Cuando la ciberseguridad es una prioridad política

Barack Obama en el NCCIC. 13/1/2015. Blog Elcano
(Barack Obama en el NCCIC. 13/1/2015 - The White House)
Barack Obama en el NCCIC. 13/1/2015. Blog Elcano
(Barack Obama en el NCCIC. 13/1/2015 – The White House)

El pasado 20 Enero, durante el discurso del estado de la Unión de 2015, el presidente Obama volvía a situar la seguridad del ciberespacio y su defensa en primera línea de la agenda política del país.

Los ultimos hechos acontecidos en el ciberespacio han reavivado viejos  e interesantes debates, entre los que destacan:

  • Ciberataque a Sony: más allá de las sanciones del gobierno estadounidense sobre el régimen de Pyongyang, del debate en torno al potencial cibernético norcoreano o la polémica pseudo-cancelación de la proyección de la película ‘La entrevista’, el ultimo ciberataque sufrido por Sony ha vuelto a poner de manifiesto que la atribución de la autoría de un ciberataque continúa siendo el mayor escollo con el que se encuentra los gobiernos. Las tradicionales dificultades técnicas se combinan con la dimensión territorial, la realidad estratégica y la oportunidad política, por lo que la atribución es y será un problema de naturaleza política.  Del mismo modo, el ataque a Sony ha reabierto el debate de la ciber-retorsión; es decir, el derecho que asiste a las empresas privadas y ciudadanos de ciberatacar a los responsables de los ciberataques que sufran. Por último, este ataque ha provocado que Obama decidiese aprobar un conjunto de medidas a favor de la privacidad de los ciudadanos estadounidenses, aunque la inmensa mayoría de los analistas han tildado las medidas de decepcionantes.
  • Atentados terroristas en Paris: tras los atentados, el primer ministro británico David Cameron  hacía pública su intención de prohibir el uso del cifrado extremo a extremo utilizado por muchos servicios de Internet, en especial por aquellos  de mensajería y chat de uso global como WhatsApp e iMessage, avivando el sempiterno debate seguridad vs. privacidad. Sin embargo, el anuncio de Cameron constituía el enésimo intento gubernamental por  controlar el uso de las herramientas criptográficas. El presidente Obama declaro: «Si encontramos evidencias de un complot terrorista … y a pesar de tener un número de teléfono, el perfil de una red social o la dirección de correo electrónico…. si no podemos penetrar y obtener información, es evidente que tenemos un problema«.  Tras las filtraciones de Edward Snowden en 2013,  muchos de los gigantes tecnológicos estadounidenses se vieron obligados a desmarcarse de la NSA, pero tal y como revelaba Shane Harris – analista de Foreign Policy-  en su libro @War, la inmensa mayoría de estas empresas siguen colaborando indirectamente con la NSA a través de la Unidad Tecnológica de Interceptación de Datos del FBI (DITU, sus siglas en ingles), cuya función principal es procurar que aquellas empresas estadounidenses estratégicamente relevantes construyan su infraestructura tecnológica en un modo compatible con el sistema de vigilancia masivo del gobierno estadounidense.

Es pertinente recordar que, desde hace décadas,  el gobierno estadounidense se encuentra inmerso en lo que popularmente se ha conocido como Crypto-Wars. Estas ‘guerras’ tienen como objetivo principal evitar que la ciudadanía  y los gobiernos extranjeros tengan acceso a las herramientas criptográficas desarrolladas en EEUU. Durante la década de 1960, las grandes empresas estadounidenses comenzaron a presionar al gobierno federal ante la necesidad de disponer de herramientas que garantizasen la confidencialidad, integridad y autenticidad de sus transacciones y comunicaciones comerciales. Esta presión culminó en 1975 con el desarrollo del Data Encryption Standard (DES) y su posterior selección como estándar por el Federal Information Processing Standard (FISP), haciéndolo de obligado uso por parte de las agencias gubernamentales de carácter civil y por la totalidad de los contratistas del gobierno. La selección de los estándares siempre se ha encontrado bajo sospecha, ya que son muchos los analistas que aseguran que la NSA participa de manera activa en su desarrollo. Sin embargo, uno de los hechos más importantes en la lucha contra las herramientas criptográficas se produjo en 1991 cuando Phil Zimmerman compartió en Internet el código de Pretty Good Privacy (PGP), su archiconocida herramienta de criptografía de clave pública y firma digital. La reacción del gobierno estadounidense no se hizo esperar: el Servicio de Aduanas  abrió una investigación criminal contra Zimmerman acusándole de violar la Ley de Control de Exportación de Armas, al considerar que la compartición del código fuente del PGP en Internet equivalía a  exportar ‘munición’. Tras varios años de investigación, la acusación fue retirada y la causa archivada. Desde 1996, los productos criptográficos no forman parte de la lista de municiones pero si de la lista de bienes sensibles.

  • Ciberjercicios EEUU – Reino Unido: durante estas últimas semanas, los medios de comunicación anunciaron que Cameron y Obama habían dado instrucciones para que sus servicios de inteligencia trabajasen conjuntamente en simulacros de ciberguerra. La colaboración en materia cibernética entre las agencias estadounidenses y británicas es muy estrecha desde hace décadas, tanto que según James Bradford -uno de los principales expertos en la NSA-  durante los apagones que afectaron a la sede central de la NSA en 2008,  buena parte de la actividad de la agencia se llevó a cabo desde uno de sus principales centros de respaldo situados en las inmediaciones de la sede central de la GCHQ en Cheltenham.

En definitiva, la seguridad del ciberespacio (ciberseguridad) y su defensa ocupan un lugar prioritario en la agenda política de Washington y  sus principales socios desde hace varias décadas.