El robo de propiedad intelectual patrocinado por el estado y habilitado cibernéticamente aumenta a medida que los países emplean todos los medios a su alcance para obtener ventajas en un entorno global, cada vez más moldeado por la rivalidad estratégica y la desconfianza política. Esta es la conclusión a la que llegamos en nuestro nuevo informe ASPI, State-sponsored economic cyber-espionage for commercial purposes: tackling an invisible but persistent risk to prosperity.
El ciberespionaje económico se refiere a la práctica de algunos estados de encargar o alentar a sus agencias nacionales de ciberseguridad e inteligencia a emplear la tecnología de la información y las comunicaciones para realizar, patrocinar o tolerar campañas para robar activos de valor económico de empresas en otras naciones y proporcionar esa propiedad intelectual a empresas nacionales.
No es solo el aumento en la escala, la extensión geográfica y la gravedad de las campañas de ciberespionaje económico patrocinado por el estado lo que es preocupante. La falta de cooperación internacional y de prioridad política dedicada a esta práctica afectará la competitividad de las industrias locales generadoras de empleo y de alto rendimiento y, en consecuencia, la prosperidad futura de las naciones.
Si bien un acuerdo del G20 en 2015 que comprometía a los miembros a no realizar ni apoyar dicho robo provocó una caída temporal, esta forma de ciberespionaje ha resurgido a los niveles anteriores a 2015 y se ha triplicado en cifras brutas entre 2017 y 2022. La competencia estratégica se ha extendido claramente a la economía y los dominios tecnológicos y los estados se han vuelto más cómodos y capaces de usar capacidades cibernéticas ofensivas.
Nuestra evaluación se basa en incidentes registrados públicamente. Dada la naturaleza clandestina e invisible de estos actos, y el tiempo que transcurre antes de que los efectos del robo de propiedad intelectual se noten y se divulguen o se informen, hay razones para creer que la escala, la propagación y la gravedad reales son aún mayores.
Si bien solo se informaron alrededor de 40 operaciones de ciberespionaje patrocinadas por el estado entre 2014 y 2016, se han producido cientos de casos desde entonces. Y aunque es probable que no todos estos casos sean casos de ciberespionaje económico, las campañas dirigidas específicamente a entidades del sector privado constituyen una parte notable de todas las operaciones de ciberespionaje conocidas desde 2017 en adelante.
La mayoría de los casos ocurren en economías avanzadas, pero las entidades privadas en el noreste de Asia, el sudeste de Asia, el sur de Asia y el Medio Oriente están siendo cada vez más atacadas y afectadas. A medida que las empresas y los institutos de investigación en otras partes del mundo se vuelven más grandes, más ricos, más innovadores y más integrados en las cadenas de suministro globales, también se convierten en objetivos del robo de PI. Por ejemplo, los incidentes que afectan y están dirigidos a entidades privadas en el sudeste asiático aumentaron del 3,6 % en 2014 al 15,4 % en 2020. Se pueden observar tendencias similares en el sur de Asia (6,4 % en 2014 a 7,3 % en 2020) y América Latina (3,6 % en 2020). 2014 al 7,3% en 2020).
Abordar esta amenaza invisible pero persistente para la competitividad económica y la prosperidad primero requiere conciencia antes de que los gobiernos puedan comenzar a reconocer y reconocer la naturaleza del riesgo. Esto podría posibilitarse mediante evaluaciones más rigurosas y específicas del impacto de la pérdida de PI en las economías nacionales en términos de costos financieros, puestos de trabajo y competitividad de la industria. Además, las autoridades nacionales de seguridad cibernética y las agencias de inteligencia podrían invertir más en los esfuerzos para determinar la escala y la gravedad del ciberespionaje económico patrocinado por el estado en su territorio.
Hasta ahora, solo las autoridades estadounidenses y europeas han publicado tales evaluaciones, e incluso estas ya tienen más de cinco años. La mayoría de las economías emergentes en el sudeste asiático, el sur de Asia, el Medio Oriente y el norte de África parecen verse cada vez más afectadas, pero los gobiernos aún tienen que reconocer y reconocer el verdadero riesgo.
El enfoque de la mayoría de las iniciativas legislativas actualmente está orientado a agregar requisitos de informes de seguridad cibernética reforzados para los proveedores de infraestructura crítica e infraestructura de información crítica. Esto es importante, pero nuestro informe muestra que las industrias que desarrollan y comercializan PI de alto valor en forma de derechos de PI, secretos comerciales e información comercial confidencial también requieren la atención de los formuladores de políticas. Idealmente, los gobiernos mapearían esos sectores económicos y traerían esas industrias o empresas a la bóveda de los acuerdos para obtener protección adicional del gobierno en caso de que sean el objetivo de estados extranjeros.
A nivel internacional, los miembros del G20 y la membresía más amplia de la ONU deben continuar planteando y abordando la amenaza del ciberespionaje económico en los foros relevantes. Incluso en situaciones en las que no se acepta la responsabilidad del Estado por actos de espionaje cibernético, las autoridades tienen la responsabilidad de ‘no permitir que se haga un uso indebido de su territorio a sabiendas’ y de ‘no apoyar el robo de propiedad intelectual facilitado por las TIC’. Esas son normas acordadas de comportamiento estatal responsable en el ciberespacio y se alinean con las obligaciones de la Organización Mundial del Comercio para proporcionar estándares mínimos de protección de propiedad intelectual.
En este sentido, recomendamos que los miembros del G20 reafirmen su compromiso de 2015 de abstenerse del ciberespionaje económico con fines comerciales. También sugerimos que el G20 inicie un trabajo adicional en el desarrollo de una guía concreta para la puesta en práctica e implementación de ese acuerdo.
Además, sugerimos que las autoridades nacionales de PI y seguridad cibernética evalúen la escala y el impacto del robo de PI habilitado por las TIC en sus economías, y lleven a las industrias o empresas a la bóveda de los acuerdos para obtener protección adicional del gobierno en caso de que se conviertan en objetivo de extranjeros. estados
Australia, a pesar de un historial en innovación y ambiciones actuales en resiliencia de seguridad cibernética, actualmente carece de tal estimación y arreglos.
Fte. ASPI Australian Strategic Policy Institute (Gatra Priyandita)
Gatra Priyandita es analista, Bart Hogeveen es el jefe del programa de creación de capacidad cibernética y Ben Stevens es un pasante de investigación que trabaja con el Centro Internacional de Política Cibernética de ASPI.
Imagen: Pixelwise Creative Media, Canberra.