Un viernes por la tarde a finales de septiembre, Facebook anunció que había sido objeto de una importante violación de seguridadLos hackers se infiltraron en la red social, obteniendo acceso a cerca de 50 millones de cuentas personales, el peor ataque en la historia de la compañía. Informes posteriores especularon que el autor podría haber sido una potencia extranjera, lo que generó mayor preocupación sobre el estado de la ciberseguridad en Estados Unidos.
En los últimos años, el tema de la ciberseguridad ha atraído mucha atención a nivel nacional. Ataques como los de Facebook, entre otros, han generado preocupación entre los estadounidenses por la seguridad de su información personal y si están suficientemente protegidos ante estas posibles amenazas. Informes recientes han... mostrado Un aumento significativo en el número de ciberataques, muchos perpetrados contra grandes bancos y otras instituciones con información altamente sensible. El contraste con hace una década, cuando los ciberataques eran mucho menos frecuentes, es evidente.
La intención del hacker
La cuestión de qué motiva a los hackers es compleja. Si bien se suele asumir que el cibercrimen se alimenta del afán de lucro, en muchos casos los motivos también tienen una base social, ideológica o política. Un tipo de activismo en internet, hacktivismo, opera con base en todos estos principios. Esto ocurre cuando los hackers cometen delitos cibernéticos para promover algún tipo de cambio social, ya sea la libertad de expresión, la libertad de información o los derechos humanos. Tomemos el caso de Anonymous, un grupo que publica información clasificada obtenida mediante ataques informáticos bajo el objetivo ideológico de la transparencia. En vista de esto, se podría argumentar que no todos los delitos cibernéticos son necesariamente dañinos. Como demuestra el precedente, el hacking tiene la capacidad de generar cambios sociales. Al comienzo de la Primavera Árabe, Anonymous... trabajó para llamar la atención de los medios sobre las protestas en Túnez, restablecer el acceso a sitios web censurados por el gobierno y escribir código que permita a los activistas evitar la vigilancia gubernamental.
Los expertos afirman que los hackers se han envalentonado más gracias a las nuevas tecnologías que les permiten infiltrarse en los sistemas con relativa facilidad. Estos avances, si bien impresionantes y emocionantes desde un punto de vista tecnológico, también representan una amenaza significativa para muchos sectores de la economía estadounidense: energía, salud y transporte, por nombrar algunos. Además, las ganancias financieras están prácticamente garantizadas con el uso de herramientas como denegación de servicio distribuida Ataques que inundan las redes con tráfico incontrolado, impidiendo el funcionamiento del sistema. Se exige un rescate a cambio de detener el ataque. En una era donde las redes digitales son cruciales para el funcionamiento normal, las empresas suelen estar más que dispuestas a... Entregar el rescate si eso significa recuperar sus sistemas.
El estado de la ciberseguridad
Desafortunadamente, Estados Unidos es un epicentro de este tipo de actividad. Como señaló Ross Rustici, director de servicios de inteligencia de la empresa de ciberseguridad... CiberreacciónEn una entrevista reciente con HPR, afirmó: «Estados Unidos probablemente se encuentra entre el 25 % superior en términos de defensa, pero en general es lamentablemente insuficiente». El exanalista cibernético del Departamento de Defensa añadió que, si bien el gobierno estadounidense ha hecho un gran esfuerzo para abordar el problema, carece de la autoridad para imponer cambios, ya que no existen obligaciones legales para que las empresas cuenten con altos estándares de ciberseguridad.
El consenso general de los expertos de la industria es que nunca habrá una protección del 100% y que los hackers siempre encontrarán la manera de acceder a los sistemas. A medida que se construyen nuevas defensas, también surgen nuevas vulnerabilidades y puntos de vulnerabilidad a la espera de ser explotados. Brian Park, cofundador de Sparklabs Cyber+Blockchain, una aceleradora de startups cibernéticas con sede en Washington D. C., comparó este fenómeno con un juego del gato y el ratón en una entrevista con HPR. Incluso mientras los desarrolladores inventan nuevas tecnologías de ciberdefensa, los atacantes van un paso por delante, diseñando ya formas de sortear estos nuevos obstáculos. Sin embargo, como señaló Park, no todas las defensas son completamente cibernéticas. Los hackers también optan por aprovecharse del punto más débil de cualquier sistema de seguridad: las personas. Muchas empresas utilizan a las personas como su primera línea de defensa, ya sea un representante de atención al cliente de un banco por teléfono o un guardia de seguridad en un centro de almacenamiento de datos. En muchos casos, es fácil engañar a las personas para que otorguen acceso, como se vio en el caso del popular... Estafas del IRS, donde se convence a las personas de entregar su número de seguridad social para evitar multas.
La ofensiva es la nueva defensa
Ante estas amenazas, muchos han argumentado que las empresas y el gobierno deben empezar a perseguir a estos hackers, atacándolos antes de que nos ataquen a nosotros. En septiembre de 2018 artículo de opinión para el Foro RiponEl senador Mike Rounds (RS.D.), presidente del Subcomité de Ciberseguridad de las Fuerzas Armadas, argumentó a favor de un enfoque más ofensivo: "Hemos defendido demasiado la ciberseguridad. Es hora de pasar a la ofensiva". Si bien el gobierno puede implementar esta estrategia, es ilegal que las empresas, según la... Ley de Fraude y Abuso Informático de 1986La ley, que se aprobó durante la administración Reagan, estaba en respuesta A la película WarGames, en la que un estudiante de secundaria hackea una supercomputadora militar y casi inicia una guerra nuclear con la Unión Soviética. La película, aunque ficticia, fue suficiente para convencer al presidente Reagan y al gobierno estadounidense de que no se podía confiar en las empresas cuando se trataba de piratería informática, especialmente en la remota posibilidad de que pudiera derivar en un conflicto con un estado extranjero.
El presidente Trump parece estar de acuerdo con Rounds. En agosto pasado, emitió una directiva: Memorando Presidencial de Seguridad Nacional 13 —lo que otorga al Departamento de Defensa mayor libertad para lanzar operaciones cibernéticas contra adversarios de Estados Unidos. Esta política, que representa un cambio radical con respecto a la de la administración Obama, ha sido criticada por su imprudencia, ya que podría provocar una escalada de conflictos cibernéticos y tensiones diplomáticas en el extranjero.
La reacción pública y privada
En respuesta a la creciente amenaza de ciberataques, tanto el sector privado como el público han dedicado más atención y recursos al problema. La industria de la ciberseguridad, en particular, ha visto... rápida expansión con tasas de crecimiento interanual proyectadas del 10 al 12 por ciento hasta 2021. Un informe de Business Insider estimaciones que se gastarán más de 1.465.500 millones de TFP en servicios de seguridad hasta 2020. Además, Investigación realizada por Morgan Stanley muestra que el costo promedio global del ciberdelito aumentó un 62 por ciento entre 2013 y 2017. A pesar de la mayor inversión en tecnología y servicios de seguridad, la aumento continuo El aumento de la ciberdelincuencia demuestra la necesidad de soluciones más eficientes y eficaces. En sintonía con el sector privado, el gobierno ha comenzado a asignar más recursos para mitigar las ciberamenazas. La administración Trump... propuesta de presupuesto para 2019 Solicita 14.983 millones de dólares para la financiación total de ciberseguridad, frente a los 13.100 y 14.400 millones de dólares de 2017 y 2018, respectivamente. Sin embargo, muchos consideran este aumento presupuestario desconcertante, dada la postura del presidente. decisión de eliminar el papel de coordinador cibernético en el Consejo de Seguridad Nacional, el máximo responsable cibernético del gobierno de Estados Unidos.
El Congreso también ha tomado medidas para mejorar las capacidades cibernéticas del país, y algunos legisladores piden una legislación similar a la Reglamento General de Protección de Datos de la Unión Europea, promulgada en mayo de 2018. El RGPD está diseñado para proteger los datos personales de los consumidores procesados o conservados por empresas dentro de la Unión Europea. Garantiza a los consumidores el derecho a acceder a sus datos, a que se eliminen y a retirarlos en cualquier momento. Además, exige a las empresas contar con un director de protección de datos, notificar a los usuarios sobre cualquier vulneración de seguridad en un plazo de 72 horas y cumplir con otras condiciones. Si una empresa no cumple alguno de estos estándares, se le impondrá una multa de hasta el 4 % de su facturación anual global. Los defensores de la ley argumentan que, dados los recientes ciberataques, la implementación de una legislación como el RGPD en Estados Unidos es necesaria, ya que ofrece a los consumidores mayor acceso y capacidad para proteger sus datos, un aspecto importante de la ciberseguridad. En una declaración enviada por correo electrónico al HPR, Dimitri Sirota, director ejecutivo de BigID, una firma de ciberseguridad con sede en la ciudad de Nueva York, describió el RGPD como un "tema ganador para todos los partidos políticos" y que "todos los aspectos de la regulación beneficiarían a EE. UU." Dicho esto, no todos están de acuerdo. Algunos opositores argumentan que el costo de estos requisitos supone una carga innecesaria para las empresas.
Si bien el futuro de leyes como el RGPD en Estados Unidos es incierto, el Congreso ya ha implementado cambios tangibles para enfrentar las ciberamenazas. El 3 de octubre, el Congreso aprobó la... Ley de la Agencia de Seguridad de Infraestructura y Ciberseguridad, que establecerá una agencia de ciberseguridad independiente bajo el Departamento de Seguridad Nacional. La política es significativa porque, en esencia, nombra al DHS como la principal autoridad para abordar las ciberamenazas. Además, también centraliza gran parte de los recursos cibernéticos del gobierno en una sola entidad, una mejora muy necesaria. Antes de la ley, Estados Unidos contaba con grandes programas cibernéticos alojados en múltiples departamentos, una situación que permitía malentendidos, confusión sobre la autoridad e ineficiencias generales. Si bien este es un paso en la dirección correcta, también existen preocupaciones sobre el éxito de la agencia. Muchos expertos en la industria cibernética creen que aún se necesita una cantidad significativa de fondos y personal adicionales para abordar adecuadamente la amenaza de los ciberataques, especialmente si se espera que esta agencia sea la principal línea de ciberdefensa del país.
Planes y propuestas adicionales
De cara al futuro, es evidente que el gobierno estadounidense debe redoblar esfuerzos para proteger al país de las nuevas formas de ciberataques. En los últimos años, el Congreso ha implementado numerosas mejoras y finalmente ha comenzado a asignar más recursos para abordar esta amenaza. Sin embargo, se requiere mayor financiación e investigación. Una opción para el futuro es aumentar la cooperación entre los sectores público y privado, ya que los expertos y analistas en ciberseguridad del sector poseen el conocimiento más actualizado sobre las amenazas actuales y podrían ser de gran beneficio para los legisladores. Otra opción es el establecimiento de un organismo similar al del presidente Obama. Comisión para la Mejora de la Ciberseguridad NacionalUn proyecto de este tipo permitiría al gobierno y a sus agencias reevaluar el estado actual de la ciberseguridad en Estados Unidos, identificando las principales vulnerabilidades de nuestra ciberinfraestructura. Por último, los programas de educación pública sobre ciberseguridad también podrían resultar útiles.
Estados Unidos y sus empresas no son plenamente conscientes de la amenaza que representan los ciberataques. Es necesario que las personas estén mejor informadas sobre las amenazas que enfrentan, cómo limitar la exposición y a qué recursos tienen acceso en caso de un ciberataque. "Debemos tomarnos esta amenaza en serio y prepararnos para ella", declaró el senador Bill Nelson (demócrata por Florida) en una entrevista reciente con el HPR. "El próximo ciberataque está a punto de ocurrir; no se trata de si ocurrirá, sino de cuándo".