parecer, Brasil es el lugar al que ir si está buscando algún malware bancario. Las bandas chinas tienen su propia cartera especial que vender. En cuanto a la competencia entre Rusia y los Estados Unidos, los hogares de los principales anfitriones criminales, Rusia está ganando a lo grande. En tres meses de 2012, la proporción de servidores malintencionados en Rusia aumentó alrededor de un 10% y los Estados Unidos perdieron el 10% de sus ordenadores malos. Hay pruebas suficientes de que por cada actividad ciberdelictiva que se aplasta en los Estados Unidos, se la lleva un competidor en el extranjero, a precios más bajos. E incluso esas tasas están cayendo rápidamente a medida que más jugadores y países compiten por su parte del pastel.

En otras palabras, las propuestas de Obama abordan un problema que ya estaba disminuyendo en Estados Unidos. Los malos que realmente causan problemas a los estadounidenses (y a todos los demás) van más allá del brazo largo de la ley.

Pero, ¿qué hay de la parte sobre animar a las empresas a compartir información sobre las ciberamenazas con el Departamento de Seguridad Nacional de los Estados Unidos ofreciéndoles una «protección de responsabilidad específica»? Eso tiene que ser algo bueno, ¿verdad? Bueno, lo que pasa es que ya está sucediendo. En los Estados Unidos, muchos grupos empresariales ya comparten información —sin la participación del gobierno— sobre los ciberataques y las amenazas.

Cada uno de estos sectores se enfrenta a su propio tipo de ladrón feo, que busca utilizar su experiencia especializada para aprovechar las vulnerabilidades propias de ese sector. El Centro de intercambio de ciberinteligencia minorista ha estado en funcionamiento desde el año pasado, cuando unas 30 grandes empresas minoristas se unieron y decidieron compartir información sobre las amenazas entre sí. La industria del petróleo y el gas está haciendo algo similar a través de LONG-ISAAC (un acrónimo que probablemente nos haya traído el engendro de los mismos ingenieros expertos en marketing que acuñaron TCP/IP y PCMCIA). Y FS-ISAC hace lo mismo con la industria de los servicios financieros, un sector particularmente importante para Willie Sutton razones.

Tiene sentido que las empresas formen sus propios grupos industriales de ciberseguridad para combatir sus amenazas particulares. Las empresas individuales también se esfuerzan por proteger su valor, aunque los datos y la naturaleza de su trabajo suelen ser secretos.

Un problema mayor es que los ciberdelitos se denuncian muy poco y el miedo a la responsabilidad es solo una parte de el problema. Las empresas simplemente no ven los recursos gubernamentales disponibles para procesar con éxito los tipos de ciberdelitos que sufren, y el historial probablemente respalde esa opinión. ¿Por qué compartir información con el gobierno si no ayuda a su situación?

También hay muchos teóricos de la conspiración no tan locos que se preocupan por cualquier participación del gobierno en Internet. (¡Algunos de ellos piensan que el gobierno lo usa para espiarnos!) También les preocupa que si el Congreso aprueba un proyecto de ley cuando lo impulsa una crisis, casi siempre haya consecuencias adicionales: por lo general, dar al gobierno más poder del que nos gustaría.

Sin embargo, hay algunas cosas que hacen que esta parte de las propuestas sea mucho más aceptable. En primer lugar, hay muchos ciberdelitos que no son solo específicos de un sector. Muchas cosas malas simplemente pasarían desapercibidas si se dejaran en manos de las industrias individuales. Puede que no veamos innovaciones y cambios que nos afecten a todos y puede que no seamos tan buenos para comunicar las nuevas amenazas generales de manera más pública.

Por ejemplo, el malware de más rápido crecimiento tiene como objetivo los teléfonos inteligentes. Con el truco correcto, su teléfono puede usarse para molestar o ver lo que ve su cámara. No es un buen argumento de venta para una industria telefónica conflictiva. ¿Qué tal coches consiguiendo hackeado? ¿Qué pasa con Televisores con Skype ¿echando un vistazo a miles de hogares y a las transmisiones que se venden en la dark web? Puede que queramos que las empresas compartan ese tipo de información con el gobierno —y con nosotros— sin demasiado miedo a las represalias.

Probablemente más importantes que nuestros dispositivos de Internet de todo son las redes de energía, agua, alcantarillado, fabricación y transporte. UN sorpresa, ataque amplio podría situarnos, aunque solo sea temporalmente, en algún punto entre ahora y la Edad Media. Y a pesar de que los gobiernos se esfuerzan por proteger esta infraestructura, probablemente querríamos cualquier indicio de una violación privada que pudiera correlacionarse con un ataque a gran escala, parecido a una guerra, compartido de forma centralizada (más pronto que tarde).

En resumen, creo que las propuestas de Obama son bien intencionadas. Compartir información es, en general, algo bueno. Al menos comienzan a abordar una serie de problemas que afectarán a la próxima generación incluso más que a la nuestra y pueden ser la base de algunas investigaciones fundamentales. Pero solo dudo que sean muy eficaces en la lucha contra la ciberdelincuencia.

Entonces, ¿cuál es la respuesta? Sabemos que es un problema global que requiere una solución global. Sabemos que necesitamos más cibercapacidad mundial para luchar contra la ciberdelincuencia. Internacional cooperación es crítico. Intercambio de información global también es importante, y estamos haciendo parte de ello. Una mejor comprensión de la psicología de cómo personas con información privilegiada son persuadidos, chantajeados o engañados para que compartan el acceso a sus sistemas informáticos ayudaría a las organizaciones a defenderse. La buena tecnología existe y ayudará, si lo usamos. Lo más importante es la educación: todos (personas, empleados, empresas y consejos de administración) tienen que entender los nuevos peligros.

Uno de los mejores resultados de la iniciativa de Obama puede ser situar el tema de la ciberdelincuencia en un lugar un poco más alto en la agenda de todos. Si esto impulsa a más chicos buenos a aprender y centrarse en los desafíos, este efecto de segundo orden podría tener un mayor impacto.