El punto de vista de Michael Daniel sobre el caos actual que impera en el mundo de la ciberseguridad es único. Tras acabar un período de cuatro años como asesor cibe ético del expresidente de EEUU, Barack Obama, Daniel es ahora presidente de Cyber Threat Alliance (CTA), un equipo de compañías de ciberseguridad sin ánimo de lucro que está construyendo una plataforma para compartir información sobre amenazas comunes. MIT Technology Review charló con Daniel en la reciente conferencia sobre seguridad informática Black Hat en Las Vegas (EEUU).
nUsted ha presenciado el desafío de la ciberseguridad desde la perspectiva del Gobie o, y ahora lo hace desde el sector privado. ¿Cómo describiría el momento en que nos encontramos ahora mismo?
nAhora, cada vez más países están empezando a incorporar capacidades cibe éticas a sus herramientas gube amentales. La realidad es que tenemos que reconocer que se va a convertir en una herramienta de Estado en casi todos los países, no sólo para Estados Unidos y otros actores de alto nivel como Rusia, China, Israel y Gran Bretaña. Como resultado de esto, tenemos que empezar a pensar en cómo establecer normas de comportamiento y reglas para que estos cambios no desestabilicen.
nTanto los criminales como los países se están volviendo más sofisticados en sus operaciones cibe éticas. ¿Qué papel puede desempeñar en esto la Cyber Threat Alliance?
nEn su nivel más amplio, la CTA es una organización de intercambio y análisis de información centrada en el vendedor y en la comunidad de proveedores de ciberseguridad. En realidad, no hay ninguna otra organización que haga este tipo de trabajo. Fundamentalmente, la CTA trata de llevar a cabo dos cosas. En primer lugar, nos preguntamos si podemos cambiar la forma en la que se está compitiendo en la industria de la ciberseguridad, para que esta competencia sea más beneficiosa para todos. En lugar de seguir rivalizando con asuntos como: "mi deficiente base de datos es más grande que su deficiente base de datos", deberíamos compartir esas bases, y la rivalidad debería ser sobre "yo hago cosas mejores con los datos": soy más rápido, me integro mejor con su compañía, o entiendo su modelo de negocio mejor, por ejemplo. Este nivel de competencia es de mayor valor y a todo el mundo le iría mejor.
nEn segundo lugar, al combinar toda esta información podremos comenzar a trazar formas más eficaces de detener a los malos de la película, y hacerlo a lo largo de todo el proceso que siguen en sus asuntos comerciales. Esto no va sobre un adolescente en su sótano, esa no es la verdadera amenaza. El peligro son las organizaciones que actúan como negocios, y tenemos que empezar a pensar en ello para interrumpir y alterar su modelo de negocio.
nPero, ¿funcionará ese enfoque si el agresor es una nación adversaria?
nSí y no. Por un lado, realizar un manual de estrategia funcionaría igual de bien para los casos en que el atacante es un país. Sin embargo, sus motivaciones son diferentes. La mayoría de los países están dispuestos a invertir un tiempo y un dinero que una organización criminal ni quiere ni puede, por lo que el impacto que tendrían sería diferente. Pero aún se les pueden imponer costes y ralentizar sus acciones.
nEn última instancia, en cualquier caso, el sector privado tendrá que encontrar nuevas maneras de cooperar con los gobie os en estos asuntos dada la naturaleza de la amenaza. ¿Cómo se puede innovar en el ámbito político para ayudar a lograrlo?
nPuedo dar dos ejemplos. En primer lugar, hemos aprendido que si se hace un opt-in [inclusión voluntaria] en el sistema de jubilación, en general, se consigue entre el 45% y el 50% de índice de aceptación entre los empleados. Sin embargo, si se ejecuta mediante un opt-out [exclusión voluntaria], se obtiene un 95%. La diferencia entre ambos escenarios no es técnica sino psicológica. Los resultados son radicalmente diferentes porque la gente es perezosa. Si haces que la gente tenga que tomar una decisión, encontrarán una razón para no hacerlo. Pero si les dices "esto es bueno para ti y todo lo que tienes que hacer es aceptarlo", sólo un pequeño porcentaje dirá que no. ¿Cómo se compara esto con la ciberseguridad para que sea opt-out en lugar de opt-in?
nDel mismo modo, solemos tener la idea de que la ciberseguridad es como la seguridad fronteriza, y eso no tiene sentido. Todo el mundo en el ciberespacio está en contacto con alguien, no hay barreras ni intermediarios. Esto significa que verdaderamente tenemos que pensar en la ciberseguridad, y en la relación entre el gobie o y el sector privado mediante un modelo completamente diferente; tal vez tengamos que tomar prestados algunos de otros escenarios. Por ejemplo, se da una analogía con los desastres naturales. En un desastre natural, la respuesta comienza localmente. Si empieza a abrumar a los funcionarios locales, el gobie o central interviene. Si va más allá de un país, entonces se recurre a a la ayuda de otras naciones. Y si avanza aún más, entra en juego la Agencia Federal para la Gestión de Emergencias (FEMA). ¿Cuál es el equivalente cibe ético de eso? ¿Cómo hacemos el traspaso y decidimos si algo es competencia del sector privado, y puede y debe manejarlo solo, o si requiere ayuda gube amental? Aún no tenemos el lenguaje político adecuado para hablar de esa relación.
n