Durante décadas, los ciberataques, los eventos de contraterrorismo y los actos de espionaje se produjeron en secreto, y ahí se quedaron. Incluso cuando un ataque no tenía éxito, la noticia de su existencia permanecía a puerta cerrada. Los funcionarios gubernamentales solían evitar la revelación y el debate público de los ataques, y trabajaban para remediar los incidentes rápidamente, de forma encubierta o diplomática.
Por eso fue tan llamativo que la Agencia Federal de Ciberseguridad y Seguridad de las Infraestructuras hablara abiertamente del intento de un grupo de piratas informáticos patrocinado por un estado, que pretendía vulnerar el puerto de Houston, una de las autoridades portuarias más importantes del país. Durante una reunión del Comité de Seguridad Nacional y Asuntos Gubernamentales del Senado, la directora de la CISA, Jen Easterly, habló abiertamente de los hackers que explotaron una vulnerabilidad de día cero.
Esta revelación habría sido inaudita hace unos años, ya que un ataque fallido a una infraestructura nacional crítica sólo habría sido objeto de susurros, si es que se hablaba de ello. Pero fue la decisión correcta, dadas las circunstancias del incidente. Y el gobierno de EE.UU. debería continuar por este nuevo camino de mayor apertura en torno a los ataques frustrados.
La pregunta obvia es: ¿Por qué cambiar ahora?
Hay una respuesta obvia: la disuasión. El reconocimiento público envía un mensaje al agresor: Te hemos visto y te hemos pillado. Les dice a los ciberenemigos, es decir, a los antagonistas de los estados-nación, que tienen que pensárselo bien antes de lanzar un ciberataque. Y, en un entorno tan público como una audiencia del comité del Senado, ese mensaje va mucho más allá de los agresores que están detrás de un incidente específico.
Tal revelación significa que es poco probable que veamos un ataque de naturaleza similar en el futuro. Esta estrategia clásica se remonta a discusiones similares de la teoría del juego durante la Guerra Fría. Supongamos que ambas partes obtienen armas nucleares y tienen los dedos en el botón. Entonces, ambas se disuaden de actuar, temiendo la acción de la otra.
Por supuesto, el debate abierto sobre la mitigación de los ataques tiene otros beneficios. Por un lado, indica a los ciudadanos que el dinero de sus contribuyentes está funcionando y que la ciberdefensa del país es fuerte.
Pero esos beneficios también conllevan un riesgo. Cuanto más revelemos sobre los ciberataques frustrados, más información cederemos a los piratas informáticos, que pueden utilizarla para evolucionar sus métodos y volverse más sofisticados en sus ataques.
Así pues, ¿qué ataques evitados debemos difundir y cuáles debemos mantener clasificados?
Para responder con eficacia, debemos considerar las infraestructuras nacionales críticas. Tanto si el objetivo es el beneficio económico como la interrupción de la actividad empresarial, este sector es un objetivo primordial para los estados-nación y los grupos de ciberdelincuentes, a pesar de los esfuerzos de la administración Biden por hacer que ciertas industrias estén fuera de los límites. Los ataques exitosos pueden causar consecuencias importantes, amenazando el suministro de agua, el acceso a la energía o incluso la vida humana.
Por eso la comunicación pública fue una decisión inteligente en el caso del ataque al Puerto de Houston: Permitió a otras instituciones del CNI aprender de una estrategia defensiva eficaz. En este caso, los aprendizajes más amplios desde el punto de vista de la educación en seguridad nacional superaron los posibles aprendizajes del agresor.
La difusión del ataque impedido también anima a los operadores de infraestructuras a trabajar directamente con el gobierno para reforzar sus defensas. Dado que más del 85% de las infraestructuras críticas pertenecen al sector privado y son explotadas por él, y que el 100% de la nación depende de estas industrias, la cooperación con el gobierno es crucial.
No todos los ataques tienen un carácter claro para ser discutidos públicamente; hay que evaluarlos caso por caso. En el futuro, el gobierno tiene que seguir revelando los intentos de ataque a las infraestructuras críticas para ampliar la educación, fomentar la cooperación del gobierno y ampliar la disuasión global de la ciberseguridad. Para obtener una verdadera ventaja estratégica en materia de ciberseguridad para Estados Unidos, los funcionarios deben ser reflexivos: sopesar si las organizaciones pueden aprender una lección más amplia y general de los detalles del ataque o si explicar nuestra exitosa defensa dará ventaja a los atacantes.
Fte. Nextgov