Cómo un fracaso de la no proliferación en los Estados Unidos se convirtió en una amenaza de seguridad cibernética global
Aunque el devastador ataque del ransomware WannaCry fue un fracaso por parte de la NSA, las actuales normas cibernéticas de la ONU son demasiado débiles para responsabilizar a cualquier actor internacional, y mucho menos a los EE. UU.
- ATAQUE CIBERNETICO
- QUIERO LLORAR
Imagine este escenario: un grupo terrorista captura un arma nuclear desarrollada por Pakistán con un propósito limitado y un destino predeterminado. Ni Islamabad ni otras potencias en la región son capaces de medir la intención de este grupo o predecir dónde se desplegará el arma ‘táctica’. Los líderes de las naciones del G7, agitados por el desarrollo, emiten una fuerte declaración condenando a Pakistán por su laxa seguridad nuclear y reiteran su llamado a todos los países a firmar el Tratado de No Proliferación Nuclear. Pakistán está sujeto a sanciones que reducen, entre otras cosas, su capacidad de comerciar con tecnologías críticas.
Si tal escenario se materializara, es probable que el ‘proliferador’ en cuestión sea nombrado y avergonzado. La comunidad internacional debería preguntarse, entonces, por qué el mismo G7 emitió una declaración tibia sobre la “creciente amenaza de incidentes cibernéticos” a raíz de la destrucción por un arma creada en los Estados Unidos.
En su quinto día, “WannaCry”, un ransomware que aprovecha un día cero desarrollado por la Agencia de Seguridad Nacional de EE. UU. (NSA) y se filtró en la naturaleza por un grupo que se hace llamar Shadow Brokers, se ha paralizado “misión crítica” sistemas en todo el mundo. Se ha ralentizado o detenido por completo el funcionamiento de los sistemas de tráfico en Xi’an (China), las estaciones de servicio de combustible administradas por la Corporación Nacional de Petróleo de China, los servicios de salud de emergencia de los Servicios Nacionales de Salud del Reino Unido y las operaciones del departamento de electricidad del estado en Bengala Occidental . Lejos de ser una pandemia sin orígenes conocidos, los efectos de WannaCry son directamente atribuibles al fracaso del gobierno de los Estados Unidos para evitar la proliferación de instrumentos cibernéticos maliciosos. Es posible que sus acciones infrinjan varias normas y obligaciones internacionales de no proliferación.
La mayoría de los regímenes de no proliferación, como el Tratado de No Proliferación o el Acuerdo de Wassenaar sobre bienes y tecnologías de doble uso, se elaboraron en un momento en que los estados eran los únicos custodios de las armas de destrucción masiva (ADM) y los equipos y tecnologías necesarios para su diseño. y montaje. Como resultado, se centraron en la transferencia deliberada de tecnologías sensibles o municiones letales entre gobiernos. Hoy en día, el riesgo de que los actores no estatales tengan en sus manos un arma nuclear o biológica se ha multiplicado: reconociendo esta amenaza, el Consejo de Seguridad de la ONU promulgó en 2004 la Resolución 1540 que instaba a los estados a tomar “medidas efectivas para establecer controles internos para prevenir la proliferación de armas nucleares, químicas o biológicas “.
La UNSCR 1540 fue una admisión sincera por parte de los estados de que las buenas intenciones para prevenir la proliferación de armas de destrucción masiva por sí solas no eran suficientes y debían complementarse con una obligación vinculante y positiva de evitar su adquisición por parte de actores no estatales. Al anunciar la Iniciativa de Seguridad de la Proliferación, la administración Bush en 2004 fue un paso más allá, reuniendo una coalición de países para interceptar buques sospechosos de transportar materiales a actores no estatales en “áreas más allá de los mares territoriales” de terceros. Posteriormente, los estados miembros de Wassenaar también han expresado su apoyo para expandir el ámbito del acuerdo para incluir actores no estatales.
La amenaza de que las ADM caigan en manos de actores no estatales también ha resultado en una expansión significativa de los poderes de supervisión y supervisión de organizaciones como la Agencia Internacional de Energía Atómica. Sin embargo, no existe un régimen o mecanismo de supervisión para controlar la proliferación de herramientas maliciosas en el ciberespacio, un escenario donde su amenaza es más grave. Por supuesto, los EE. UU. Aún podrían fallar de las regulaciones limitadas que existen actualmente. En 2015, la ONU adoptó por consenso las recomendaciones de un grupo de expertos gubernamentales sobre “normas cibernéticas” contra las amenazas a la paz y la seguridad internacionales. Al permitir la filtración de un exploit de día cero que llegó al programa WannaCry, Estados Unidos viola las normas para:
- Prevenir “la proliferación de herramientas y técnicas TIC maliciosas y el uso de funciones ocultas nocivas”; y
- Comparta “información sobre las soluciones disponibles a las vulnerabilidades de las TIC para limitar y posiblemente eliminar las posibles amenazas a las TIC y la infraestructura dependiente de las TIC”
Sin embargo, las actuales normas cibernéticas de la ONU son demasiado débiles para responsabilizar a cualquier actor internacional, y mucho menos a Estados Unidos, por un ataque devastador como el actual. Los estados solo tienen prohibido realizar o apoyar “a sabiendas” actividades de TIC “contrarias a sus obligaciones en virtud del derecho internacional” que dañan la infraestructura crítica. Dado que el ataque WannaCry no fue perpetrado por los EE. UU. Y el hecho de que la NSA es una agencia de inteligencia (el espionaje no está prohibido por el derecho internacional), esta norma es insuficiente para buscar la responsabilidad de Washington.
Nada de esto es para afirmar que EE. UU. Es el único actor que desarrolla herramientas maliciosas de las TIC o “armamento” del ciberespacio. El asunto “WannaCry” no impedirá que los países desarrollen software de vigilancia ni explote las vulnerabilidades de día cero en las principales plataformas digitales. Pero Estados Unidos es el único responsable de filtrar el progreso reciente de la creación de normas y leyes internacionales en el ciberespacio. En la reunión de ministros de finanzas del G20 en marzo, Estados Unidos se opuso y vetó con éxito una norma para prohibir ataques cibernéticos maliciosos contra instrumentos financieros.
Hay un apetito entre varios miembros del Grupo de Expertos Gubernamentales de la ONU para explorar la formación de un grupo de trabajo intergubernamental que pueda llevar adelante las recomendaciones del grupo y “elevarlas” a algo más fuerte que las normas. El Acuerdo de Wassenaar, que restringe la transferencia de “software de intrusión” a los no miembros, no es la plataforma adecuada para promulgar regulaciones de control de exportaciones sobre este tema dado que las principales economías digitales como India, China y los EAU están excluidas del grupo. Lamentablemente, Estados Unidos continúa oponiéndose a la creación de un instrumento legal vinculante para controlar el uso de la fuerza en el ciberespacio.
Tal instrumento no desanimará a los gobiernos de acumular días cero como ETERNALBLUE, que explotó el programa WannaCry. Pero un régimen legal claro y predecible obligará a los gobiernos a agilizar su proceso de adquisición y divulgación de vulnerabilidades, aumentar los costos de implementación de días cero sin supervisión política y desencadenar el intercambio de información y los acuerdos de asistencia para mitigar el daño causado por las fugas. Las normas estrictas sobre responsabilidad estatal también disuadirán a los gobiernos de desplegar libremente agentes no estatales para ataques cibernéticos disruptivos. Sin un instrumento legal multilateral, las economías emergentes continuarán financiando los costos de los grandes ataques cibernéticos como el asunto WannaCry, sin ningún recurso legal o político para fortalecer sus ecosistemas digitales.
La paciencia se está agotando en Nueva Delhi y otras capitales con el mundo sufriendo un ataque cibernético debilitante tras otro, incluso mientras el gobierno de los Estados Unidos continúa explotando las vulnerabilidades de su propio sector privado, agotando la confianza de los consumidores y los mercados en ellos. India debería ejercer presión a nivel bilateral con el gobierno de Estados Unidos para iniciar las negociaciones sobre un tratado sobre el ciberespacio. Nueva Delhi no tendría escasez de palancas estratégicas para llevar tanto al gobierno de los EE. UU. Como al sector privado a la mesa: podría hacer cumplir una prohibición comercial de productos digitales de los EE. UU. Citando el Artículo XXI del Acuerdo General sobre Aranceles Aduaneros y Comercio; el gobierno indio podría negarse a adquirir software basado en los EE. UU. para servicios públicos a menos que los sistemas heredados sean “parcheados” por sus compañías; y, por último, podría indicar que el compromiso político con la gobernanza de internet de “múltiples partes interesadas” está en riesgo si Estados Unidos no aborda sus preocupaciones centrales de seguridad. Nueva Delhi debe ser valiente al colocar todas estas opciones de política sobre la mesa.
Este comentario apareció originalmente en The Wire .
- CIBER Y MEDIOS
- SEGURIDAD CIBERNÉTICA Y GOBERNANZA DE INTERNET
- COMENTARIOS
- LA SEGURIDAD CIBERNÉTICA
- CIBER Y TECNOLOGÍA
Las opiniones expresadas anteriormente pertenecen a los autores.