Durante la Guerra Fría, las reuniones cumbre entre Estados Unidos y la Unión Soviética a menudo estuvieron dominadas por acuerdos para fijar límites a las armas nucleares y los sistemas construidos para lanzarlas. EE. UU. y Rusia aún discuten sobre estos temas, pero en su reunión reciente en Ginebra, los presidentes estadounidense, Joe Biden, y ruso, Vladimir Putin, se centraron en gran medida en cómo regular el comportamiento en un terreno distinto: el ciberespacio. Lo que está en juego es igual de importante.

Es fácil entender por qué: el ciberespacio e internet son fundamentales para el funcionamiento de las economías, sociedades, sistemas políticos, fuerzas militares y casi todo lo demás en el mundo moderno, lo que convierte a la infraestructura digital en un objetivo tentador para quienes buscan causar trastornos y daños extraordinarios con un costo mínimo.



Además, tanto los actores estatales como los no estatales pueden llevar a cabo ciberataques y luego negar su responsabilidad, lo que aumenta la tentación de desarrollar y usar esas capacidades. Sabemos cuándo se lanza un misil y desde dónde, pero puede llevar mucho tiempo descubrir que hubo un ciberataque... y encontrar al responsable, más aún. Un proceso de responsabilización tan lento e incierto puede llevar a que la amenaza de represalias, fundamental para la disuasión, resulte imposible.



Lo que puso a este tema de lleno en la agenda de la reunión entre Biden y Putin es que Rusia se ha tornado cada vez más agresiva en el ciberespacio, ya sea con la creación de cuentas falsas en las redes sociales para influir sobre la política estadounidense u obteniendo acceso a infraestructura crítica, como plantas de generación de energía. Una cuestión que refuerza la importancia de este tema es que Rusia no está sola: supuestamente, China logró acceder en 2015 a los registros de 22 millones de empleados gubernamentales estadounidenses, con información que podría facilitar la detección de quienes trabajan para la comunidad de inteligencia de EE. UU.



De igual manera, Corea del Norte atacó a Sony (y comprometió todo tipo de comunicaciones privadas) en sus esfuerzos para impedir la distribución de una película satírica que mostraba el asesinato de su líder. Todo esto ha creado un nuevo lejano Oeste: muchas personas armadas que operan en un espacio con pocas leyes y 'sheriffs' para hacerlas cumplir.



Tradicionalmente, EE. UU. estuvo a favor de una internet en gran medida desestructurada —“abierta, interoperable, segura y confiable” según una política fijada hace una década— para promover el libre flujo de ideas e información. Pero el entusiasmo estadounidense por ese tipo de internet está desapareciendo a medida que sus enemigos explotan su apertura para socavar su democracia y robar propiedad intelectual importante para el funcionamiento y la ventaja comparativa de su economía.



La cuestión —más fácil de plantear que de responder— es dónde marcar los límites y cómo lograr que otros los acepten. En primer lugar, EE. UU. no está libre de contradicciones, ya que también hace espionaje en el ciberespacio (pensemos en el equivalente moderno de abrir sobres con vapor para leer el correo de otros) y supuestamente, junto con Israel, instaló programas maliciosos para sabotear el proyecto de armas nucleares iraní. Por lo tanto, es de suponer que las prohibiciones de las actividades en el ciberespacio serían parciales.



Una idea promisoria es continuar en línea con lo discutido por Biden y Putin, es decir, prohibir que la infraestructura crítica se convierta en un objetivo (esta incluiría, entre otros, represas, instalaciones de producción de petróleo y gas, redes eléctricas, instalaciones de atención sanitaria, plantas nucleares de generación eléctrica, sistemas de comando y control de armas nucleares, aeropuertos y grandes fábricas). La capacidad cibernética puede convertirse en un arma de destrucción masiva cuando se comprometen esos sitios importantes.



Incluso con un acuerdo de ese tipo, puede resultar imposible verificar el cumplimiento, por lo que tal vez EE. UU. desee introducir algún grado de disuasión para garantizar que las partes involucradas honren sus promesas. La disuasión podría implicar la voluntad declarada de aplicar respuestas simétricas: si atacas nuestra infraestructura crítica, haremos lo mismo con la tuya. La disuasión también puede ser asimétrica: si atacas nuestras instalaciones, te sancionaremos o perjudicaremos otros de tus intereses.



También se deben reforzar los acuerdos de ese tipo con acciones unilaterales, considerando lo que está en juego y que otros acuerdos (como el compromiso de no robar propiedad intelectual planteado por China en 2015) fueron infringidos. Por ejemplo, EE. UU. haría bien en reducir la vulnerabilidad de sus sistemas más valiosos.



También sería necesario declarar o negociar que no se aceptará que los gobiernos afirmen que ignoran las actividades cibernéticas agresivas, o nieguen su participación en ellas (como cuando Putin dijo que su gobierno no había tenido nada que ver con los ataques rusos con programas de cibersecuestro de datos o 'ransomware'). En este caso, la analogía es con el terrorismo: después de los ataques del 11 de septiembre de 2001, EE. UU. dejó en claro que no haría distinciones entre los grupos terroristas y los gobiernos que les proporcionaran apoyo o santuario. Rusia sería entonces responsable por las acciones de los grupos que actúen desde su territorio. Insistir en las responsabilidades debiera aumentar los incentivos para que Rusia ponga freno a esos comportamientos.



Con el tiempo, un pacto entre EE. UU. y Rusia podría funcionar como un modelo al que se podrían sumar China, Europa y otros. Si se extendiera a China, se podrían sumar prohibiciones al robo de la propiedad intelectual (y penas por infringirlas). Nada de esto garantiza el desarme, pero constituye el equivalente cibernético del control de armas, que es un punto de partida tan bueno como cualquier otro.



RICHARD HAASS

NUEVA YORK

