Cuando inicié mis estudios de maestría en políticas públicas en Harvard, en 1985, un grupo interdisciplinario de profesores, investigadores y profesionales analizaba, en la Escuela Kennedy de Gobierno, la mayor amenaza de la Guerra Fría: el temor de un intercambio nuclear entre la Unión Soviética y los Estados Unidos. Hoy los expertos analizan una nueva amenaza: el riesgo de conflictos en el ciberespacio.
Los gobiernos de casi todos los países ponen atención (o deberían hacerlo) a proteger la infraestructura crítica de sus naciones de un ataque cibernético. Las potencias mundiales tienen expertos que piensan todo el tiempo en cómo organizar, entrenar y equipar una fuerza militar para prevalecer en caso de un conflicto en el ciberespacio. También han diseñado todo tipo de estrategias para disuadir a los terroristas de realizar ataques cibernéticos. El reto fundamental es cómo controlar la escalada de un conflicto en el ciberespacio sin sofocar las actividades productivas y la innovación de una nación.
El Centro Belfer de Harvard inició hace unos años un Proyecto Cibernético y lanzó recientemente el Índice Nacional de Poder Cibernético 2022 https://bit.ly/3rkRpel . Organizó conversaciones y debates entre los encargados de formular políticas gubernamentales, la academia y la industria sobre el concepto de “poder cibernético” y cómo los estados pueden mejorar su capacidad de lograr objetivos nacionales.
Lo que muchos líderes mundiales no se han dado cuenta es que, para aprovechar el poder cibernético de un estado, se requiere “un enfoque de toda la nación” en la vigilancia, el control de la información, la competencia tecnológica, las motivaciones financieras y la configuración de lo que es aceptable y posible a través de normas y estándares.
Tal vez no se entiende bien todavía, en algunos países, la dependencia gubernamental sobre el uso de Internet y las tecnologías digitales para lograr sus objetivos nacionales. Ni se comprende a ciencia cierta la relación del poder cibernético con el poder nacional. En la era del Covid-19 se exacerban los riesgos cibernéticos que enfrentan los gobiernos, la infraestructura, las empresas y las fuerzas laborales dispersas en lugares remotos.
Los debates recientes sobre el poder cibernético han logrado que algunos gobiernos midan mejor sus propias capacidades cibernéticas y han estimulado una exploración más profunda del alcance y la aplicación del poder cibernético. Los gobiernos exitosos deben comprender el poder cibernético de manera integral. Su impacto tiene un alcance más amplio que las preocupaciones inmediatas de seguridad nacional. Para aprovecharlo, se requiere un enfoque de toda la nación. Las capacidades cibernéticas son sólo una herramienta.
Si no se comprende la evolución del poder cibernético de los estados no se puede tener éxito en las tareas del gobierno. Hemos sido testigos de ataques cibernéticos como los de Solarwinds, Microsoft Exchange, Colonial Pipeline, JBS. Y, más recientemente, el uso de ataques cibernéticos de Rusia a Ucrania y el hackeo de Guacamaya a la Sedena.
Han aumentado los ataques de “ransomware” a gran escala en los últimos años. Y las cadenas de suministro digitales son un vector de ciberataques. La realidad es que cuanto más conectados e integrados estemos, más atractivos serán los ciberataques para los delincuentes. Entonces, los estados necesitan mejorar su poder cibernético para proteger sus intereses.
Muchas veces nos dejamos llevar por la percepción de que, en el ciberespacio, los países buscan destruir y deshabilitar la infraestructura y las capacidades de un adversario. Lo que debemos pensar es que los estados también deben fortalecer y mejorar sus defensas cibernéticas, recabar inteligencia, hacer crecer la tecnología comercial, fomentar la competencia, controlar y administrar el entorno de la información, y extender su influencia mediante la definición de normas cibernéticas internacionales y estándares técnicos.
El poder cibernético es multifacético y requiere un enfoque de toda la nación para aprovecharlo. El INPC proporciona una medida más completa de ciberpoder que los índices existentes, los estudios anecdóticos o las especulaciones periodísticas. Mide estrategias de gobierno, capacidades de defensa y operaciones destructivas, asignación de recursos, capacidades del sector privado dentro de un país, empresas de tecnología, mano de obra e innovación.
Entre muchos otros, algunos de los objetivos de gobiernos exitosos en ciberseguridad son los siguientes:
- Vigilancia y monitoreo:
Un estado debe tener la autorización legal para fortalecer sus capacidades de vigilancia cibernética para monitorear, detectar y recopilar inteligencia sobre amenazas internas y actores dentro de sus propias fronteras. Debe ser capaz de monitorear el tráfico de Internet, eludir el cifrado o detectar e interrumpir servicios de inteligencia extranjeros, organizaciones criminales y grupos terroristas.
- Fortalecimiento y mejora de las ciberdefensas nacionales:
Un estado debe priorizar la mejora de la defensa de los activos y sistemas gubernamentales y nacionales, y la mejora de la ciberhigiene y resiliencia nacional. Esto incluye la defensa de los activos del gobierno, la promoción de la seguridad cibernética y la higiene cibernética para las industrias clave y la población en general, y la sensibilización nacional sobre las amenazas cibernéticas.
- Recopilación de inteligencia extranjera para la seguridad nacional:
Un estado debe tener la capacidad de recopilar información externa sobre actividades diplomáticas, planificación militar, supervisión de tratados y otras situaciones que le permitan comprender mejor las acciones de un país extranjero. Pero también debe cuidarse de hackeos e infracciones de material clasificado, especialmente de documentos militares, del robo de registros de personal y del acceso a las comunicaciones de figuras importantes del gobierno.
- Creciente competencia en tecnología comercial y cibernética nacional:
Un estado debe hacer crecer su industria tecnológica nacional y utilizar medios cibernéticos para desarrollar otras industrias estratégicas. Urge inversión en investigación y desarrollo de seguridad cibernética y priorizar el desarrollo de la fuerza laboral de seguridad cibernética. Un estado también debe protegerse de las técnicas, tácticas y procedimientos destructivos y todo tipo de ataques cibernéticos a su infraestructura crítica.
- Definición de normas cibernéticas internacionales y estándares técnicos:
Un estado debe participar activamente en debates internacionales legales, políticos y técnicos en torno a las nuevas normas cibernéticas. Esto podría incluir la firma de tratados cibernéticos, la participación en grupos de trabajo técnicos y la unión de asociaciones y alianzas cibernéticas para combatir el delito cibernético y compartir conocimientos técnicos y nuevas capacidades.
Las capacidad cibernética de un estado es sólo una del conjunto de herramientas que debe construir para lograr sus objetivos nacionales. Además, se requieren medios militares tradicionales, diplomacia, comercio, inversión, sanciones, aranceles. Es claramente evidente, en el nuevo entorno geopolítico actual, que los estados están buscando un conjunto más completo de capacidades de poder cibernético.
Los gobiernos requieren métodos analíticos para evaluar las amenazas cibernéticas a la seguridad nacional. Necesitan considerar la amplia gama de desafíos y amenazas de otros actores estatales. Lo que hicieron los investigadores de Harvard fue incorporar modelos cualitativos y cuantitativos, con más de 1,000 fuentes de datos existentes y con 29 indicadores para medir la capacidad de cada estado, su poder cibernético.
Son 30 países los que integran el Índice Nacional de Poder Cibernético. Y éste es el ranking:
- Estados Unidos
- China
- Rusia
- Reino Unido
- Australia
- Países Bajos
- Vietnam
- República de Corea
- Francia
- Irán
- Alemania
- Ucrania
- Canadá
- RPDC (Corea del Norte)
- España
- Japón
- Singapur
- Nueva Zelanda
- Israel
- Suecia
- Arabia Saudita
- Suiza
- Turquía
- Egipto
- Estonia
- India
- Italia
- Malasia
- Lituania
- Brasil
¿Y México? Desafortunadamente no encontré alguna mención o referencia de nuestro país en el estudio.
Javier Treviño en Twitter: @javier_trevino