Hace una década, la Casa Blanca de Barack Obama trató de obligar a las compañías estadunidenses a colaborar con la defensa cibernética. No salió bien: la Cámara de Comercio y otros grandes grupos corporativos bloquearon un proyecto de ley de ciberseguridad, quejándose de que pecaba de una excesiva intrusión gubernamental.
“La gente dijo que era antiestadunidense”, indicó un ex funcionario de Washington. La obligación de intercambiar información de los ataques de piratería cibernética o la elaboración de estrategias conjuntas de defensa fue considerada contraria a la ética del capitalismo de libre mercado.
Cómo han cambiado los tiempos. El miércoles, la Casa Blanca emitió una orden ejecutiva que le exige a las compañías que manejan infraestructura crítica reportar los ataques cibernéticos. El mes pasado se convocó a ejecutivos estadunidenses de alto nivel para lanzar un proyecto en colaboración de defensa cibernética que lleva el feo nombre de Shields Up (Escudos arriba).
Los detalles son escasos, pero lo que está claro es que las empresas de Estados Unidos ahora están colaborando. Los inversionistas deben estar atentos al menos por dos razones. La primera es que la invasión a Ucrania significa que hay un riesgo cada vez mayor de que Rusia lance un ataque cibernético contra compañías occidentales, que puede causar un daño enorme. De hecho, incluso un ataque dirigido solo a Ucrania puede hacer daño. Cuando los piratas cibernéticos rusos atacaron la infraestructura ucraniana hace cinco años al liberar un gusano —malware cibernético— llamado NotPetya, provocaron daños por 10 mil millones de dólares a los sistemas informáticos de todo el mundo, con dolorosas consecuencias para firmas como Maersk, FedEx y Merck.
Sin embargo, la segunda razón para observar estos acontecimientos es más sutil: el temor a la guerra cibernética puede contribuir a un cambio a largo plazo en la relación entre las empresas y los gobiernos. Ya están de nuevo en boga conceptos que antes eran tabú, como la estrategia industrial.
Hasta ahora, este cambio no ha sido muy visible. Rusia no parece haber lanzado este año ningún ataque cibernético a gran escala contra infraestructuras occidentales, limitando su ataque a Ucrania. Esto sorprendió a muchos expertos cibernéticos y están divididos sobre las razones.
Algunos piensan que el presidente ruso, Vladímir Putin, de forma deliberada se enfocó primero en su invasión terrestre. “Lo cibernético no es una gran herramienta para la guerra”, señala Dmitri Alperovitch, director de la incubadora de políticas Silverado y cofundador de Crowdstrike, una compañía de ciberseguridad. “Es una gran herramienta para la coerción en la zona gris, pero una vez que estás en un conflicto y las bombas están volando, entonces las armas cinéticas toman el relevo en su eficacia”.
- Te recomendamos Estados Unidos acusa a Vladimir Putin de crímenes de guerra en Ucrania Internacional
Alperovitch también sospecha que los piratas cibernéticos no tuvieron tiempo suficiente para elaborar sofisticadas estrategias cibernéticas antes de la invasión porque Putin mantuvo sus planes muy protegidos. Pero Brett Goldstein, ex asesor del gobierno estadunidense en materia de ciberseguridad, cree que la explicación más probable es que Putin teme que un ataque contra las infraestructuras de Occidente active la cláusula del artículo 5 de la Organización del Tratado del Atlántico Norte (OTAN) y provoque represalias.
En cualquier caso, pocos analistas esperan que esta contención sea duradera. “A medida que el conflicto alcance un punto muerto… las fuerzas cibernéticas rusas pueden dejar de atacar objetivos en Ucrania y pasar a utilizar armas cibernéticas para infligir graves daños a las organizaciones occidentales”, advierte la consultora sueca Truesec. Predice “un ataque a la cadena de suministro”, similar a NotPetya, en el que los piratas cibernéticos acceden al “sistema informático de una gran compañía de software y utilizan canales legítimos para impulsar una actualización de software aparentemente legítima a todos los clientes que incluye un código malicioso”.
Alperovitch está de acuerdo: “Tan pronto como los rusos crean que su suerte está cambiando, es probable que lancen ataques de represalia… (probablemente) contra la infraestructura de energía en Europa y el sector financiero en EU”.
No está claro si las empresas occidentales serán capaces de defenderse de manera eficaz de un ataque de este tipo, pero ya está en marcha una carrera para prepararse. “Ahora compartimos información constantemente, de una forma que no solíamos hacerlo”, afirma el director de tecnología de un gran banco global.
De ahí la fascinante pregunta de adónde llevará este cambio de actitud. Al fin y al cabo, el problema ya no solo es Rusia. Las amenazas provienen de China y otros países, lo que crea un desafío que Goldstein describe como “cyberMAD”. Como señala, “en las décadas de 1950 y 1960 aplicamos el concepto de Destrucción Mutua Asegurada (MAD, por su sigla en inglés) al conflicto nuclear y funcionó bien como marco disuasorio. Pero ¿cómo podemos llegar a un marco de disuasión para el ciberespacio? ¿Cómo es el MAD cibernético?”.
El mundo empresarial se sitúa ahora en el centro de este debate, en claro contraste con lo que ocurría en el siglo XX. Esto plantea preguntas difíciles como estas: ¿Las empresas deben tener derecho a mantener en privado los ataques cibernéticos? ¿Pueden colaborar entre sí sin infringir las normas antimonopolio? ¿Pueden establecer sus propias estrategias de software y elegir proveedores, o deben ajustarse a un modelo gubernamental?
“Aumentar la homogeneidad de los sistemas y el software elevará la seguridad”, señala Goldstein. “Pero, ¿eso frenará la innovación?”.
No hay respuestas fáciles a estas preguntas. No está nada claro que el gobierno de EU tenga el estómago, o la capacidad, para conducir este debate, y menos para implementar una estrategia unificada. El punto importante es este: incluso antes de la invasión a Ucrania, la relación entre las empresas y el gobierno estaba cambiando gracias a la pandemia, las disrupciones de la cadena de suministro y el cambio climático. Un ataque cibernético a gran escala, si llega a ocurrir, acelerará ese cambio. No hay muchos ateos en las trincheras ni una adhesión ciega al credo del fundamentalismo del libre mercado.