Cuando las revelaciones sobre Stuxnet, un virus informático diseñado específicamente para sabotear el programa nuclear de Irán, llegaron a los titulares en junio de 2010, la seguridad cibernética saltó a la cima de las agendas de seguridad nacional de muchos países. Muchos países anunciaron que reforzarían sus capacidades ofensivas en el ciberespacio, inspirando un nuevo debate sobre el desarrollo, uso y control de las armas cibernéticas y de las tecnologías de vigilancia en el ciberespacio. ¿Cuáles son las implicaciones de estas tecnologías para la producción y el control de armas? ¿Qué tan realista es tratar de controlarlos a través de los mecanismos tradicionales de control de armas?
La bonanza de ciberseguridad para los productores de armas
Las preocupaciones por la seguridad cibernética han sido buenas noticias para los productores de armas tradicionales y las empresas de servicios militares. BAE Systems, EADS, Finmeccanica, General Dynamics, Raytheon y Thales se han expandido al mercado de la ciberseguridad en los últimos años para beneficiarse de su rápido crecimiento en un momento en que los estados están haciendo o amenazando con recortar gastos en algunos mercados clave de armas. Según un reciente informe de investigación de mercado realizado por Visiongain, todas las empresas enumeradas anteriormente se encontraban entre las 20 principales empresas de ciberseguridad del mundo, junto con proveedores tradicionales de ciberseguridad como Symantec, Intel Corporation e IBM.
Los productores de armas tradicionales y las empresas de servicios militares que han ampliado su negocio de seguridad cibernética brindan a los profesionales de la seguridad (en las comunidades militares, de inteligencia y policiales) productos y servicios diseñados para operaciones ofensivas en el ciberespacio, desarrollando armas cibernéticas y estrategias de ataque a la red; buscar vulnerabilidades no descubiertas en hardware y software (las llamadas vulnerabilidades de día cero); y servicios de vigilancia y espionaje. Junto a estos hay productos y servicios, como software de red y protección de datos; prueba y simulación; y capacitación y consultoría, que están diseñados para proteger las redes y los sistemas de información o hacerlos más resistentes a los ataques cibernéticos. Una parte significativa de su negocio de ciberseguridad, particularmente en la última categoría de bienes y servicios,
Sin embargo, es difícil obtener una imagen completa de quién está involucrado en el negocio de las armas cibernéticas y las tecnologías de vigilancia cibernética. Además de las grandes corporaciones, hay muchas pequeñas y medianas empresas, por ejemplo, Blue Coat y Amesys, que fueron noticia por supuestamente proporcionar tecnologías de vigilancia y censura a los regímenes de Bashar al-Assad en Siria y Muammar Gaddafi en Libia, respectivamente. Los estados también pueden tener sus propios programas de desarrollo. Además, los piratas informáticos independientes, los grupos de activistas y las organizaciones delictivas pueden desarrollar o desplegar armas cibernéticas y tecnologías de vigilancia cibernética. Hay pocos incentivos para que cualquier persona involucrada sea transparente: el anonimato es un valor agregado importante de los ataques cibernéticos.
¿Puede el control de armas funcionar en el ciberespacio?
El uso de armas cibernéticas y tecnologías de seguridad cibernética para la guerra, el espionaje y la vigilancia política plantea enormes desafíos prácticos y conceptuales para la comunidad internacional. En el ámbito militar, la aplicabilidad del derecho internacional a las armas cibernéticas como Stuxnet no está clara y ha alimentado la discusión sobre si la acción ofensiva con el uso de un arma cibernética podría considerarse un casus belli legítimo para la guerra convencional. El uso de herramientas cibernéticas para el espionaje también es cada vez más un punto conflictivo en las relaciones diplomáticas entre países como China y Estados Unidos.
Estas preocupaciones han llevado a discusiones sobre si los controles internacionales deberían, o incluso podrían, aplicarse a las armas cibernéticas y tecnologías relacionadas, como lo son para las armas convencionales y las armas de destrucción masiva (ADM). ¿Funcionaría el tipo de marcos de control de armas que ahora se utilizan para las armas físicas (tratados internacionales, mecanismos de control del comercio, sanciones) para la producción, el uso y el comercio de armas cibernéticas? ¿Podrían evitar una carrera armamentística cibernética, la transformación del ciberespacio en un campo de batalla y la vigilancia estatal omnipresente en Internet?
En 2011, Rusia presentó un proyecto de código de conducta internacional para la seguridad de la información a las Naciones Unidas, como parte de una iniciativa apoyada por China, Tayikistán y Uzbekistán. Este código requeriría que los estados no utilicen “tecnologías de la información y las comunicaciones, incluidas las redes, para llevar a cabo actividades hostiles o actos de agresión, representar amenazas para la paz y la seguridad internacionales o proliferar armas o tecnologías relacionadas”. Si bien algunos cuestionaron los motivos detrás de la medida, al menos provocó un debate sobre la viabilidad de un tratado internacional, quizás comparable a la Convención sobre Armas Químicas (CWC) de 1992 o la Convención sobre Armas Biológicas y Toxínicas (BTWC) de 1972, que prohibiría el uso de armas cibernéticas.
Este debate, sin embargo, reveló importantes obstáculos prácticos y políticos para tal tratado. La primera era la cuestión de qué prohibiría exactamente. Todavía hay opiniones muy diferentes sobre lo que debería considerarse un arma cibernética. Algunos prefieren una definición limitada basada en la de las armas físicas: una herramienta utilizada para infligir daño o la amenaza de daño. Otros creen que deberían incluirse software espía (como caballos de Troya y tecnologías de eliminación de cifrado) y otro software de vigilancia, ya que podrían recopilar información estratégica que ayudaría en la preparación de un ataque. Sin embargo, la mayoría del software de vigilancia se utiliza para delitos puramente comerciales, como el espionaje industrial y el fraude.
Además, la velocidad con la que se desarrollan nuevos métodos y herramientas para los ataques haría que cualquier intento de enumerar y clasificar las armas cibernéticas fuera un ejercicio interminable y bastante inútil. Lo más probable es que un arma cibernética sea reemplazada antes de que llegue a una lista de control oficial.
Otro problema es la complejidad técnica del seguimiento de las “reservas” de armas cibernéticas. Al ser software, las armas cibernéticas se pueden reproducir y almacenar a un costo mínimo. Además, los tratados de control de armas requieren mecanismos de verificación, pero es indiscutible que ningún estado permitiría que un tercero escanee sus redes y sistemas informáticos gubernamentales para este propósito.
También está la cuestión de la atribución. Los autores y usuarios de las armas cibernéticas pueden ocultar fácilmente sus identidades, lo que dificulta descubrir con certeza quién lanzó un ataque cibernético y si el propósito era criminal o militar.
Finalmente, muchos estados podrían ver poco que ganar con la prohibición de herramientas que les permitan emprender acciones militares sin el uso de la fuerza armada y con un gran nivel de secreto.
Confiando en la moderación
Aunque es poco probable que se materialice una prohibición global de las armas cibernéticas, esto no impide que los estados impongan restricciones a su propio uso de armas cibernéticas y tecnologías de vigilancia cibernética, o que intenten negociar y establecer algunas normas globales sobre su uso. Estas normas podrían incluir, por ejemplo, políticas de no ser el primero en usar, programar armas cibernéticas para que se autodestruyan al final de las hostilidades y prohibir los ataques contra la infraestructura civil.
Verificar que los estados están respetando sus compromisos probablemente sería muy difícil. Aun así, este ejercicio sería un paso hacia la construcción de confianza y comprensión. En palabras de Bruce Schneier, experto en ciberseguridad, ‘el acto mismo de negociar limita la carrera armamentista y allana el camino hacia la paz’.
