La Convención de Ginebra, firmada por naciones agotadas por la Segunda Guerra Mundial en agosto de 1949, obliga a 196 países a proteger a los civiles en zonas de guerra. El presidente de Microsoft, Brad Smith, asegura que ahora las naciones deben elaborar una versión digital equivalente que proteja a los civiles y a las empresas atrapados en medio del fuego cruzado de una ciberguerra perpetua.
En los últimos años, las empresas de computación y seguridad han descubierto o han sido víctimas de malware y ataques que parecen estar vinculados con agencias militares o de inteligencia. En la conferencia de seguridad más grande del mundo, celebrada la semana pasada, la RSA, Smith defendió ante el público que hace falta una diplomacia inte acional para mitigar los efectos negativos para empresas y cuidadanos.
LAS NORMAS DE SMITH
1. Prohibir los ataques a empresas tecnológicas, empresas del sector privado e infraestructuras críticas.
2. Ayudar al sector privado a detectar, contener, responder y recuperarse de ataques.
3. Informar a los proveedores de las vulnerabilidades en lugar de almacenarlas, venderlas o aprovecharse de ellas.
4. Actuar con moderación a la hora de desarrollar ciberarmas y asegurarse de que cualquiera de ellas sea limitada, precisa y no reutilizable.
5. Desarrollar actividades de no proliferación de ciberarmas.
6. Limitar las operaciones ofensivas para evitar un evento masivo.
"El hackeo por parte de los estados se ha convertido en ataques a civiles en tiempos de paz", dijo Smith, en alusión al lenguaje de la propia Convención de Ginebra y añadió: "Necesitamos hacer un llamamiento para que los gobie os del mundo se unan como hicieron en 1949 en Suiza". Smith, que también es el director legal de Microsoft, ha abogado recientemente por reformas legales para actualizar las protecciones de privacidad y seguridad en la era de inte et (ver El abogado de Microsoft al que Snowden animó a luchar por los derechos civiles de la humanidad).
El responsable enumeró seis requisitos que tal acuerdo podría aplicar, como por ejemplo, no dirigir ataques digitales a empresas, civiles ni infraestructuras críticas.
Dijo que el ataque de 2014 que paralizó a Sony Pictures (del cual Estados Unidos culpó a Corea del Norte) es justo el tipo de evento que demuestra la necesidad de un acuerdo inte acional sobre el hackeo. Se cree que Corea del Norte atacó a Sony por su disgusto a causa de la película La entrevista, que satirizaba a su líder, Kim Jong-Un.
Smith citó un acuerdo de 2015 firmado por China y Estados Unidos en el que se comprometían a no realizar ni fomentar el ciberespionaje corporativo como prueba de que la diplomacia inte acional puede refrenar lo que sucede en el ciberespacio. Expertos en seguridad y el Gobie o de EEUU llevaban años quejándose de que el ejército chino ayudaba a robar secretos corporativos. China siempre ha negado tales afirmaciones, pero funcionarios y empresas de seguridad estadounidenses afirman que la incidencia de ataques procedentes del país se ha reducido (aunque algunos expertos son escépticos sobre las causas). Después, el G20 firmó un convenio similar.
La semana pasada, el presidente del Comité de Seguridad Nacional de la Cámara de Representantes, Michael McCaul, se hizo eco de la petición de Smith sobre la importancia de la diplomacia para abordar algo que suele considerarse un problema técnico.
Los países siempre tendrán actitudes distintas frente a la privacidad y la seguridad, pero es necesario coordinarse para impedir que los ciberataques provoquen graves daños, dijo McCaul, que también habló en la conferencia RSA. El mandatario afirmó: "Estados Unidos debería estar hablando con sus socios extranjero. Debemos desarrollar reglas claras para la ciberguerra".
McCaul citó pruebas de que Rusia había utilizado el hackeo para influir en las elecciones presidenciales de Estados Unidos como ejemplo de las consecuencias de la falta de políticas para gobe ar los ciberataques. Hackers respaldados por Rusia también han sido acusados de deshabilitar redes energéticas en Ucrania el año pasado.
El director de seguridad de F-Secure, Mikko Hypponen, quien ayudó a crear un mapa para mostrar los aumentos del malware gube amental, explicó a MIT Technology Review que sería posible crear una especie de Convención Digital de Ginebra. Pero aunque considera que el acuerdo entre EEUU y China es un éxito, no confía en que algo similar vaya a producirse en un futuro próximo.
Hypponen recomienda fijarse en otra época de la historia como modelo para los próximos años de la era de la ciberguerra. "Esta carrera armamentística se encuentra en una fase temprana", dice, porque las naciones aún sienten que tienen mucho que ganar sobre sus rivales al ampliar agresivamente el espionaje digital y sus capacidades de ataque. El experto concluye: "Creo que alcanzaremos el desarmamiento y el control al final, igual que con las armas nucleares, pero llevará tiempo".