Sobre el ataque de ciudadanos iraníes contra sistemas informáticos de EE.UU.: pasos a seguir

La acusación presentada por el Departamento de Justicia de los Estados Unidos de América contra nueve ciudadanos iraníes que perpetraron ataques informáticos certifica que el sector educativo está convirtiéndose en un objetivo de operaciones de influencia y de inteligencia con origen en el extranjero. Asimismo, el episodio demuestra que precisamos hacer más que buscar culpables, si de lo que se trata es de detener tales ataques. A continuación, algunos de los detalles sobre lo sucedido el viernes pasado.

El Departamento de Justicia acusó a nueve ciudadanos iraníes por haber conducido una campaña coordinada de pirateo informático o hacking contra el sector privado americano y contra el sector público del gobierno estadounidense, incluyendo a más de 144 universidades. Según se ha comentado, el esfuerzo condujo a que los hackers se apropiaran de algo más de 31 terabytes (TB) de propiedad intelectual robada, y con información igualmente valiosa, aunque de otra índole. Para ponerlo en el debido contexto, la información hurtada por estos individuos equivale a 37 mil horas de video, 527 mil horas de música, o 9.6 millones de fotografías. Bajo cualquier estándar, el aquí descripto remitió a un ataque tan exitoso como perjudicial.

El Departamento de Justicia bien se merece el crédito por haber identificado a los criminales, y por tomar medidas contra ellos. Sin embargo, es elevada la probabilidad de que ataques similares continúen en curso, o bien será difícil poder identificarlos. En rigor, habrá que decir que es preciso contar con otras medidas, además de las acusaciones de Justicia, a los efectos de disuadir ante nuevos ciberataques.

El gobierno habrá de tomar el tema con la más absoluta seriedad, si en realidad se propone mejorar la ciberseguridad de la nación. 


1. Hacia una Gran Estrategia Nacional 

Es preciso contar con una estrategia principal para la ciberseguridad nacional, la cual debe sintetizarse en algo más que una mera colección de resultados y riesgos que habrían de evitarse. Semejante estrategia habrá de ser proactiva y articular específicamente lo que Estados Unidos, como nación, definirá como sus objetivos e intereses en el ciberespacio.


2. Hacia un sector privado más proactivo 

Estados Unidos precisa contar con un sector privado que comprenda las amenazas cibernéticas, y que se aproxime a ellas agresivamente. La ciberseguridad no es simplemente un empleo gubernamental, y ataques como el mencionado no solo ponen la mira en los servidores de redes pertenecientes al gobierno y a su personal. En rigor, cada vez se conoce sobre más objetivos vinculados a los sectores educativos y a la sociedad civil, por cuanto allí tiene lugar el grueso de la investigación en materia de última tecnología. Aquí reside una de las razones por las cuales las universidades están siendo objetivos de ataques.

La difícil realidad consiste en que la carga de la seguridad nacional es cada vez más compartida por entidades no-gubernamentales, y Estados Unidos precisa actuar en tal sentido. Las prácticas y políticas laxas en el ámbito universitario y en institutos privados de investigación tecnológica ya no son aceptables, y el gobierno federal ha de asistir a estos grupos para que comprendan la amenaza, alentándolos para que adopten precauciones de orden esencial. Aún más, los líderes de estas organizaciones deberían tomar a la ciberseguridad como una de sus responsabilidades primarias; y, en igual sentido, habrán de responsabilizarse de manera acorde. 


3. Coordinación entre los sectores público y privado

Tanto el gobierno como el sector privado necesitan ponerse de acuerdo en qué tipo de intereses comparten con la nación, y cómo pueden trabajar mancomunadamente para resguardar tales intereses, de existir ellos, y qué organizaciones y/o procesos son necesarios para mejorar en conjunto la ciberseguridad del país. En pocas líneas, cabe señalar que no existe un escenario en donde Estados Unidos resguarde sus intereses en el ciberespacio sin integrar a los sectores pertenecientes a la sociedad civil y al sector privado, en el mismísimo núcleo de las políticas de Estado y de seguridad. Todo esto podría sonar como algo obvio, y así es; lo cual certifica que la pasividad y la inacción comienzan, desde ahora, a convertirse en algo inexcusable.

No pasará demasiado tiempo hasta que la próxima brecha de seguridad tenga lugar y sea detectada. Allí donde las sentencias son ciertamente útiles, lo cierto es que no son suficientes a la hora de detener la oleada de ciberataques que podrían comprometer a los Estados Unidos.

Artículo original, en inglés, en éste link.

* El autor, Klon Kitchen (@KlonKitchen), es consultor en temas específicos vinculados a la seguridad nacional, en Washington, D.C.