El riesgo de un ataque virtual que puede paralizar la infraestructura o el sistema financiero de un país es muy real. Tanto norteamericanos como europeos discutirán sobre que medidas tomar frente a este tipo de amenazas.
De amenazas virtuales a amenazas reales
En junio de 2010, el gusano informático Stuxnet infecto varios sistemas de control industrial en todo el mundo, cuyos sistemas de control provenían de la multinacional alemana Siemens. Su objetivo era sabotear el programa nuclear de Irán. Sin embargo, hasta la fecha no hay pruebas de ello, como tampoco se pudo comprobar el origen de este virus electrónico.
Según McAfee, cerca de 50 millones de computadoras son afectadas diariamente por Internet.
Lo que si quedo al descubierto es que Stuxnet abrió una dimensión completamente nueva sobre las amenazas posibles de un ataque cibernético, y al mismo tiempo sacudió a la comunidad internacional.
Este gusano informático fue programado de tal forma que pudiera traspasar muchos dispositivos y equipos sin causar daños. Esto fue posible gracias a una combinación específica de hardware y software con un objetivo específico en la mira, dice McGurk.
¿Cooperacion transatlantica, una necesidad?
De acuerdo con el funcionario estadounidense, antes de Stuxnet ya había sido efectiva una cooperación amplia en la defensa del ciberespacio entre Estados Unidos y Europa. Un ejemplo es Cyberstorm, una red de observación y advertencia a la que pertenecen 15 países, entre ellos Alemania, Francia, España, Reino Unido y Suecia.
Su objetivo es el intercambio de informaciones que conllevan al desarrollo conjunto de productos para la seguridad cibernética y la reducción de riesgos, dice McGurk.
McAfee monitorea 160 millones de ordenadores y redes a nivel mundial. Según Phyllis Schneck, director del departamento técnico, entre 30 y 50 millones de aparatos son infectados cada día. Los virus de computador no tienen fronteras. Por eso, ¿es tan importante la cooperación transatlántica?, dice Schneck.
Sin embargo, dicha cooperación no está exenta de dificultades. Actualmente, el Reino Unido y los países escandinavos se encuentran mejor preparados en estas cuestiones. Hay países europeos que nunca han escuchado hablar de seguridad cibernética, dice James Lewis, experto en tecnología del Centro de Estudios Estratégicos e Internacionales de Washington (CSIS por sus siglas en inglés).
Según Lewis, Alemania identifico hasta hace poco que tan relevante puede ser el impacto económico del espionaje industrial.
Estados Unidos también tiene inconvenientes para unificar los estándares de seguridad en esta área. El experto del CSIS también duda sobre el valor de proyectos conjuntos mientras no se establezca un procedimiento transatlántico único en caso de un ataque.
La rapidez en que se propagan los virus por Internet es otro de los factores a tener en cuenta. Tanto Estados Unidos como Europa no han considerado las consecuencias de la velocidad de este tipo de ataques.
¿En el entorno digital todo es más rápido?, dice McGurk.
Las normas existentes en Estados Unidos sobre la divulgación de amenazas también entorpecen el trabajo conjunto frente a amenazas en el campo virtual. El trabajo conjunto con los europeos, empero, tampoco es siempre fácil, dice Tom Gann, encargado de cooperación internacional en McAfee.
En la entrega de información los europeos son más reservados que los estadounidenses, como se evidencia en la transferencia de datos de viajeros. Para los europeos la divulgación de datos personales, así como las direcciones de Internet y las direcciones IP están restringidas. Esto reduce las posibilidades de las organizaciones que buscan este tipo de informaciones en la red de encontrar los riesgos, dice Gann.
OTAN, tambien activa
La Organizacion del Tratado del Atlantico Norte (OTAN) tambien esta trabajando para tomar medidas conjuntas con la UE en contra de las amenazas provenientes de Internet. Desde el 2008, existe un acuerdo que busca amonizar leyes y procedimientos en ese sentido como respuesta al ataque cibernetico masivo que sufria Estonia en la primavera de 2007, documento que se espera esta terminado a mediados del 2011.
Para Eneken Tikk, abogada estonia que trabaja en el Cibercentro de Defensa de Tallin conjuntamente con la OTAN, no hay duda de que el Articulo 5 de la OTAN referente a la defensa colectiva, tambien sera valido en caso de un ataque virtual. De acuerdo con la ley, el unico criterio que se debe cumplir es que el ataque virtual tenga las mismas repercusiones de un ataque convencional, dice Tikk.
No obstante, para Lewis, es mas factible que entre primero en vigencia el Articulo 4, es decir, que el Consejo del Atlantico Norte primero entraria a consultas, reuniria algunas experiencias, y luego resolveria que hacer. Eso seria suficiente, dice el experto en seguridad estadounidense.
En caso de otro ataque a Estonia, esta sería la acción correcta a seguir, según la conversación que sostuvo Lewis con el ministro de Defensa de Estonia. Al interior de la OTAN, sin embargo, no se quiere llegar tan lejos. El secretario de Defensa adjunto de Estados Unidos, William Lynn, estuvo el mes pasado por primera vez en Bruselas para dar inicio a las conversaciones.
La OTAN debe adoptar las medidas adecuadas para proteger las redes importantes antes de que sucedan los ataques. En el caso de Estonia o Georgia y su breve conflicto con Rusia en el verano de 2008 solo se trata de una interrupción del Internet. Para lograr esto, de acuerdo con Lynn, primero hay que ser capaces de proteger las redes del ejército, lo cual todavía no es una realidad.
