Winn Schwartau

"Al salir a la superficie, torrentes de balas AK-47 nos atacaron. Yo no le llamo paz a eso. Mientras las esferas mortales llovían sobre nosotros, podía hablarse de mantenimiento de la paz, no de guerra". Comandante James K. Campbell, USN, Mogadishu, Somalia.


Sinceramente, tenemos pocos indicios para definir qué es en realidad la guerra actualmente. Cada diccionario que ha llegado a mis manos define a la guerra como: un conflicto militar entre naciones o dentro de una nación, donde los Ejércitos y las Marinas luchan por el dominio en el plano físico. Esta definición no explica convenientemente el conflicto en un mundo digital. Cuando uno se ha cansado de Daniel Webster y busca en otros sitios, emerge un cuadro completamente diferente. Clausewitz describió a la guerra como una extensión de la política. La guerra ha estado caracterizada como el fracaso de la diplomacia. Sherman pensaba que la guerra era el Infierno, pero Patton pensó que la paz -al menos para él- iba a ser el infierno. El Presidente francés Georges Clemenceau expresó: "La guerra es una serie de catástrofes que conducen a la victoria". Algunos magnates aplican términos de guerra a sus negocios. Los políticos hablan sobre "guerra a la pobreza" o "guerra a las drogas".

Yo me pregunto: "¿qué es exactamente la guerra? y "¿resulta adecuada nuestra definición de guerra para enfrentar los desafíos actuales?". Pasé mis años de adolescencia observando la Guerra de Vietnam que, en la jerga legal, no fue una guerra. La de Corea fue una "acción política". La Guerra del Golfo ...¿qué fue?.

Con el debido respeto a las decenas de miles de norteamericanos que han realizado enormes sacrificios en los últimos 50 años, Estados Unidos no ha participado técnicamente de una guerra desde la II Guerra Mundial. Tampoco lo han hecho nuestros aliados más cercanos. Hemos atravesado acciones políticas, escaramuzas, coaliciones y misiones de mantenimiento de la paz -en verdad, empleamos una plétora de zieglerismos para definir la intervención militar, la acción militar y la muerte de soldados, personal aéreo y marinos, menos la palabra guerra. La palabra "guerra" tiene una intención y un significado específicos en los tribunales internacionales y para otras naciones-estados, pero hemos evitado el término diplomática y políticamente en aras de la "paz".

Enviamos la Fuerza Aérea de Estados Unidos a Libia para los bombardeos de 1986; estuvimos en Granada y luego probamos los F-117 en Panamá, pero no hemos estado en guerra. Por lo tanto, el problema se vuelve patético: si los políticos fracasan y también fallan los diplomáticos, enviamos las tropas -pero así y todo no hay guerra. Bueno, si no es una guerra, entonces, ¿qué es?.

Este enigma no es un fenómeno exclusivamente norteamericano. La Guerra Soviética en Afganistán. La Guerra de Chechenia. Las escaramuzas en la frontera ruso-china. Un análisis de la historia del último medio siglo sugeriría "paz", en el sentido de ausencia de una declaración formal de Guerra. Sin embargo, millones de personas han muerto durante la "Paz de nuestro Tiempo".

Entre Daniel Webster y un sinnúmero de diccionarios, "Guerra" ofrece un espectro de alternativas semánticas: conflicto, choque, batalla, contienda, oposición, lucha, ataque, atropello, hostilidades. Estos términos son utilizados a veces como una alternativa de la palabra "Guerra", pero también resultan aplicables a disputas conyugales, competencia empresarial y juegos infantiles.

Me parece lamentable tener que señalar que, mientras hemos convertido a las máquinas de matar y a nuestros soldados y sus armas en maravillas de alta tecnología, no ha pasado lo mismo con la evolución de nuestros conceptos de conflicto ni la incorporación de las sutilezas de la hostilidad en el léxico moderno.

Lo sublime. Con el fin de la Guerra Fría y cuando Estados Unidos parecía reinar como la única superpotencia militar, ciertos sectores reclamaron el Dividendo de la Paz como propio. Obviamente, señalaban, el Pentágono ya no necesitaba su presupuesto inflado. Un comentarista proclamó el "Fin de la Historia". Otros no veían el futuro con cristales rosas sino con capas de silicona transparentes y de un espesor microscópico. Otro tipo de guerra estaba emergiendo.

    -En 1991 este autor se presentó ante el Congreso y testificó que el "Gobierno y los sistemas de computación comercial tienen tan poca protección que pueden ser considerados indefensos, pudiendo producirse un Pearl Harbor electrónico". La Guerra de Información ya no era el hijo exclusivo de sus padres clasificados.

    -Alvin y Heidi Toffler escribieron sobre la "Anti-Guerra", a medida que la civilización alcanzaba la Tercera Ola de una sociedad basada en la información y la forma en que dicha capacidad podría alterar el aspecto de la guerra.

    -"La Primera Guerra de Información" de Al Campen analizaba la naturaleza del conflicto de alta tecnología frente a la "Guerra" del Golfo.

    -El libro no clasificado "Guerra de Información" apareció en 1994 y por primera vez describió la naturaleza del futuro conflicto "sin bombas, balas ni bayonetas". Las compuertas de las capacidades ofensivas ya no estaban obstruídas por censores militares o de inteligencia. Los materiales de fuentes abiertas se transformaron en un problema para algunos sectores.

    -"La Guerra por otros Medios" de John Fialko adoptó los conceptos de la Guerra de Información Clase II establecidos en mi "Guerra de Información" y analizó varios casos en los cuales el espionaje era equiparado con la guerra.

    -Al Campen y Doug Deán introdujeron la "Guerra Cibernética" en 1996, un compendio de conceptos sobre Guerra de Información con otro nombre.

    -"La Guerra de Información, 2° Edición" fue publicada en 1997, y las obras combinadas de cincuenta o más autoridades internacionales sobre Guerra de Información contribuyeron a este libro de referencia.

    -"Guerras cibernéticas: Espionaje sobre Internet" fue publicada por primera vez en Francia y luego en inglés como una forma específica de Guerra Cibernética: una definición que todavía busca aceptación.

    -La última, "Mafias Cibernéticas", otro libro francés, abarca el estilo Clase II de guerra de información desde el punto de vista del crimen organizado.

La taxonomía generalmente aceptada para Guerra de Información es:

    Clase I - Invasiones a la privacidad personal, control de percepción, los medios y áreas relacionadas.

    Clase II - Espionaje económico e industrial.

    Clase III - Pearl Harbors electrónicos, ataques a nivel nacional de infraestructuras críticas y sistemas de apoyo.

Sin embargo, a pesar de todos estos esfuerzos, ninguno de nosotros ha podido definir o redefinir con éxito el término "guerra". Por lo tanto, la Guerra de Información ¿es realmente una guerra?

Semántica alternativa. La expresión "Guerra de Información" representa todavía un anatema para gran parte de la actividad empresaria de Estados Unidos y los observadores que tienen dificultades con las connotaciones de la expresión "conflicto armado". La expresión "Guerra cibernética" tranquiliza a algunos críticos pero la desagradable palabra "Guerra" sigue siendo urticante. La gente del Pentágono, en respuesta desafiante a nuestros propios debates internos, está utilizando la expresión "Operaciones de Información" para explicar lo que hacen - pero todavía no tiene el alcance necesario. La consecuencia es que el Pentágono está en la actividad de la guerra física, y cualquier otra cosa es un elemento periférico de esa directiva principal. Ese concepto es una cuestión de saludable debate cuando nos preguntamos "quién protege al sector privado de los ataques internacionales que no involucran bombas, aviones y submarinos?". Actualmente, nadie ha podido introducir un término que satisfaga a todos los interesados.

Si nos retrotraemos a cincuenta años atrás, al momento del nacimiento de la Fuerza Aérea de Estados Unidos, cuando el Ejército "padre" permitía de mala gana que su "prole" volara por sí misma, podíamos comprender la profundidad del hecho de agregar una nueva dimensión a la guerra.

Además, en los cientos de presentaciones que he realizado sobre "Guerra de Información" durante los últimos ocho años, llego a este debate preguntándole a la audiencia: "¿Podemos convenir que, a pesar de que no coincidamos sobre el término más conveniente, en realidad, todos sabemos de qué estamos hablando?". Dicho consenso es generalmente rápido, por lo tanto mi audiencia y yo podemos llegar a la esencia de los temas y postergar los argumentos semánticos hasta otro momento. Pero ahora hablemos de semántica. ¿Es la Guerra de Información realmente una Guerra?

Yo podría sostener que cuando el objetivo de las acciones es el de diezmar las infraestructuras del adversario (civiles, militares o de apoyo) estamos lo más cerca posible de la guerra. Pero entonces, nunca hemos estado en guerra con Irak: este es un caso de semántica sin resolver. En el trabajo ECI-D que realicé para el ejército, la finalidad de las actividades ofensivas desarrolladas por nosotros era la de conseguir que un adversario actuara dentro de ciertos límites, o de que dejara de actuar de algunas maneras específicas. Guerra en términos clausewitzianos: imponer la propia voluntad sobre el adversario.

¿Guerra cibernética? ¿Es una guerra? Probablemente no muy distinta de la Guerra de Información ya descripta, pero menos "ofensiva".

Las Operaciones de Información no aportan mucho. Las InfoOps representan el apoyo al ejército en una operación independientemente de sus objetivos o intenciones. Algunos analistas incluyen en esta categoría el uso ofensivo de los sistemas de información, pero el sentido semántico de su naturaleza ofensiva o defensiva reduce cualquier rasgo de voluntad nacional. "No nos persigan o recurriremos a las Operaciones de Información". No lo creo así.

Muchos de nosotros hemos sostenido con éxito que la economía es un bien de seguridad nacional que debe ser defendido. Pero, ¿de qué manera?. ¿Nos defendemos de los "ataques cibernéticos" con los bancos de Estados Unidos o la infraestructura?. En estos casos, ¿significa una buena defensa que también tengamos una buena ofensiva? ¿Qué condiciones deben cumplirse antes?

Ese debate no será resuelto ahora y aquí, pero el tema pone de manifiesto la necesidad de comprender cómo debemos defendernos, a través de qué medios y hasta dónde estamos preparados para avanzar. En los cientos de presentaciones hechas en todo el mundo ante grupos militares y políticos, organizaciones de inteligencia y dirigentes financieros y empresarios, les he brindado la oportunidad de decidir -hipotéticamente- cómo reaccionarían ante determinados escenarios. La consternación fue desde el grado de la diversión hasta la perturbación, dado que muy pocas personas habían pensado en estos problemas.

Ahora, tengamos en cuenta que nuestros adversarios son completamente diferentes de lo que eran hasta hace algunos años. La lista es mucho más larga, y la naturaleza de la relación entre adversarios no está tan claramente definida como en los términos de "Paz" y "Guerra" de Webster. "Los buenos viejos tiempos" de la Guerra Fría también eran más simples porque no había que codificar y monitorear los innumerables adversarios mundiales.

*Competencia Económica Nacional Privada por Normas de EE.UU.
*Competencia Económica Internacional Privada por Normas de EE.UU.
*Competencia Económica Internacional Nación-Estado por normas que no sean las de EE.UU.
*Competencia Económica Internacional de la ONG por Normas de EE.UU.
*Competencia Económica Internacional de las ONF o Nación-Estado por otras normas que no sean las de EE.UU.
*Agresión Económica Internacional Nación-Estado.
*Agresión Económica Internacional ONG por otras normas que no sean las de EE.UU.
*Sanciones Económicas Internacionales por Normas de EE.UU.
*Sanciones Económicas Internacionales por normas que no sean las de EE.UU.
*Hackers nacionales - Ejército Nacional
*Hackers internacionales - Ejército de EE.UU.
*Hackers nacionales - Empresas de EE.UU.
*Hackers internacionales - Empresas de EE.UU.
*Hackers nacionales - Infraestructura nacional
*Hackers internacionales - Infraestructura nacional
*Ganancias: Delitos nacionales - Delincuentes nacionales
*Ganancias: Delitos nacionales - Delincuentes internacionales
*Ganancias: Delito internacional - Delincuentes nacionales
*Ganancias: Delito internacional - Delincuentes internacionales
*Orientado a las Ganancias: delincuentes de EE.UU. Perjuicios
*Orientado a las Ganancias: delincuentes internacionales. Perjuicios.
*Terrorismo - Daños psicológicos.
*Nación-Estado: sin perjuicios
*Nación-Estado: con perjuicios
*Denegación de Servicio: electrónico con perjuicios
*Nación Estado - Ataque al Ejército
*Nación Estado - Ataque a la infraestructura
*Estado no-nación - Ataque al Ejército (NGS)
*Estado no-nación - Ataque a la infraestructura (NGS)
*Empresas nacionales - Ejército Nacional
*Empresas internacionales - Ejército Nacional
*Empresas nacionales - Comercio nacional
*Empresas internacionales - Comercio nacional
*Empresas nacionales - Infraestructura nacional
*Empresas internacionales - Infraestructura nacional

Los gobiernos seguramente querrán completar esta lista con nombres más específicos. Las organizaciones privadas interesadas también tendrán sus propias listas de adversarios, desde la competencia nacional hasta las Naciones-Estados aliadas con respecto a los secretos de seguridad nacional.

El espectro de opciones y escenarios disponibles para determinadas vulnerabilidades y amenazas está mejor representado por un ambiente tranquilo, con una infinidad de sutilezas. En la práctica, sin embargo, debemos dimensionar la amenaza. El Gráfico 1 es un ejemplo de la forma de definir los grados de interacción entre las organizaciones que enfrentamos actualmente y las que enfrentaremos en los próximos años.

A la izquierda, se crea una serie de posibles interacciones, desde el mejor caso (o ausencia de caso) al peor, como se sugiere más arriba. Luego, en la parte superior, se elige un conjunto representativo de los posibles efectos cuantificables de dicha interacción. Esto no es "adversario-específico", pero al tomar las listas de los potenciales competidores o adversarios, puede crearse un gráfico de opciones para cada uno.

                    Gráfico de Opciones

Intensidad/Objetivo. Estos gráficos pueden ser completados en diversas formas y se recuerda la "Escala de uno a diez". No obstante, cuando hablamos sobre elasticidad organizativa y vulnerabilidades nacionales, parece conveniente aplicar un sistema más específico.

Con ese objetivo en mente, sugiero que las grandes organizaciones y empresas, infraestructuras, entidades gubernamentales y Estados Unidos en su totalidad, establezcan un medio común de medir la amenaza a través del cual desarrollar la política aplicable.

Tomando en consideración el conocido sistema de defensa de Estados Unidos que hemos utilizado durante décadas -DefCon-1 a DefCon-5-, propongo establecer un sistema paralelo para representar la "Ciber-Salud" y la "postura de defensa virtual" de las empresas y naciones por igual.

Con una serie de estados-de-preparación, denominados tal vez:

        CyCon-I
        CICLO
        Cycon-III
        Cycon-IV
        Cycon-V

integramos la detección y preparación de respuesta del comercio de Estados Unidos y del país en su totalidad. El siguiente gráfico es sólo un ejemplo sugerido de los tipos de condiciones que podríamos esperar ver con el fin de representar la Ciber-Salud de las empresas y del país.

CyCon-I representa el nivel más bajo de actividad ofensiva detectada, y el CyCon-V representa las terribles consecuencias para la víctima. Adviértase que la escala está en un nivel intermedio entre lo social/organizativo y lo nacional. Si bien una empresa u organización particular podría estar incluída en CICLO o Cycon-IV, el efecto es menor con respecto al nivel CyCon Nacional. Independientemente de lo difícil que pueda ser para una empresa o sus clientes, por ejemplo, se produciría un efecto insignificante a nivel nacional. Por lo tanto, las escalas propuestas del CyCon Nacional requieren más ataques organizados. Adviértase que con el uso de la clasificación CyCon, no hay necesidad de recurrir al término Guerra.

Lo que sugiere el modelo CyCon es un enfoque más coordinado de la preparación organizativa y nacional. Gran parte del trabajo realizado por este autor se refiere a la TBS (Seguridad Basada en el Tiempo) como alternativa del modelo de seguridad computarizada militar convencional de la Mentalidad Fuerte; refuerza la necesidad de sensores amplios o mecanismos de detección a través de la empresa, independientemente de su naturaleza.

Los sensores deben ser capaces de entender la naturaleza de los ataques y las anomalías de conducta a través de la existencia virtual de las redes e infraestructuras, e informar a un repositorio centralizado y estación de respuesta. Esto es logrado a nivel de la red de la empresa por diferentes productos populares. No obstante, es utilizado en un pequeño porcentaje de las organizaciones que realmente podrían beneficiarse con su uso.

Lo que hace falta, además, es el medio para crear un repositorio de información nacional centralizada, donde el nivel CyCon nacional pueda ser medido sobre una base de tiempo real como en el gráfico de la página 61.

Con un sistema de monitoreo de tiempo-real y los adecuados canales de información hacia una instalación centralizada (privada o pública), los amplios niveles de CyCon pueden ser establecidos después de haber completado los Gráficos de Opciones ya discutidos. Con la apropiada evaluación de tiempo, intensidad, valor y otras consideraciones, una empresa o un país puede rápidamente considerar la actividad en la misma forma en que hoy empleamos las herramientas de control de redes para ajustar el rendimiento de una red.

En aplicaciones más sofisticadas, la heurística entrará en acción. Los sistemas serán más adaptables a sí mismos. Las respuestas remotas automáticas también serán controladas; y los picos momentáneos de los altos niveles CyCon serán rápida y automáticamente manejados. Por lo tanto, si se produce un severo ataque contra una importante empresa nacional, siempre que sus propios sistemas de Detección/Reacción funcionen, los informes que transmita al repositorio CyCon nacional raramente registren una cresta.

Por lo tanto, en el gráfico de la página 61, vemos un mes completo de actividad hipotética. Con un alerta menor CICLO en el día 8 del mes, todo parece normal hasta que el 13, 14 y 15 reflejan una serie extraordinaria de ataques, desatando una condición CyCon-4. Aparentemente, los ataques fueron resueltos rápidamente, dado que el estado de los asuntos volvió inmediatamente a nominal, sin utilizar el término Guerra. El resto del mes no transcurrió sin incidentes: el día 23, una serie de hechos elevó el nivel CyCon; y en los días 28 y 29, una serie similar -aunque no grave- de ataques causó un pico muy importante.

La forma en que una organización o nación responde a las condiciones de alerta CyCon es independiente de este sistema propuesto, pero efectivamente un mecanismo de información que refleja el proceso de detección y reacción es una defensa más importante. Robert Aires y yo hemos desarrollado un sistema que cuantifica matemáticamente la seguridad para las empresas y la infraestructura. El Modelo TBS está basado en el concepto de que una defensa fuerte está basada en la capacidad de detectar ataques en proceso (no después de producidos) y de reaccionar oportunamente ante dichos ataques.

Consideremos la aplicación convencional de las leyes. Supongamos que Ud. está en la ciudad de Nueva York y sufre un asalto. En la estación de policía, Ud. le indica al sargento que el asaltante lo lastimó con un cuchillo, le robó el reloj, dos tarjetas de crédito y $200. ¿Qué dirá el policía? "Tuvo suerte de salvar su vida. Ahora váyase de aquí".

La aplicación convencional de las leyes está basada en la premisa de esperar que se produzca el delito y después elegir los delitos que pueden ser resueltos, y mandar al diablo a los demás. Esta situación es la misma que la producida con los "ciber-delitos". La aplicación de las leyes no puede dar respuesta a todos los ciber-delitos o agresiones cometidas contra una empresa -o incluso contra el Pentágono. Con una mentalidad tan "física" y limitada, la aplicación de las leyes le dice esencialmente al hacker y al potencial delincuente: "Siga adelante. Si su delito no alcanza el límite artificial de $50.000 (por ejemplo, en el caso de una organización de aplicación de las leyes), no tenemos el tiempo, los recursos ni el dinero para perseguirlo". Mis clientes y yo hemos experimentado la intensa frustración de que la actitud de los adolescentes supere la aplicación de las leyes.

Actualmente, a nivel nacional, intensifiquemos los ataques y analicemos qué sucede si se produce una serie de ataques graves, y tal vez se desencadene un CyCon-III o un alerta más importante. La primera cuestión es: ¿Quién está a cargo? ¿Es el FBI como sugiere la reciente propuesta del Procurador General, con una ayuda mínima del Departamento de Defensa?. Tal vez sea adecuado para gran parte del ciber-delito nacional y aún para el ciber-terrorismo de umbral bajo.

No obstante, ¿qué sucede cuando los ataques de la infraestructura intensificada provienen del exterior?. El FBI ha tenido algunas exitosas respuestas coordinadas con los rusos, italianos y argentinos en casos muy conocidos; pero estas respuestas repetían aquel débil "laisse-faire-ism": "Hagan su mejor intento, y nosotros trataremos de seguirlos".

En el ciber-mundo, una defensa enérgica significa cada vez más una ofensiva enérgica. Es decir, si aquéllos encargados de defender nuestro infraestructura y bienestar económicos se limitan a capturar delincuentes, ¿dónde entra en juego la política de disuasión? Hemos construído una formidable y confiable capacidad de respuesta en el armamento convencional y estratégico.

Por lo tanto, en el ciber-mundo, ¿dónde está nuestra política creíble de disuasión? Suponiendo que el sistema de alerta CyCon o algo parecido entre en acción, ¿nos limitaremos a adoptarlo o vamos a desarrollar una Política de Información Nacional basada en la fuerza? Evidentemente, no tenemos todas las respuestas. A menos que se cree un sistema de disuasión, todos los sistemas de alerta CyCon y Centros de Protección de Información Nacional y las buenas intenciones del FBI, la CIA y las comunidades de Defensa e Inteligencia no valdrán de nada.

Supongamos que nos encontramos en el CyCon-III por alguna razón. Nosotros no necesitamos recurrir o responder inmediatamente con Guerra de Información o Guerra Cibernética u Operaciones de Información, independientemente de quién dirija la entidad de Estados Unidos. Podemos optar por iniciar una "Respuesta CyCon-III" que incluya una serie de maniobras ofensivas y defensivas, suponiendo que tenemos una política de disuasión. De cualquier forma, no necesitamos recurrir a la guerra ni comenzar a debatir si estamos en guerra porque ya no interesa.

Podríamos encontrarnos en una condición CICLO con una organización no gubernamental que esté físicamente ubicada dentro de los límites de una nación-estado amiga. No estamos en guerra; sin embargo, estamos en un mayor estado defensivo y, tal vez, ofensivo, según lo define la política y el Gráfico de Opciones. Los temas principales son: ¿Quién responde y cuál es la respuesta?. La disuasión es la respuesta a la última pregunta. Aún no hemos determinado el "quién". Por otra parte, el sistema de alerta CyCon nos da una forma de acertijo lingüístico con respecto al término Guerra.

Alternativamente, supongamos que existe la condición CyCon-IV
con una pequeña nación-estado, y su actividad está acercándose al CyCon-V. La política debería dictar nuestra respuesta, sin que deba declarar la guerra.

Mientras nosotros en el "coro de la guerra de información" comprendemos el uso de la fuerza virtual en el sentido ofensivo, deberíamos participar de las opciones que sean política y diplomáticamente agradables a los formuladores de políticas.

El uso de los niveles CyCon para aludir a la postura defensiva y la participación en el mundo virtual con adversarios intangibles representa una forma razonable de evitar la temida palabra Guerra. Sin embargo, aún consigue nuestros objetivos.