El Pentágono pronto lanzará una estrategia que servirá para formalizar una posición que lleva articulando desde hace tiempo: los Estados Unidos se reservan el derecho a lanzar ataques convencionales en respuesta a los de tipo cibernético. Sin embargo, averiguar quién está detrás de estos ataques podría ser difícil, o imposible.

"Afirmar que los ataques cibernéticos pueden ser actos de guerra, y que pueden ser tratados con respuestas cinéticas, simplemente confirma un consenso alcanzado hace tiempo dentro del Departamento de Defensa", señala Stewart Baker, un abogado que con anterioridad fue director de política en el Departamento de Seguridad Nacional durante una parte de la administración Bush. "Sin embargo, ninguna de esas afirmaciones constituye una estrategia".

Baker agrega que la amenaza "es mucho menos eficaz de lo que quisiéramos, porque en gran medida carecemos de la capacidad de identificar quién nos está atacando en el ciberespacio. Hasta que resolvamos ese problema, podríamos igualmente afirmar que vamos a responder a los ataques cibernéticos haciendo sonar cuernos hasta que las fortificaciones de nuestros atacantes se derrumben y todos sus barcos se hundan".

Este problema queda ilustrado por el reciente y famoso ataque cibernético con Stuxnet—un gusano informático que dañó las centrifugadoras nucleares de Irán el año pasado.

El gusano Stuxnet era una pieza de código muy sofisticado que ataco específicamente los sistemas de control de Siemens, haciendo que las centrifugadoras se autodestruyesen. Se aprovechó de cuatro agujeros distintos y desconocidos previamente en el software de Windows. Y tuvo cuidado de no dañar los ordenadores, u otros sistemas.

Esta sofisticación técnica y especificidad extrema, además de una falta de cualquier otra compensación apreciable, sugieren que la acción podría estar patrocinada por un estado. Muchos informes publicados sugieren la participación de agentes de EE.UU. e Israel. Sin embargo, tal y como expuso el año pasado Eric Sterner, miembro del Instituto George C. Marshall, cualquier defensor podría señalar que el gusano quizá fue lanzado por un competidor de Siemens, o que alguna agencia de inteligencia podrían haberlo puesto en circulación simplemente para estudiar su propagación.

Si algo similar infectase y deshabilitara una instalación nuclear o de la red militar de EE.UU., y los Estados Unidos quisieran devolver el golpe, sería difícil saber a quién atacar. Sin embargo, "deberíamos reconocer que la atribución perfecta no es algo necesario", afirma Charles Barry, veterano de guerra de Vietnam y profesor de la Universidad de Defensa Nacional en Washington, DC. "En su día no comprobamos que la flota japonesa estaba actuando bajo órdenes de Tokio antes de declarar la guerra a Japón en diciembre de 1941".

Además del problema sin resolver de la atribución, Barry afirma que los planificadores militares se enfrentan a desafíos a la hora de determinar qué tipo de ataque cibernético "constituye un acto de guerra". Se espera que la nueva estrategia de guerra cibernética del Pentágono declare, en parte, que los ataques informáticos a redes militares, o ataques que representen un peligro para la población civil, tales como daños a los sistemas de control de tráfico aéreo o las redes de energía, podrían ser tratados como algo similar a una agresión convencional.

Algunas de estas cuestiones se abordarán la próxima semana, cuando los planificadores militares y otros especialistas se reúnan durante la conferencia anual de la OTAN sobre guerra cibernética en Tallin, Estonia. Esa misma nación fue víctima de un famoso ciberataque en 2007, que puso de relieve algunos de los nuevos desafíos a superar. El ataque comenzó después de que el gobierno de Estonia, ignorando las protestas de Rusia, trasladase una estatua de bronce de un soldado soviético que había sido instalada para conmemorar a los muertos de la Segunda Guerra Mundial.

Poco después, unos atacantes con sede principalmente en Rusia pusieron en marcha campañas de denegación de servicio contra objetivos web del gobierno, los medios de comunicación y las telecomunicaciones en Estonia, paralizándolos durante semanas. El gobierno ruso negó orquestar el evento, atribuyéndolo a "hackers patrióticos".

Si tal evento sucediese otra vez, y resultase en la pérdida de vidas o daños en los sistemas militares, la nación víctima del ataque tendrá que decidir si creer tales reivindicaciones nacionales de inocencia—o, si no se cree esas afirmaciones, considerar castigar a un estado por los pecados de sus ciudadanos.

Mientras tanto, no hay acuerdo dentro o fuera de la OTAN sobre cómo debería desarrollarse un ciberconflicto—incluyendo hasta qué punto los aliados deben intervenir. Un informe de la OTAN presidido por Madeleine Albright el otoño pasado señaló que los ataques a gran escala a la infraestructura de la OTAN podrían conducir a medidas defensivas por parte de todos los miembros.

Los Estados Unidos crearon un Ciber Comando unificado ​​en 2010 tanto para defender las redes nacionales como para planear sus propios ataques cibernéticos si fuera necesario. Hace exactamente casi un año, el general Keith Alexander, que dirige el Ciber Comando y también la Agencia de Seguridad Nacional, solicito la creación de reglas globales para la participación en una ciberguerra. El próximo informe del Pentágono será un paso hacia la definición de las reglas, aunque podría hacer poco por aclarar quién es el responsable de los actos.