Qué pueden hacer los países y las empresas cuando el comercio y la ciberseguridad se superponen

Jeffrey Coolidge/Getty Images

La ciberseguridad como tema clave de la política comercial es un avance relativamente nuevo. En los últimos años, se han publicado varias noticias sobre la incorporación de programas espía, malware o programas similares por parte de varios gobiernos en los productos informáticos que se exportan a todo el mundo. Los gobiernos normalmente han trabajado con empresas privadas de sus países para hacerlo. En la era del Internet de las cosas, casi todos los productos se pueden conectar a Internet y la mayoría de ellos también se pueden utilizar para espiar y otras actividades maliciosas. Además, dado que los datos se consideran un activo fundamental, los servicios, desde la banca internacional hasta los sistemas de pago y los sitios web de los consumidores, también forman parte de esto.

A finales de 2016 y 2017, por ejemplo, la muñeca My Friend Cayla activada por voz llegó a los titulares por su tecnología, que podría utilizarse para recopilar información sobre niños o cualquier persona de la habitación. En 2017, Alemania prohibió la muñeca, alegando que contenía un dispositivo de vigilancia que infringía las normas de privacidad del país. Otro ejemplo famoso es el ataque de Stuxnet de 2010 contra la planta de enriquecimiento nuclear de Natanz en Irán. Se logró mediante la introducción de malware, incluido Stuxnet, en los sistemas de control industrial que se enviaban a Irán, lo que provocó la destrucción de muchas centrifugadoras.

Si bien los conflictos comerciales que involucran a EE. UU. y China, o entre EE. UU. y Rusia, han recibido mucha atención en la prensa, los conflictos comerciales relacionados con la ciberseguridad son un fenómeno verdaderamente mundial. Como parte de nuestra investigación inicial sobre este tema, identificamos 33 casos en los que un país bloqueó la importación de un producto o servicio por motivos de ciberseguridad. En cada una de ellas, diferentes circunstancias y acciones condujeron a diferentes resultados. Los casos involucraron a 19 países de todo el mundo y, en el futuro, es probable que este tipo de conflictos comerciales involucren a casi todos los países desarrollados.

Dado que no es posible examinar minuciosamente el software, el firmware y el hardware de todos los productos, ¿qué deben hacer los países y las empresas para evitar las ciberintrusiones? Un enfoque que parece obvio es excluir de la importación los productos potencialmente peligrosos de países cuestionables. Sin embargo, este enfoque requiere identificar qué productos son peligrosos y qué países son cuestionables, una tarea formidable. Y esas restricciones pueden convertirse rápidamente en políticas, con implicaciones para el comercio internacional y la economía mundial.

Este artículo también aparece en:

• 

  Ciberseguridad: la información que necesita de la Harvard Business Review

  Tecnología y operaciones Libro

  22.95

  View Details

Los países y las empresas deben considerar sus opciones. En la actualidad, no existe un marco para entender y clasificar los problemas de ciberseguridad relacionados con el comercio. Sin una comprensión clara, los gobiernos pueden implementar políticas que provoquen ciberconflictos, mientras que las empresas se esforzarán por mantenerse al día de la evolución de las preocupaciones y restricciones de ciberseguridad. Hemos desarrollado un marco para organizar sistemáticamente estos casos, basándonos en nuestras entrevistas exhaustivas con expertos en la materia.

¿Qué opciones tienen los países?

Hay varias medidas posibles que los gobiernos pueden tomar. Debe tenerse en cuenta detenidamente cada uno de los siguientes aspectos:

No haga nada. Los gobiernos pueden aceptar el riesgo potencial de una situación de ciberseguridad y optar por ignorarlo. En 2004, por ejemplo, el Servicio Federal de Inteligencia (BND) alemán descubrió que la empresa de hardware NetBotz, que entonces tenía su sede en EE. UU., vendía cámaras de seguridad con una puerta trasera que enviaba vídeos a servidores militares estadounidenses. El BND no reveló ese hecho hasta 2015, solo después de que una revista descubriera y revelara la situación.

Desarrollar barreras comerciales de importación. Algunos países tomarán medidas para implementar políticas o reglamentos comerciales que restrinjan directamente la importación del comercio internacional, como la prohibición por parte de Alemania de la muñeca Cayla de mi amiga.

Restrinja el aprovisionamiento gubernamental. Los gobiernos pueden prohibir el uso y la compra de ciertos productos. Por ejemplo:

• Estados Unidos prohibió a los sistemas gubernamentales y militares utilizar el software de seguridad de Kaspersky Lab y los drones fabricados por la empresa china DJI.
• China retiró los equipos de red de Cisco Systems y el software de seguridad de McAfee y Citrix Systems de sus listas de aprovisionamiento gubernamental.

Desarrolle normas de comportamiento. Los países pueden ponerse de acuerdo en no participar en ciertos tipos de comportamiento, como cuando EE. UU. y China accedió a no llevar a cabo el ciberrobo de propiedad intelectual con fines comerciales.

Amplificar el conflicto. Por otro lado, algunos países pueden elegir la opción opuesta e intensificar el conflicto. Estados Unidos y Rusia, por ejemplo, han desarrollado una relación tensa, que se conoce como la «Guerra Fría 2.0».

¿Qué opciones tienen las empresas?

Aunque las acciones y preocupaciones del gobierno suelen ser más visibles, las empresas no tienen por qué desempeñar un papel pasivo. Pueden anticipar estas preocupaciones y tomar medidas para reducir o mitigar las consecuencias. Hay varias opciones disponibles:

Recomiende tomar medidas. Por ejemplo, el 9 de agosto de 2017, 10 importantes empresas de ciberseguridad estadounidenses escribieron a Robert Lighthizer, el representante comercial de los Estados Unidos, para instarle a «incorporar las cuestiones comerciales de ciberseguridad en la próxima modernización del Tratado de Libre Comercio de América del Norte (TLCAN)».

Aceptación. Como he dicho anteriormente, Alemania tomó medidas contra la muñeca My Friend Cayla por motivos de privacidad. La empresa accedió y dejó de venderla en Alemania.

Compromiso. Telegram, la aplicación de mensajería cifrada de extremo a extremo, fue amenazada con prohibirla en Rusia, por lo que la empresa accedió a registrarse en virtud de las nuevas leyes de protección de datos rusas; sin embargo, no almacenará la información de los ciudadanos en los servidores rusos. Como otro ejemplo, Google salió del mercado chino hace ocho años para no tener que censurar sus resultados de búsqueda por cumplir con las normas del gobierno chino. La empresa ha decidido volver a entrar recientemente, con cambios modestos en el funcionamiento de sus motores de búsqueda. Aún no está claro si ambas partes vayan a aceptar este compromiso.

Evitar. Los ejemplos típicos incluyen la retirada de Google de China en 2010 y la retirada de Huawei de sus productos de hardware de red de los EE. UU. en 2014. Esto último ocurrió después de que los productos se retiraran de las listas de aprovisionamiento del gobierno de los EE. UU. y se recomendara a las empresas de telecomunicaciones privadas que no compraran productos de Huawei.

Desafiar. Una organización puede impugnar o atacar las normas de ciberseguridad. Por ejemplo, en 2016 LinkedIn impugnó las leyes de protección de datos rusas y declaró que no trasladaría los datos de los usuarios rusos al país. Como resultado, Rusia bloqueó LinkedIn en 2017.

Colabore. Por último, las organizaciones pueden optar por trabajar con los países para mitigar el impacto negativo de las normas, o incluso participar en el proceso de elaboración de la normativa. Un ejemplo de ello es la forma en que Huawei ha trabajado con el gobierno del Reino Unido.

En 2011, preocupado por un posible espionaje, el gobierno de los Estados Unidos rechazó una oferta de Huawei para construir una nueva red inalámbrica nacional para los socorristas. A esto le siguieron nuevas restricciones gubernamentales a Huawei. Finalmente, en 2014, Huawei decidió salir del mercado estadounidense.

El Reino Unido, por otro lado, utiliza la tecnología de la empresa en la infraestructura nacional. En 2010, abrió el Centro de Evaluación de Ciberseguridad de Huawei para supervisar las preocupaciones sobre el uso de la tecnología. A esto le siguió, a principios de 2014, la creación de un consejo de supervisión, que cada año publica un informe sobre cualquier riesgo derivado de la participación de Huawei en las redes críticas del Reino Unido. Sin embargo, cabe señalar que el informe del consejo de supervisión de 2018 planteó nuevas y serias preocupaciones sobre la tecnología de Huawei y los riesgos de seguridad que podría representar para la seguridad del Reino Unido.

A medida que la economía digital siga desarrollándose, la ciberseguridad desempeñará un papel fundamental en el comercio internacional. En lugar de considerar la seguridad solo como una cuestión de regulación, los gobiernos tienen que considerar formas de evitar confrontaciones innecesarias y las organizaciones deberían participar de forma proactiva para abordar las preocupaciones e influir en las políticas a fin de mejorar los resultados para todos.

Nota de los autores: La investigación aquí publicada contó con el apoyo parcial de la Iniciativa de Políticas de Investigación en Internet del MIT, que cuenta con financiación de la Fundación Hewlett, y de Ciberseguridad del MIT Sloan, que está financiada por un consorcio de organizaciones.