Hasta el momento, no se han confirmado ataques cibernéticos de represalia realizados por un gobierno victimizado contra un estado presunto agresor. Se ha especulado que después del ataque a Sony Pictures, Estados Unidos “expulsó” a Corea del Norte de Internet durante un breve período de tiempo, aunque esto nunca ha sido corroborado. A pesar de ser una potencia cibernética, Estados Unidos ha demostrado moderación al castigar a aquellos Estados transgresores que cree que han orquestado ataques cibernéticos contra sus intereses, prefiriendo imponer sanciones como alternativa punitiva.
La pregunta que se hacen los gobiernos es ¿cómo disuadir actos hostiles en el ciberespacio? Y si bien es importante plantear una pregunta, tal vez la realidad sea que no existe una respuesta viable. Hay una razón por la cual los esfuerzos internacionales fracasan continuamente al tratar de lograr consenso sobre las normas cibernéticas, la gobernanza de Internet y las legalidades y criterios de la piratería: falta un deseo fundamental de encontrar realmente una solución. Los gobiernos dispuestos a aceptar las normas y principios de cualquiera de estos temas están manifestando su voluntad de respetarlos y, si bien eso puede adaptarse a la situación actual, el dinamismo del ciberespacio ha demostrado ser impredecible. Estar esposado a un acuerdo de este tipo que ya no tiene relevancia mientras otros gobiernos operan sin restricciones no es una situación ideal. Por lo tanto, sin un acuerdo en vigor,
En la actualidad, el miedo a una escalada puede ser la contribución más práctica a la disuasión cibernética. La mayoría de las actividades cibernéticas ofensivas presuntamente impulsadas o conducidas por el Estado han sido ciberespionaje: robar propiedad intelectual u otra información confidencial de los objetivos u obtener acceso no autorizado para mantener una presencia en el sistema. Ha habido menos incidentes de destrucción real de sistemas de información y/o de la información que reside en ellos. Algunos de los ataques presuntamente respaldados por el Estado más frecuentes (el Stuxnet de, el Saudi Aramco de y el supuesto ciberespionaje de China, por ejemplo) no han dado lugar a ataques cibernéticos de represalia por parte de los gobiernos víctimas. Incluso después del hackeo de Rusia contra las elecciones presidenciales de Estados Unidos, ObamaLa administración ordenó a los funcionarios que “se retiraran” y no tomaran represalias con sus propios ataques cibernéticos.
Hay muchas cosas en el ciberespacio que siguen siendo nuevas y no probadas. A medida que más y más gobiernos (incluidas las naciones más pequeñas ) buscan adquirir una capacidad cibernética ofensiva, lanzar ataques contra un Estado puede resultar perjudicial, especialmente si sigue siendo incierto cómo puede reaccionar ese Estado. La escalada es un resultado potencialmente peligroso y muy real que podría tener consecuencias no deseadas, especialmente si el atacante percibe que la respuesta activa de ciberdefensa es desproporcionada con respecto al ataque inicial. De hecho, el Comando Cibernético de Estados UnidosSe le han otorgado nuevas autoridades para llevar a cabo operaciones cibernéticas como parte de su estrategia de “defensa avanzada”, lo que tiene a algunos expertos preocupados por una escalada. Si bien Estados Unidos ha demostrado moderación hasta ahora, es posible que otros gobiernos más reaccionarios no sigan su ejemplo, ya que lanzar ataques cibernéticos es una propuesta barata que puede transmitir el descontento del Estado sin comprometer recursos cinéticos.
Disuadir la actividad cibernética hostil es un objetivo que vale la pena, pero que tal vez nunca llegue a concretarse, al menos no en el futuro cercano. En última instancia, los Estados siempre seguirán caminos que sirvan a sus intereses nacionales. Y si bien puede ser imposible disuadir a los Estados de llevar a cabo actos ofensivos como el espionaje, la disuasión de ataques más destructivos es un objetivo obvio para cualquier Estado. Dado que las cuestiones y tensiones geopolíticas son catalizadores de algunas actividades cibernéticas, uno podría esperar que se produzcan ataques más destructivos. Afortunadamente, eso no siempre sucede. Hasta que se establezcan y acuerden esas esquivas normas cibernéticas que ayudarán a evitar que se materialicen las crisis cibernéticas, disuadir los ataques no siempre tiene que consistir en llevar un garrote más grande que el oponente. Ser capaz de demostrar la capacidad de repeler los ciberataques puede tener un efecto similar. De esta manera, a los estados les conviene más desarrollar y adquirir capacidades ofensivas junto con mejorar y fortalecer las defensas, con énfasis en esto último, ya que desarrollar/poseer capacidades cibernéticas ofensivas no es lo mismo que utilizarlas.
Esta es una publicación invitada de Emilio Iasiello.