Informes recientes han revelado que existe una creciente frustración expresada por miembros del Comité Armado del Senado de EE.UU. porque el Departamento de Defensa de EE.UU. aún no ha establecido ninguna política o estrategia definida de ciberdisuasión, particularmente con respecto a las “líneas rojas”.
En diciembre de, la Ley de Autorización de Defensa Nacionalbuscó “un informe sobre las opciones militares y no militares disponibles para Estados Unidos para disuadir y responder a amenazas inminentes en el ciberespacio”. Desde ese período, parece que se ha hecho poco para desarrollar una estrategia de disuasión, un giro de los acontecimientos desconcertante dado el hecho de que Estados Unidos tiene múltiples vías para desarrollar una estrategia de disuasión cibernética que incluye medidas diplomáticas, económicas, militares y comerciales. opciones que pueden aprovecharse para influir en el comportamiento de los Estados extranjeros.
La disuasión cibernética se discute con frecuencia en los niveles más altos del gobierno de EE. UU., especialmente a medida que las acciones cibernéticas hostiles continúan aumentando en frecuencia y magnitud, y en aquellos casos en los que el resultado previsto era la destrucción de información. Estos incluyen, entre otros, el robo de información personal sustancial e indefinible (p. ej., Equifax ), propiedad intelectual (p. ej., estados nacionales ), posible participación en elecciones presidenciales (p. ej., Rusia ), robo de planes militares (p. ej., Corea del Norte ). y destrucción de datos (p. ej., malware de limpieza). Históricamente, tales actividades generalmente han evadido cualquier tipo de repercusión estatal, aunque se han logrado avances en el intento de castigar a los actores estatales sospechosos por su presunta participación en ellas, incluyendo:
- En septiembre de, se informó que el Comando Cibernético de Estados Unidos lanzó un ataque distribuido de denegación de servicio ( DDoS ) contra la agencia de espionaje militar de Corea del Norte, la Oficina General de Reconocimiento.
- En, utilizando las autoridades de una Orden Ejecutiva de sanciones cibernéticas de , el gobierno de EE. UU. sancionó a 11 entidades e individuos por apoyar a actores iraníes designados o realizar actividades cibernéticas maliciosas contra Estados Unidos. Además, bajo la misma autoridad, a finales de, el gobierno de Estados Unidos sancionó a nueve entidades e individuos por su supuesta interferencia en las elecciones: dos servicios de inteligencia rusos; cuatro oficiales individuales de uno de los servicios rusos; y tres empresas que brindaron apoyo material a las operaciones del mismo servicio de inteligencia ruso.
Parte del problema, como lo insinuó un senador , es el desafío de querer mantener confidencial cómo percibe Estados Unidos los actos cibernéticos hostiles y cómo abordará su castigo. Esto incluye cómo se reserva el derecho no sólo de utilizar capacidades ofensivas, sino también de cuándo utilizarlas. Por lo tanto, el lento avance hacia la elaboración de una estrategia de disuasión cibernética puede interpretarse como que Estados Unidos no quiere revelar todas sus cartas a la comunidad global y mantener algo de secreto. Gran parte de la fortaleza de Estados Unidos en el ciberespacio ha sido que, si bien se sospechaba de su gran capacidad, se desconocía en gran medida su extensión y alcance. Esta ventaja desapareció con las revelaciones de Snowden.de supuestas operaciones cibernéticas estadounidenses, la exposición de exploits y herramientas avanzadas afiliadas a la Agencia de Seguridad Nacional por parte de los enigmáticos Shadow Brokers , y su sospecha de participación en el ataque Stuxnet contra infraestructuras críticas contra Irán.
Como ocurre con la incapacidad de la comunidad global para llegar a un consenso sobre el establecimiento de normas de comportamiento de los Estados nacionales en el ciberespacio, el status quo favorece el entorno operativo actual en el que los gobiernos llevan a cabo acciones cibernéticas ofensivas a su antojo. Ser reconocido como una potencia cibernética, tener no sólo la capacidad de lanzar varios niveles de ciberataques sofisticados, sino también poder lanzarlos cuando lo considere conveniente para sus intereses de seguridad nacional, es una ventaja. Esta flexibilidad permite al gobierno actuar unilateralmente sin prueba de atribución o la necesidad de apoyo internacional de aprobación.
Sin embargo, como cualquier arma de doble filo, seguir posponiendo el desarrollo de una estrategia de disuasión cibernética y anunciar públicamente sus líneas rojas funciona a favor y en contra de Estados Unidos. El hecho de no articular líneas rojas específicas permite a Estados Unidos abordar cada incidente cibernético individualmente y responder como elija, caso por caso. Pero esto también funciona para cualquier gobierno adversario que creyera que Estados Unidos era responsable de un ciberataque contra sus intereses. Mientras no sea necesario proporcionar pruebas incriminatorias a una organización internacional como las Naciones Unidas para que los estados “contraataquen”, sólo es necesario convencer a los estados de la sospecha de participación estatal como justificación para tomar represalias. Esto es lo contrario de lo que se necesita en el complejo entorno cibernético geopolítico actual.
En esencia, las líneas rojas son marcadores no oficiales que hacen referencia a un “punto de no retorno” figurativo que, si se cruza, podría desencadenar importantes acciones punitivas en respuesta a represalias. Es necesario articularlos, socializarlos y ejercitarlos para que cualquier estrategia disuasoria tenga posibilidades de ser eficaz. Los críticos creen que definirlos de manera más concreta proporciona en última instancia un techo que los actores cibernéticos hostiles pueden alcanzar, pero no superar. De hecho, un representante del Pentágono se hizo eco de este sentimiento.Un funcionario cree que detallar los umbrales invita abiertamente a los adversarios a acercarse a la línea sin temor a represalias, siempre y cuando no se traspase. Una segunda crítica es que determinar líneas rojas invariablemente limita lo que Estados Unidos haría en respuesta a un acto que cae por debajo de cualquier umbral establecido, y no adherirse a sus propios criterios corre el riesgo de que se perciba que Estados Unidos está “cambiando las reglas” como mejor le parezca. .
Mientras la comunidad global busca vías para colaborar en una serie de cuestiones cibernéticas, es imperativo que se establezcan líneas rojas que proporcionen una base a partir de la cual se pueda codificar el comportamiento estatal responsable. Porque es difícil discutir normas cibernéticas o desarrollar una estrategia disuasoria eficaz sin establecer primero los criterios de lo que serán tolerados y no tolerados por los actores estatales extranjeros en el ciberespacio. Este es un paso importante para lograr avances que permitan controlar la imprudencia que domina este ámbito sin fronteras. Es más, no necesariamente tienen que ser inamovibles como reflejo de la complejidad del espacio digital, lo que significa que deben tener en cuenta los matices y las escalas móviles al abordar el alcance, la gravedad, la intención y el impacto de los ataques cibernéticos. Como cualquier esfuerzo que valga la pena, No se debe esperar que la primera vuelta tenga éxito. Pero el valor es encontrar lo que no funciona como lo que funciona, comprometerse con el proceso y demostrar la voluntad de aplicar las “lecciones aprendidas” para perfeccionar y evolucionar continuamente la planificación de línea roja/disuasión cibernética.
Esta es una publicación invitada escrita por Emilio Iasiello.