proteccion

PROTECCION DE ESTADOS UNIDOS EN EL ESPACIO CIBERNETICO

Martin C. Libicki

    En condiciones normales, la caída de una sociedad inmobiliaria mediana en California hubiera generado pocas noticias -hasta que se revelaron los motivos de su fracaso: había sido saqueada por piratas informáticos, supuestamente de China. Debido a que sus fundadores eran élites de países que disputaban algunas islas a China, el ataque fue representado como un golpe doble: contra estos países y contra Estados Unidos, un aviso de que su territorio ya no era un santuario. En cuestión de horas, distintas instituciones financieras vecinas, propietarias de proveedores de servicios telefónicos locales alternativos, encontraron que sus servicios telefónicos (y sus datos) estaban interrumpidos. Los expertos de seguridad informática, llamados al rescate, informaron que las redes de datos de sus universidades habían sido invadidas. Un nodo de FAA en Fresno misteriosamente salió de línea durante varias horas en las horas pico de la mañana. A esto siguió una repentina revaluación de la integridad de los sistemas en toda la Costa Oeste. Una empresa de chips para computación descubrió bichos ocultos en un producto fundamental. El Comando Estadounidense del Pacífico encontró anomalías en sus datos de Despliegue de Fuerzas por Etapas de Tiempo. Siete de los comodoros del Comando, que sospechaban extorsión, decidieron verificar sus archivos de crédito; tres tenían errores sospechosos.

    El pánico reverberó. En el Congreso muchos se pusieron de pié para exigir una respuesta política a lo que consideraban un ataque "Pearl Harbor Digital" por parte de los Chinos. El gobierno se vio obligado a pedir a China que demostrara su inocencia en estos ataques, un pedido que fue rechazado con indignación. Los pequeños inversores inundaron el mercado de valores y el Dow cayó cientos de puntos. Las ventas de colchones aumentaron vertiginosamente.

    Con cada semana que pasa, Estados Unidos parece ser más vulnerable a los ataques a su punto débil -su Infraestructura Nacional de Información (NII). A medida que su vulnerabilidad al ataque se confunde por metamorfosis en metáforas militares, la lógica de la defensa nacional hace su contribución. La protección de la nación exige que alguien esté a cargo. Por reconfortante que sea esta lógica, esa asignación de tarea sería un error. Si este tema se encara con seriedad, sus partidarios enfrentarían y deberían enfrentar una oposición que los haría extrañar las discusiones felices sobre el chip Clipper.

    El problema no es que la seguridad informática no sea importante. Por el contrario. Es obligatorio que el Ministerio de Defensa asuma que cada vez que realice actos controvertidos sus sistemas serán los blancos de piratas informáticos con malas intenciones. Los operadores de los sistemas comerciales deben ser los responsables por los daños provocados a otros, cuando sus sistemas estuvieron involucrados. Aquellos que introducen aplicaciones nuevas necesitan considerar su potencial de uso con fines malignos. Sin embargo, ninguno de éstos respalda la idea de que la tarea cotidiana de la seguridad de sistemas contra el enemigo externo se puede asignar a un Comandante en Jefe y de este modo se puede colocar firmemente en camino hacia una solución. Hacer esto revela una incomprensión absoluta tanto de las computadoras como de la seguridad nacional. Esto sugiere que el problema (en las palabras utilizadas para describir el Imperio Austro-Húngaro de fin de siglo) "es desesperante pero no es grave".

    La mayor parte de la NII es privada, y ya existen herramientas para la seguridad computarizada (incluso contra ataques determinados). Por lo tanto, el argumento contra un CINC NII es que la autodefensa ofrece de lejos la mejor seguridad y, paradójicamente, está viciada cuando la seguridad de información se considera un problema de defensa nacional.

La NII y la Seguridad Nacional

    ¿Por qué las personas se preocupan por ataques contra la infraestructura nacional de información?
    En primer lugar, la economía estadounidense cada vez depende más de los sistemas de información; los sistemas analógicos se están digitalizando; los mismos sistemas digitalizados están reemplazando a los humanos (por ejemplo, cajeros automáticos, sistemas de correo de voz). Las pantallas de video -los portales al aspecto de entretenimiento informático de la NII- pueden llegar a dominar también las horas no comerciales de Estados Unidos.

    En segundo lugar, los sistemas de información se conectan por vía telefónica y de correo electrónico. La interconexión ahorra horas de trabajo, promueve la cooperación en el lugar de trabajo, y permite la administración a distancia (por ejemplo, sistemas de control de supervisión y de adquisición de datos [SCADA]) pero también permiten que la destrucción se filtre desde el exterior, o incluso desde el extranjero. Cuando los sistemas se pueden infectar entre sí, es más difícil contener la mala intención.

    En tercer lugar, cada vez se transfiere más trabajo desde 0macrocomputadoras a minicomputadoras. Ambas arquitecturas, diseñadas para transportar las joyas de una empresa, convierten a los usuarios en ciudadanos de segunda clase, limitan su acceso a los programas, y toman en serio a la seguridad. Las PC fueron diseñadas para que todo sea accesible; las estaciones de trabajo UNIX fueron diseñadas para compartir información. Estas últimas son mucho más vulnerables.

    En cuarto lugar, muchas propuestas de innovaciones de sistemas implican nuevos riesgos de seguridad. Algunos browsers Web y macros de planillas de cálculo permiten que los imprudentes descarguen virus en sus sistemas. Los objetos distribuidos en las redes y los agentes de programas pueden introducir problemas similares. Si los sistemas se reconfiguran en base al aprendizaje -una respuesta probada y demostrada ante sospechas de corrupción-, comenzar de cero con medios originales puede no funcionar tan bien.

    Estos cuatro factores, especialmente cuando están combinados, sugieren que el desafío a la seguridad informática importará mucho más para el bienestar estadounidense en el futuro que en la actualidad.

    Sin embargo, ¿esto convierte a la protección de la NII en un tema de seguridad nacional? Si, en cierto modo. En primer lugar, cuanto más dependa un país de la integridad de su infraestructura de información, más riesgos tendrá de sufrir ataques a la misma. La amenaza de la guerra de información -trastornos masivos para algunos- puede reemplazar la amenaza de destrucción masiva de la guerra nuclear. Otros consideran a la piratería informática como la manera en que un competidor asimétrico puede mantener a Estados Unidos fuera de su propio campo (y de esta manera obstaculizar nuestra ventaja en la guerra convencional). En segundo lugar, la guerra de información son documentos terroristas menos sangrientos, pero potencialmente más efectivos. Así como Estados Unidos es poroso hacia su pueblo, es mucho más poroso ante corrientes de datos en mal estado. Una conexión telefónica o de correo electrónico es suficiente para acceder a gran variedad de computadoras, saltando con ligereza de un nodo a otro, hasta que se encuentra una vulnerabilidad importante. En el espacio cibernético, el riesgo de detección es bajo; el riesgo de captura y castigo es incluso menor. En tercer lugar, el Ministerio de Defensa depende cada vez más de la NII (el 95 por ciento de sus comunicaciones salen de sus propios sistemas en algún momento) a medida que sus activos son repatriados y las existencias se convierten en la norma. De este modo, dejar esta infraestructura desprotegida puede socavar los modos convencionales de defensa nacional.

    La guerra de información se ha convertido en el continente oscuro de las amenazas. Es más lo que se ignora que lo que se conoce. Esto debería justificar una perspectiva en vez del pánico. Como tal, este ensayo destaca distintos puntos:

    -La mayoría de las amenazas son comunes (y por lo tanto están autocontenidas).
    -En la guerra de información, como en cualquier otro lado, existe una compensación entre riesgo y efecto.
    -En teoría, las defensas son manejables si se toman en serio.      Los beneficios de atacar la infraestructura de información de una nación no son claros.
    -Los propietarios de sistemas se deben proteger a sí mismos; si caen, el gobierno no puede reemplazarlos.

    A continuación siguen algunos requisitos y prohibiciones que debe tener la política del Gobierno.

Amenazas Comunes y Extraordinarias

    El abuso de los sistemas se produce de distintas formas. Algunos son comunes; dependen de motivaciones que generalmente se presentan (por ejemplo, avidez, aburrimiento). Algunos son extraordinarios e imprevisibles. En general se puede esperar que los propietarios de sistemas se protejan contra las amenazas cotidianas cuyas probabilidades y patrones futuros se pueden deducir de su pasado. Más preocupantes son las amenazas cuyo efecto es extraordinario debido a que surgen de acciones concertadas de una única fuente de mala intención.
    Los abusos deliberados de sistemas, muchos de los cuales
podrían ser ataques de piratas informáticos, se producen
aproximadamente de seis maneras:

    -robo de servicio (por ejemplo, fraude de llamadas de
teléfono celular),
    -adquisición de datos objetivos (por ejemplo, resultados de
investigaciones),
    -adquisición o modificación de datos subjetivos (por ejemplo,
antecedentes crediticios de una persona),
    -robo de activos (por ejemplo, desfalco),
    -corrupción de datos almacenados o en movimiento (por
ejemplo, sabotaje), e
    -interrupción del servicio de información (por ejemplo,
telefonía) o de servicios anexos (por ejemplo, distribución
de electricidad).

    La interrupción de servicios de información se puede realizar, no sólo porque sí, sino también para fines secundarios; entre los ejemplos se pueden incluir, corromper datos médicos para perjudicar a individuos, buscar control con fines de chantaje.

    Algunos ataques no son más que versiones de tecnología avanzada de salir a pasear en un automóvil sin permiso de su dueño, con pocas consecuencias permanentes. Otros son mucho más graves. Por ejemplo, debido a que la avaricia es eterna, el motivo para irrumpir en un banco y robarlo siempre está presente, ya sea que Estados Unidos esté bajo ataque o no. Lo mismo sucede en el caso de robo de servicios. Las amenazas contra individuos ("La Red"), aunque son una herramienta potencial de la guerra de guerrilla, posiblemente estén motivadas por enojos e inquinas privadas. Un cuarto caso, el robo de datos objetivos, es la versión de tecnología avanzada de la protección de información confidencial -algo que el Ministerio de Defensa considera seriamente día a día.

    Las últimas dos, corrupción e interrupción, caracterizan mejor la naturaleza inesperada y malévola de la guerra de la información. Debido a que el perpetrador gana muy poco para sí mismo, su perpetración requiere un objetivo externo y, en su mayor parte, una estrategia concertada y tiempo para realizarla.
    Los sistemas que enfrentan un patrón de amenaza conocido (y que soporta todo o la mayor parte del costo de un ataque) pueden determinar un nivel óptimo de protección. No existen motivos para creer que proporcionan menos protección contra ataques que contra otras amenazas a su bienestar (por ejemplo, raterías en tiendas, desfalcos, juicios contra clientes). La verdadera preocupación es una amenaza que no existe en el ambiente del entorno -y por lo tanto una para la que existe menos protección natural.

Compensación entre riesgo y efecto

    Los sistemas pueden ser atacados de tres maneras: (1) por medio de equipos o de programas de sistema corruptos; (2) utilizando a alguien dentro de la organización; (3) por medio de piratería informática - además de la combinación de los mismos (por ejemplo, que alguien de adentro revele vuinerabilidades y facilite la piratería). Los ataques físicos (por ejemplo, perturbaciones, microondas, shot and shell) también son posibles, pero en general sólo son útiles para negar el servicio; con frecuencia requieren la presencia en el lugar, y por lo tanto implican un riesgo mucho mayor. Por estos motivos, no son el tema de este ensayo.

    La primera, equipos o programas corruptos, se puede resumir en el mito del empleado falso de una empresa de microprocesadores estadounidense que falsifica cada chip de una PC, que entonces funcionan mal simultáneamente, justo cuando más se necesitan. ¿Cómo garantizar la simultaneidad cuando nunca se explica el descubrimiento prematuro? Una amenaza ligeramente más posible es un bicho implantado en un sistema específico (por ejemplo, una computadora jet que es incapacitada por una señal desde el terreno, un parche no autorizado en programas del sistema).

    El segundo método, la connivencia o complicidad de alguien con los privilegios correctos es más probable. En esta era de la racionalización, hay abundancia de empleados y ex empleados descontentos. Sin embargo, no todas las manzanas podridas perjudicarán a la sociedad. Durante la Guerra del Golfo, se dejaron planes de guerra sensibles en un automóvil y alguien los robó; fueron devueltos inmediatamente con un comentario de que el perpetrador, en tanto que era un ladrón, de ninguna manera era un traidor.
    La explotación de la corrupción, tanto dentro del sistema como entre usuarios de confianza, tiene ventajas evidentes, especialmente cuando se utilizan contra sistemas que no están bien asegurados. Sin embargo, el riesgo de ser atrapado es mucho mayor, debido a que la cadena de responsabilidad es más directa (y la cantidad de sospechosos en cualquiera de los casos es mucho menor que los muchos millones de personas con acceso telefónico). Reclutar dichos individuos desde afuera implica riesgos similares parecidos a los del reclutamiento para inteligencia; indican un sistema que está siendo controlado en caso de ataque. El hecho que no haya surgido ninguna conspiración a la luz sugiere que hasta la fecha la cantidad de intentos ha sido pequeña. Cuanto mayor es el riesgo, más posibilidades hay de que pueda penetrar una gran cantidad de sistemas sin ser detectado; utilizar a personas de adentro es un camino mejor para el ataque oportunista o intermitente, que para el ataque sistemático.

    Esto deja las puertas abiertas para el pirata informático. La mayoría de los sistemas tienden a dividir el mundo en por lo menos tres partes: personas externas, usuarios, y superusuarios. Una rata de ataque popular para las computadoras conectadas por Internet consiste en (1) utilizar un ataque de contraseña de manera tal que la persona externa es un usuario, y (2) utilizar debilidades conocidas de los programas UNIX para que los usuarios puedan acceder a privilegios de superusuario. Una vez que ya es un superusuario, el pirata informático puede leer o modificar archivos de otros usuarios o incluso el sistema mismo; controlar el sistema atacado; facilitar su nueva entrada al sistema (incluso después de que se apliquen medidas de seguridad más estrictas); e insertar códigos rebeldes (por ejemplo: un virus, una bomba lógica, un virus Troyano, etc.) para su posterior explotación.

    La cantidad de daño que puede hacer un pirata informático sin ser un superusuario depende de la manera en que los sistemas asignan privilegios. Un simple usuario telefónico puede hacer muy poco al sistema. Las redes de computación tienden a ser más vulnerables ante los abusadores, especialmente cuando se otorgan determinados privilegios sin medirlos. De hecho, cualquier sistema con suficientes usuarios está destinado a tener unos pocos que pueden abusar de recursos, robar datos, o arruinar los trabajos. En tanto que los mecanismos para mantener a los usuarios fuera del sistema son importantes, desde un punto de vista de seguridad, limitar lo que pueden hacer los usuarios autorizados tiene más importancia aún.

    Un método variable de ataque -sólo aplicable a las redes de comunicación abiertas al público- consiste en inundar el sistema con comunicaciones o pedidos de servicio improcedentes. Dicho ataque es especialmente útil en un sistema donde el servicio es gratuito o donde se puede evadir la responsabilidad. La debilidad de dicho ataque es que requiere fuentes múltiples separadas (para minimizar el descubrimiento) y que su efecto sólo dura mientras siguen entrando llamadas. Debido a que en Estados Unidos los canales de comunicaciones tienden a estar mucho más congestionados que los que salen al exterior, los sitios del extranjero constituyen un mal punto desde donde iniciar un ataque de inundación.

Sistemas que se pueden proteger

    Aunque muchos sistemas de computación se ejecutan sin tener demasiado en cuenta la seguridad, de todos modos se pueden hacer seguros. La teoría fundamental es que la protección es un punto que se debe resolver en una cuadrícula bidimensional. Una dimensión es el grado de acceso: de completamente cerrado a completamente abierto. Es innecesario agregar, que un sistema que mantiene a todos los chicos malos afuera hace que resulte difícil o imposible que los chicos buenos hagan su tarea. Por lo tanto, la segunda dimensión son los recursos (dinero, tiempo, atención) contra la sofisticación. Un sistema sofisticado mantiene afuera a los chicos malos sin mantener también afuera a tantos chicos buenos, y viceversa.

    Para comenzar con el método evidente, no se puede irrumpir en un sistema de computación que no recibe ningún tipo de información desde el mundo exterior (y no se puede simplemente rociar un virus en el aire con la esperanza de que una computadora se contaminará). Si el programa original es de confianza (y la Agencia de Seguridad Nacional [NSA] ha desarrollado pruebas de múltiples niveles de confiabilidad), el sistema es seguro (dejando de lado la eficiencia). Por supuesto, dicho sistema cerrado tiene un valor limitado. El desafío consiste en permitir que los sistemas acepten información desde afuera sin que al mismo tiempo permitan que los programas operativos centrales se vean comprometidos. Una manera de impedir este compromiso consiste en manejar toda la información que entra como datos para analizar -un procedimiento en el cual la computadora decide qué hacer mediante el análisis de lo que dice el mensaje- en vez de como un código de ejecución directa. Entonces, la seguridad consiste en garantizar que ninguna combinación de respuestas de la computadora a los mensajes pueda afectar un programa operativo central, de manera directa o indirecta (prácticamente todos los datos generados de manera aleatoria tienden a resultar en mensajes de error cuando son analizados).

    Lamentablemente, los sistemas tienden a aceptar los cambios de los sistemas operativos centrales, constantemente. En ausencia de filtros más sofisticados, puede ser necesario contar con una estrecha cortina de seguridad alrededor de los pocos superusuarios a los que se les permite realizar cambios (quizás tengan que trabajar desde terminales específicamente conectadas a la red -una opción en el sistema operativo VAX Digital).

    Las técnicas de cifrado y especialmente las signaturas digitales brindan otras herramientas. El cifrado se utiliza para evitar el acceso a archivos y para permitir que se envíen contraseñas por canales poco seguros. Las signaturas digitales permiten la creación de enlaces sólidos entre mensaje y mensajero. Una signatura digital se utiliza para crear un mensaje embrollado en una clave privada para la cual sólo existe una clave pública. Si la clave pública de un usuario puede revelar el embrollo y el embrollo es compatible con el mensaje, el mensaje se puede considerar designado e impoluto. De este modo, los sistemas de computación pueden rechazar mensajes sin signatura (y se puede rastrear con más facilidad a las personas rebeldes dentro de la organización). La clave privada nunca tiene que ver la red (donde se la podría detectar) o ser almacenada en el sistema (donde la persona no confiable la podría revelar). Se han explorado las signaturas digitales para la generación de direcciones Internet, y para browsers Web seguros. No sólo los usuarios, sino también las máquinas y quizás los procedimientos individuales, utilizarán las signaturas digitales. (Lamentablemente, una signatura digital segura necesita tener una extensión de 512 a 1024 bits, y por lo tanto es más difícil de memorizar; el uso por parte de humanos puede necesitar esquemas codificados de equipos junto con números de identificación personal a fin que al robar el equipo no se revele toda la clave).

    La mayoría de los problemas de seguridad de sistemas se pueden dividir en descuidos de los usuarios, descuidos de los sistemas, y equipos malos. Entre los descuidos de los usuarios se incluyen contraseñas mal elegidas, o contraseñas que se dejan en lugares públicos. Del mismo modo, entre los descuidos de los sistemas se incluye un régimen de seguridad que permite que los usuarios elijan sus propias contraseñas (o que por lo menos no rechaza las evidentes), que no suprime contraseñas o puertas falsas defectuosas, que no instala parches de seguridad, o que permite a los usuarios acceso suficiente a los recursos totales del sistema para leer o escribir archivos a los que no deberían tener acceso (en especial, cuando estos archivos controlan procedimientos importantes). En los equipos malos se incluyen bichos que superan los controles de seguridad, o que permiten que usuarios errantes hagan fallar el sistema o, en general, cualquier cosa que torne a la seguridad innecesariamente difícil o discrecional.

    El jefe del Equipo de Respuesta ante Emergencias Informáticas (Computer Emergency Response Team - CERT) una vez calculó que más del 90 por ciento de todas las irrupciones declaradas fueron posibles porque los piratas informáticos pudieron explotar debilidades conocidas pero no corregidas de los sistemas (por ejemplo, el método que utilizaron los piratas para ingresar a la computadoras de Rome Laboratory en 1994 y a las computadoras de Los Alamos en 1996 fue un bicho suelto en el programa de envío de correo de UNIX que se utilizó para el famoso incidente Internet Worm en 1988). El resto entraba en la categoría de nadie-sabía-qué-hacer, pero la mayoría de estos era comprendida como teóricamente posible, aunque el método exacto utilizado no lo fuera.

    Debido a que la mayoría de los sistemas operativos de PC y de estación de trabajo suponen un mundo benigno, es difícil volver a escribirlos para asegurarlos contra los piratas más expertos; cuanto más complejas son las disposiciones del software y de la seguridad mayores son las posibilidades en general. En cuestión de seguridad, lo primitivo a menudo es superior a lo sofisticado; hay que probar menos configuraciones. No todos los sistemas pueden ser violados con un ataque suficientemente grande; la calidad del sistema de seguridad es lo que cuenta.

    Sin embargo, contra el terrorismo, el mercado NASDAQ virtual se puede asegurar con mayor confianza que el piso de acciones NYSE real -aunque nada más sea porque la tecnología permite que el dueño de un sistema controle todos los puntos de acceso y examine de manera detallada todo lo que ingresa. En el mundo físico, en las vías públicas, no se puede controlar con tanta facilidad, el movimiento de artículos no se puede controlar con tanta precisión, y la cercanía y la fuerza son muy importantes.

Vulnerabilidad de la NII

    ¿Cuán vulnerable es la NB? Lamentablemente, nadie lo sabe. Los incidentes públicos de irrupciones telefónicas, piratas de Internet, y robos bancarios pueden ser la punta del iceberg o no. La sabiduría popular es que a las víctimas no les gusta hablar sobre cómo fueron atrapadas, pero la decisión de Citibank de enjuiciar (antes que pasar por alto) a los perpetradores de un delito informático bastante grave (U$S 400.000 transferidos y otros U$S 10.000.000 listos para transferir) sugiere un cambio en la percepción y en las perspectivas sobre declaración de delitos.

    ¿Cuánto cuesta el delito en computación? El cálculo exacto del FBI es entre U$S 500 millones y U$S 5 billones; en la misma liga que el fraude con teléfonos celulares (aproximadamente U$S 1 billón) y el fraude de conferencias interurbanas desde centrales privadas. Muchos de estos cálculos se deben comprender cuidadosamente. Por ejemplo, la mayoría de los desfalcos en la actualidad son delitos informáticos debido a que allí es donde se llevan los registros financieros; pero los desfalcos evidentemente son anteriores a la computación. El costo de una llamada robada es mucho menor que su precio, porque de otro modo posiblemente la llamada no se hubiera realizado. La mayoría de los sistemas telefónicos tienen capacidad excedente; y el precio de una llamada telefónica incluye servicios, tales como facturación, que los delincuentes no necesitan. Para una empresa, el costo de que sus competidores examinen su información de Investigación y Desarrollo en general es mucho menor que el costo de producirla en primer lugar. La mayor parte de la información de Investigación y Desarrollo es específica de los propios productos y procesos de la empresa y de otro modo es improcedente; gran parte de su valor consiste en conocimiento implícito y en lo que enseña a los investigadores; y de todos modos, gran parte del resto de la información se publica.

    El CERT recibió más de 2000 informes en 1994 (un aumento acorde al crecimiento total de Internet - pero en la actualidad el CERT es sólo uno de más de veinte centros incidentes, aunque es el que todos conocen). La Agencia de Sistemas de Información para Defensa utilizó herramientas de distribución pública para atacar sistemas de defensa no confidenciales. Funcionó ocho veces de un total de nueve. Sólo una víctima en veinte supo que había sido atacada; y sólo una en veinte de "éstas" lo denunció como debía. Si esta proporción de 400:1 es indicativa -y las pruebas de la Armada también reflejan esto- entonces 2000 informes representan un millón de irrupciones en Internet, incluso cuando muy pocas provoquen daños reales.

    Dicho esto, Internet, excepto en pocas y lamentables excepciones (por ejemplo, la logística militar), no es utilizada para tareas fundamentales para objetivos en la economía. Por ejemplo, si algunos piratas informáticos invadieran e hicieran caer la red aquí, en la Universidad de Defensa Nacional, sería difícil distinguir las consecuencias de esto de las muchas veces que la red se cae por sí sola. De manera similar, alguien que irrumpe en las computadoras de la Universidad de Defensa Nacional buscando información (ninguna que, por supuesto, fuera confidencial), en el mejor de los casos, encontraría copias de artículos cuyos autores hubieran estado más que conformes de hacer circular bajo pedido.

    Un motivo de las demoras en la seguridad en computación es que los incidentes de irrupción hasta ahora no han sido acuciantes. Aunque muchas instalaciones han sufrido irrupciones desde gateways Internet, la Internet misma ha caído sólo una vez (el gusano Morris en 1998). De todos modos, Internet, con sus suposiciones benignas, apenas si puede ser un representante de los sistemas en general; si también se convierte en un sistema fundamental para objetivos cuyo compromiso es un problema grave, debe evolucionar y necesariamente se tornará más segura. De igual manera, el sistema telefónico nunca ha sufrido un fallo catastrófico, y nunca se demostró que ninguna interrupción de servicio importante se debiera a piratería (el incidente más grave que afectó a los teléfonos en el noroeste en enero de 1991 se debió a un parche defectuoso del programa). Jamás ningún sistema financiero ha tenido su integridad institucional en riesgo por ataques de piratas. Se puede esbozar un paralelo con la seguridad del sistema ferroviario de la nación: es fácil sabotear las vías desprotegidas de trenes rurales, y con resultados mucho más siniestros que los del fallo de una red, pero, hasta hace poco tiempo, no se habían producido sabotajes en cincuenta años.

    Sin embargo, la seguridad informática en demasiados lugares es demasiado débil como para soportar los ataques sistemáticos. Se consideraba que los sistemas eran seguros debido a que los piratas realmente brillantes eran pocos; en la actualidad, en las redes públicas de piratería circulan herramientas fáciles de usar. A la inversa, un sistema que es fácil de violar de una manera puede no ser tan fácil de violar de otra manera. Lo que debemos cuidar no son los miles de conmutadores del sistema telefónico estadounidense, sino las computadoras de punto de transferencia de señal (STP) que son muchísimas menos. Los transgresores telefónicos atacan el sistema por medio del ingreso y la modificación de las muchas bases de datos que indican el estado de las llamadas y los números telefónicos. Supuestamente, con modificaciones suficientes, se pueden interrumpir todos los servicios telefónicos -pero únicamente mientras las bases de datos estén modificadas. Es mucho más difícil insertar un bicho en el sistema operativo de una computadora; el acceso a tales puertos está estrechamente controlado. Aunque las computadoras STP están interconectadas por protocolos Internet, estudios serios sugieren la dificultad de que una infecte a otra.

    ¿Alguien puede desestabilizar el mercado de valores de una nación al mezclar los registros comerciales del día anterior (como en Deuda de Honor de Tom Clancy)? Es posible, pero es fácil olvidar cuántas computadoras administradas por separado registran cada trasferencia de acciones (es decir, la empresa que realiza la transacción, cada uno de los sistemas de los dos agentes, además de los sistemas de cada cliente, etc.) Un simple trámite de archivar cada transacción en un medio de archivo leído ocasionalmente (CD-ROM para quien cuenta con tecnología avanzada, copias impresas para el resto de nosotros) frustrará todo intento de corrupción posterior, detectará fallas consistentes en el procesamiento, y algunas veces verá otras fallas que deliberadamente son intermitentes.

    ¿Se pueden eliminar los activos de un individuo mediante la eliminación de su cuenta bancaria? Una cuenta bancaria fundamentalmente es una obligación del banco de hacer reintegros a un depositante. Esta obligación no desaparece porque los registros bancarios de la misma no se pueden encontrar fácilmente.

    Finalmente, la confiabilidad de un sistema no sólo implica sus defectos sino también su capacidad para detectar su propia corrupción, la existencia de archivos y capacidades de datos de respaldo, la robustez general del sistema (que incluye su redundancia de encaminamiento), así como también su capacidad para restaurar su propia integridad y aumentar su propio nivel de seguridad en poco tiempo.

Un Pearl Harbor digital

    Aunque con un costo modesto se pueden asegurar sistemas importantes de computación contra ataques de piratería, esto no significa que serán seguros. Los intentos cada vez más comunes y sofisticados pueden ser las mejores garantías de que los sistemas nacionales de computación serán seguros. La peor posibilidad es que la ausencia de incidentes importantes sosiegue a los administradores de sistemas y los haga caer en la desatención, lo que permitiría que algunos grupos organizados conspiren e inicien un ataque amplio, simultáneo, destructivo de distintos sistemas críticos. Se ha cerrado la puerta del establo, pero los caballos ya escaparon. Por este motivo, una secuencia de pinchazos, o incluso un crescendo en constante crecimiento de ataques, son estrategias erróneas; crean su propia inoculación. La efectividad estratégica exige que se ataque masivamente la infraestructura de una nación, de una sola vez. Nunca se ha producido ninguno de estos ataques, pero hasta el 6 de diciembre de 1941, ningún país tampoco había sido atacado desde el otro lado del Pacífico.

    Es necesario defenderse contra ataques irracionales, pero lo que estos pueden hacer es limitado. Los ataques racionales son los que importan debido a que su objetivo no es únicamente causar daños a Estados Unidos, sino también obtener un resultado político estratégico, con consecuencias duraderas. Dicho ataque, al igual que su objetivo, puede buscar disuadir a Estados Unidos de realizar actos de seguridad nacional (por ejemplo, intervenir contra el atacante), u obstaculizar su ejecución (por ejemplo, una movilización, despliegue, operación, etc.).

    En términos de poder, la guerra de piratería informática puede demostrar ser una pálida sombra de la guerra económica, y tener valor limitado en sí. Supongamos que los piratas cortaran todos los servicios telefónicos (y, por ejemplo, con esto, las compras con tarjeta de crédito) en todo el país durante una semana. El hecho sería destructivo y costoso (incluso más cada año), pero posiblemente sería menos destructivo que ciertos acontecimientos naturales, tales como nevadas, inundaciones, incendios, o terremotos -de hecho, mucho menos en función de pérdida de producción que en una modesta recesión. ¿El inconveniente incitaría al público a exigir la interrupción del uso del atacante? Es más posible que Estados Unidos desistiría frente a opositores que son considerados menos valiosos frente a las dificultades. Es menos probable retirarse frente a un opositor cuyo poder para atacar al sistema económico de Estados Unidos sugiere el motivo por el cual se debe suprimir a dicho opositor.

    Por ejemplo, posiblemente no hubiera sido del interés de Vielman del Norte contratar piratas informáticos para que destruyeran nuestros sistemas. Ese acto hubiera infringido el mensaje de que sólo luchaba porque Estados Unidos estaba en su territorio (aunque estaba mal definido). Dicho ataque no sólo habría comprometido su impulso para crear respaldo en Estados Unidos para la disolución de sus fuerzas. También hubiera representado a Vietnam del Norte como a un opositor capaz de lastimar a Estados Unidos en su país, un acto que hubiera erosionado las advertencias que mitigaban las operaciones aéreas de Estados Unidos contra Vietnam del Norte mismo.

    La manera en que dichos ataques pueden demorar, denegar, destruir o interrumpir operativos militares es una pregunta más abierta. Se debe esperar que un enemigo en guerra dispare todo lo que puede contra los sistemas militares de Estados Unidos (sujeto a las autolimitaciones indicadas antes). ¿Pero existe suficiente potencial militar en un ataque concertado contra la infraestructura civil como para que amerite preocupación?

    Evidentemente existen vuinerabilidades. Las guerras de la actualidad requieren un gran volumen de comunicación desde el campo y no sólo con el Pentágono (digamos, desde su Checkmate en el subsuelo hasta el Black Role en El Riad) sino también con varias bases de respaldo, puntos de control, cuarteles logísticos, contratistas y consultores. Una interrupción prolongada de la electricidad, de los teléfonos y/o del correo electrónico perjudicaría el mando y el control. Debido a la multiplicidad de los medios de comunicaciones y de los enlaces en Estados Unidos, dicha interrupción tendría que ser uniformemente generalizada, coordinada y exitosa a fin de tener cualquier tipo de efecto. Tradicionalmente, un comandante pasaba el tiempo configurando un operativo militar y poniendo gran parte del mismo en piloto automático un día por vez. En teoría es posible el control detallado en tiempo real a través de los océanos, pero la historia no sugiere que la creación de operaciones militares con fuerzas tan grandes y vulnerables sea algo muy inteligente. Desde este punto de vista, una interrupción que durara horas, en lugar de días, posiblemente no afectaría mucho los resultados. Muchos servicios pueden ser restaurados en dicho tiempo a menos que se dañe algún artículo físico de difícil reemplazo.

    El efecto de tal interrupción prolongada en la movilización de tropas o de suministros es más difícil de medir; estos son procedimientos cuya realización generalmente lleva semanas o meses. Dejando de lado las entregas que se realizan de la noche a la mañana, la logística debería poder abordar la interrupción con poco impacto definitivo; de otro modo, ya está mal diseñada en principio (por supuesto que las interrupciones cerca del punto de uso son una característica esperada de la guerra).

    De hecho, un enemigo con un conocimiento preciso y exacto de cómo se adoptan las decisiones y cómo se pasa la información entre los militares estadounidenses puede ingresar al ciclo y efectuar algunos daños para nada triviales. Pero, ¿cuán fácil es para un adversario conocer esto? Ni siquiera las personas que pertenecen a los servicios pueden contar con dichas vías, y en la era en que el flujo de información jerárquica está dando paso al flujo de información en red, la importancia de cualquier vía es sumamente sospechosa.

    La dificultad de diseñar un Pearl Harbor Digital creíble se puede ilustrar mejor al considerar el mejor escenario hipotético más conocido: "El Día Después en el Espacio Cibernético" de RANO. En un escenario hipotético básico del Golfo Pérsico se producen más de veinte incidentes en las infraestructuras de información de Estados Unidos y de sus aliados. Al final, a pesar de importantes improbabilidades (por ejemplo, tres incidentes separados vinculados a bombas lógicas idénticas, el apagón simultáneo de los sistemas telefónicos heterogéneos de la zona de Washington, subcontratistas rebeldes que afectan lo que en la vida real son sistemas redundantes triples, caídas de mercados posteriores a la manipulación de una computadora no especificable), poco se obtiene de los mismos. El pueblo estadounidense encuentra ciertos fundamentos para el pánico masivo si así lo desea, pero los resultados en el campo apenas si se ven afectados modestamente.

¿La seguridad se puede socializar?

    ¿La seguridad de los sistemas es un problema cuya solución se debe socializar antes que dejar en manos privadas? Consideremos algunas distinciones.

    Si un misil extranjero hace impacto en una refinería que explota y daña a su vecindario, ¿Los daños serían culpa del propietario de la refinería? Nadie desea pagar el costo de construir refinerías para soportar ataques en tiempos de guerra. Es mucho más económico socializar el problema de dichos incidentes mediante la provisión de defensa nacional común.

    ¿Qué sucede si un francotirador ataca la torre de la refinería con el mismo fin? Este problema es parcialmente socializado mediante la aplicación del orden público, pero también entra en las expectativas una disposición razonable contra fallos en alguna parte del sistema que cree una cascada de acontecimientos.

    Cambiemos el francotirador por alguien que esgrime una pistola al azar y la responsabilidad del refinador será aún mayor. Se debería esperar que los propietarios de equipos peligrosos adopten precauciones razonables (por ejemplo, cercado del perímetro, guardias de seguridad).

    Finalmente, ¿qué sucedería si un pirata informático en Internet obtuviera acceso al sistema de la refinería y ordenara que se abriera una válvula -nuevamente con el mismo fin? ¿Se debería echar la culpa al refinador? Sí; éste debería conocer todo sobre sus sistemas de información en tanto que el gobierno puede no conocer nada en absoluto. El refinador debe proteger sus sistemas internos contra extraños y asegurarse que los acontecimientos generados por los programas -que incluyen virus- no puedan provocar daños catastróficos.

    Huelga decir, que nada de esto excusa al perpetrador quien, en caso de ser atrapado, es y debe ser sujeto a toda la fuerza de la ley. Por el mismo motivo, cuando dicha responsabilidad se puede atribuir a un grupo o incluso a un país, también existen justificaciones por sanciones similares -siempre que las sanciones judiciales se traduzcan en confiabilidad en las sanciones internacionales.

    La fuerza de este ejemplo proviene del hecho de que gran parte de la NII se encuentra en manos privadas; si los propietarios soportan el costo total del fallo del sistema entonces tienen todos los incentivos que necesitan para protegerse a sí mismos. Sin embargo existen algunos sistemas cuya interrupción implica consecuencias públicas: líneas telefónicas, distribución eléctrica, transferencias de fondos, y seguridad. Si la amenaza es suficientemente grande, tienen que ser seguros -incluso al costo de devolverlos a su condición de independientes. En verdad, este es un paso drástico y pueden ser suficientes soluciones menos onerosas (por ejemplo, sistemas operativos más seguros). Incluso las soluciones primitivas son económicas en comparación con otras medidas que adopte el país para protegerse (por ejemplo, la disuasión nuclear). Es decir, la cantidad de sectores críticos está en crecimiento. La validación de tarjetas de crédito se está tornando tan crítica para la economía como las operaciones de transferencia de fondos cada hora. Los sistemas automatizados de los hospitales están llegando a la condición de sistemas de seguridad críticos para las tareas.

    ¿Debe existir un responsable político federal central para custodiar la NB? En caso afirmativo, ¿quién debe ser? El Ministerio de Defensa cuenta con los recursos y con la misión de seguridad nacional. Pero sus conocimientos técnicos se centran en la misma agencia que combate la diseminación de una de las herramientas más poderosas de seguridad, el cifrado. El enfoque militar de evitar sistemas nuevos que no cumplan las especificaciones militares es costoso cuando se aplica a tecnologías con ciclos de vida cortos, y es difícil cuando se aplica a jerarquías externas. NIST, la segunda opción, cuenta con el talento pero carece de fondos y de experiencia con respecto a indicar a otros organismos lo que deben hacer. Más allá de estos dos organismos, los conocimientos técnicos y la misión son más difíciles de encontrar.

    El concepto mismo de un único comandante del gobierno para la defensa de la información es tenue. Todo intento de "recluir en combate" una crisis de información encontrará al comandante armado con botones que no se adhieren absolutamente a nada. ¿Por qué? La reparación y la prevención en gran medida estarán en manos de los propietarios de los sistemas, quienes administran sus propios sistemas y sólo en ocasiones extraordinarias necesitan convocar los recursos comunes (por lo tanto no existe un problema de asignación de recursos escasos). Hay pocas pruebas de recuperación o de sinergia de protección que atraviese los sectores atacados (digamos, empresas de electricidad, y sistemas de transferencia de fondos). Segundo, en función de la política, cada sector es diferente, no sólo en función de sus vuinerabilidades y de lo que puede lograr un ataque, sino también, y más importante, en el orden de políticas que se pueden utilizar para mejorar su seguridad. Por supuesto que siempre es aconsejable la coordinación sensata. Un coordinador de gran nivel podría garantizar que los distintos organismos están haciendo lo que fueron programados para hacer; los coordinadores de menor nivel podrían trabajar en cuestiones generales (por ejemplo, infraestructuras de clave pública).

Coda

    En cuestión de semanas surgió otra perspectiva sobre los ataques de piratas informáticos. En efecto, el Fondo había sido atacado por computadora, pero otras pruebas apuntaban más a una malversación de tecnología avanzada de miembros de confianza que a piratas informáticos. Incidentes posteriores pudieron haber sido el ruido de fondo de acontecimientos cotidianos, ampliados por el pánico. Los sistemas de computación universitarios son invadidos de manera rutinaria. Con todos los beneficios de la desregulación telefónica, ésta ha empujado a la confiabilidad al borde del margen de costo-beneficio. Las viejas computadoras de la Agencia Federal de Aviación están fallando y las computadoras nuevas, al igual que todos los sistemas nuevos, sufrirán la irrupción de virus. A medida que los chips de computación son más complicados, existen más lugares para que se produzcan fallos lógicos. Ninguna base de datos grande está libre de errores (especialmente aquellas que implican el ingreso de datos por parte de humanos); en un estudio se encontró que tres de cada siete informes de crédito tenían como mínimo un error. Tal como están, la mayoría de los errores de sistemas nacen como misterios; algunos se resuelven, otros no. Sin embargo, no existen más motivos para considerar que cada virus no resuelto demuestra mala intención que para suponer que cada misterio científico sin explicación confirma la presencia de criaturas alienígenas.

Cosas que vale la pena hacer

    A pesar de su naturaleza en gran parte privada, debido a que la NII es un recurso público, el papel del gobierno no está totalmente injustificado. Pero este papel se debe circunscribir y centrar cuidadosamente. En esta sección hago ocho sugerencias de cosas que vale la pena hacer.

    1. Imaginemos las vuinerabilidades de la actualidad. Por ejemplo, ¿Cuán vulnerable es la NB? ¿Qué es lo que se puede dañar y con cuánta facilidad? ¿Qué puede ser dañado por ataques externos?; ¿qué es vulnerable a miembros sobornados o incluso con mala voluntad? ¿Qué sistemas se pueden recuperar de los ataques a medida que se producen? ¿Qué se debe hacer para aumentar la población de problemas internos en un sistema? ¿Qué tipo de mecanismos de recuperación existen para regresar al funcionamiento normal después de una interrupción? ¿Después de un acto de corrupción? ¿Con qué rapidez se pueden emparchar los sistemas para hacerlos menos vulnerables? ¿Se puede hacer un grupo de preguntas similares sobre la dependencia militar de sistemas comerciales? ¿Cuán completas deben ser las interrupciones en el teléfono combinado con Internet para incapacitar los sistemas de operaciones militares?; ¿De qué manera?: ¿operaciones, respaldo cognitivo a operaciones, logística (y en este caso, internas al Ministerio de Defensa o también externas), movilización? ¿Qué vías administrativas existen para realizar las comunicaciones militares? ¿Quién sufre cuando el 95% de las comunicaciones militares que pasan por redes públicas viajan por la red del Ministerio de Defensa? Un tercer grupo de preguntas se refiere a los conjuntos de programas existentes en los que funciona la NB: Por ejemplo, ¿el actual UNIX necesita reemplazo, o los programas conocidos son suficiente? ¿Cuán útiles son los programas de prueba y parche para los sistemas existentes?.

    2. Financiar la investigación y el desarrollo de prácticas y herramientas de seguridad mejoradas, y promover su diseminación en toda la economía. Estados Unidos invierte cien millones de dólares anuales en esta área (divididos entre ARPA, NSA y otros). Entre las áreas de investigación se incluyen sistemas operativos más robustos, herramientas criptográficas, metodologías de seguridad, pruebas y, finalmente, normas. Sabemos cómo asegurar los sistemas; no sabemos cómo hacer que este conocimiento sea automático, interoperativo, y fácil de usar. El espacio cibernético puede necesitar una seguridad de información equivalente a la del Laboratorio Underwriters, capaz de desarrollar pruebas estándar para la seguridad de los sistemas.

    3. Tomar en serio la protección de los sistemas militares. Debemos suponer que cualquier nación en guerra con Estados Unidos atacará los sistemas militares -especialmente los sistemas de logística y movilización no clasificados- de cualquier manera que pueda: y los ataques de piratas informáticos se encuentran entre las maneras menos arriesgadas de hacerlo. Supongamos que los operativos de inteligencia extranjeros están, o pronto estarán, explorando los sistemas estadounidenses en busca de vuinerabilidades. El Ministerio de Defensa también puede tener intereses legítimos sobre los sistemas secretos en manos de contratistas y de instalaciones de fabricaciones para defensa. Puede resultar útil estipular que los contratistas con los militares de Estados Unidos (incluso las empresas telefónicas) cuentan con fundamentos razonables para considerar que están seguros. Quizás el Ministerio de Defensa necesita algún método para analizar el código fuente de un proveedor, en tanto que brinda garantías razonables de que no se comprometerán comercialmente.

    4. Concentrarse en sectores clave -o más exactamente, en las funciones clave de los sectores clave. Debido a que el gobierno no puede proteger estos sistemas, puede necesitar persuadir (por medio de distintos dispositivos, tales como contratos, reglamentación, asistencia tecnológica, prédica fanfarrona) a sus propietarios para que tomen en serio la seguridad y el respaldo, incluso aunque esto signifique algo tan primitivo como la recuperación manual. Distintas organizaciones constituyen foros útiles para analizar la amenaza (por ejemplo, Belicore o el Consejo Asesor en Telecomunicaciones de Seguridad Nacional para teléfonos [National Security Telecommunications Advisory Council]; el Consejo Nacional de Confiabilidad Eléctrica [National Electric Reliability Council] para usinas). El recuento de incidentes sin atribución puede ser especialmente útil.

    5. Promover la diseminación de datos sobre amenazas y la recopilación de datos sobre incidentes (y no sólo en Internet donde CERT hace un buen trabajo). Los datos en bruto pueden tener que ser saneados a menos que las investigaciones estén comprometidas o que sistemas inocentes estén arruinados. Sin embargo, la protección efectiva de la infraestructura de información pública inevitablemente debe incluir la política pública, y ninguna política pública que dependa de "si supieras lo que yo se" es viable.

    6. Buscar maneras de legitimar la "cooperación" de sistemas críticos, en parte mediante la eliminación de determinadas responsabilidades de consecuencias involuntarias de pruebas autorizadas. La prueba no destructiva de sistemas de seguridad puede ser insuficiente hasta que mejoren los adelantos tecnológicos; es decir, sólo los piratas informáticos pueden garantizar que un sistema es a prueba de piratería. Lamentablemente, los piratas informáticos no son necesariamente los inspectores más confiables, y las pruebas salen mal (el gusano Moráis se propagó con mayor rapidez de lo propuesto debido a que en alguna parte de su programa "N" y "1-N" se confundieron entre sí). Entre paréntesis, dichos sistemas se deben probar tanto con acceso permitido en el lugar como sin éste, a fin de simular mejor las amenazas a seguridad nacional.

    7. Respaldar la protección de la infraestructura de encaminamiento de Internet -no porque Internet sea tan importante, sino porque su protección es relativamente económica. Los routers nacionales e internacionales críticos deben ser seguros y el Servicio de Nombre de Dominio debe ser a prueba de engaños. Observamos que no es lo mismo que proteger cada sistema en Internet -lo que resulta costoso e innecesario.

    8. Promover la tecnología y el uso de signaturas digitales, en parte mediante su aplicación a sistemas de seguridad y no simplemente al comercio electrónico. Entre las políticas de respaldo se puede incluir la investigación en infraestructuras de clave privada, que permiten algoritmos, y adquisiciones que generen un mercado para los mismos.

    9. Trabajar con miras a un consenso internacional sobre lo que constituye mala conducta por parte del estado -y sobre lo que sería un grupo adecuado de respuestas. Un consenso permite que el resto del mundo administre estados que propagan, incitan u ocultan los ataques a la información, mediante la limitación de su acceso al sistema telefónico internacional y a Internet -prácticamente de la manera en que un consenso similar permite restricciones comerciales similares. Una vez dicho esto, será más difícil encontrar pruebas de estos casos, y países que de otro modo serian respetables y que serán perjudicados por dicho embargo podrán convencerse con más facilidad de que las pruebas han sido inventadas o exageradas.

    10. Fortalecer los regímenes legales que asignan responsabilidad por las consecuencias de los ataques de piratería a fin de que la responsabilidad principal recaiga sobre el sistema que es atacado -sujeto, por supuesto, a todo lo que se pueda averiguar sobre el perpetrador real.

Lo que debemos evitar

    Esta sección, que aborda directamente el concepto de una Guerra de Información CINC, detalla lo que es más importante: siete cosas que debemos evitar.

    1. Evitar insistir en la guerra de información en la medida en que la guerra se convierta en la metáfora dominante utilizada para caracterizar los ataques a sistemas (y no tanto los fallos de sistemas). Cambiar los preceptos desde los conflictos entre estados hacia la seguridad en computación tiende a suprimir la responsabilidad por la autodefensa de aquellos cuyos sistemas han sido atacados. No es evidente en absoluto que la protección en el espacio cibernético debería ser una clasificación más. ¿Por qué?

    Promover la paranoia a menudo es una política mala. La mayoría de los problemas de sistemas surgen de defectos de diseño, errores humanos, o ambos. Hasta que no mejore notablemente la confiabilidad de los sistemas, esto será verdad, incluso si la mala intención está al acecho.

    Una vez que algo es denominado una guerra, se disipa la responsabilidad de la victima por las consecuencias de sus actos. No se debe permitir que una empresa telefónica, que puede tener que indemnizar a sus clientes por permitir que los piratas perjudiquen el servicio, pueda declarar fuerza mayor debido a que sostiene que es una victima de guerra.

    La caracterización de los ataques de piratas informáticos como actos de guerra genera presión para tomar represalias contra los perpetradores, sean reales o imaginarios. La seguridad informática razonable no es tan costosa como para que Estados Unidos se vea obligado a entrar en guerra para proteger sus sistemas de información. Sin embargo, si Estados Unidos necesita una excusa para devolver un golpe -digamos, para prevenir la proliferación nuclear-, si es necesario puede apelar a la suposición que el blanco ha auspiciado el terrorismo de la información.

    2. Sin embargo, no desperdiciemos muchos más esfuerzos en la recopilación tradicional de información para la guerra contra los piratas informáticos. El delito requiere medios, motivos y oportunidades. Los medios -grupos de piratas con algún acceso a la conectividad (por ejemplo, que no están sentados en Pyongyang)- se pueden dar por sentado con facilidad. El sesenta por ciento de todos los titulos de Doctor en Filosofía otorgados en seguridad informática en las universidades estadounidenses fueron para países islámicos o hindúes. Debemos esforzarnos en las causas para comprender los patrones de ataque posibles por parte de otras naciones (a fin de conocer qué es lo que necesita tareas de seguridad). Invirtamos el resto del tiempo en la oportunidad, que es lo mismo que decir en las vuinerabilidades de los documentos, a fin de poder solucionarlas.

    3. No perdamos tiempo buscando una Infraestructura de Información Esencial Mínima para toda la NII (en oposición a una para el Ministerio de Defensa). Dicho listado será indefinible (¿Mínima para hacer qué? - ¿Realizar una guerra nuclear, proteger una movilización de dos MRC, detener el pánico?), incognoscible (¿Cómo pueden personas extrañas determinar los procesos fundamentales en un sistema y garantizar que quedarán igual de un año al otro?) y obsoleto en su ciclo de aprobación burocrática (la NII está cambiando rápidamente y debe recorrer un largo camino antes de detenerse). Más específicamente, el gobierno carece de herramientas para proteger sólo los nodos fundamentales; pero podría tener politicas que promuevan que los dueños de los sistemas se protejan a sí mismos (y a su vez determinarán qué se debe proteger primero).

    4. No sacrificar la seguridad por otros valores. Por ejemplo, es difícil ver cómo la NII será segura sin el uso del cifrado; sin embargo, el gobierno detesta promover su proliferación (por esto el chip Clipper y los controles de exportación). La controversia parece estar complicando la credibilidad de los intentos del Gobierno por hacer que la NII sea segura.

    5. No hacer demasiado hincapié en lograr que los sistemas
comerciales adopten las prácticas de seguridad existentes que no pueden aprovechar las innovaciones del mañana -especialmente aquellas que permiten la computación de colaboración. En efecto, algunos sistemas básicos (por ejemplo, sistemas que controlan dispositivos peligrosos) deben ser seguros a pesar de todo y, en efecto, muchas innovaciones esperadas tienen problemas de seguridad que también exigen atención. No obstante, todo el campo de sistemas es demasiado dinámico para un enfoque rígido.

    6. No eliminemos la heterogeneidad innecesariamente; torna más difícil la interrupción coordinada y conserva vías alternativas. Los enfoques comunes del mercado con respecto a la seguridad son menos importantes que los protocolos estándar y las interfaces que soportan aplicaciones entre las distintas industrias.

    7. No intentemos hacer politica sin una comprensión detallada de la manera en que se utilizan los sistemas de información. Los detalles de ingeniería importan poco en la política nuclear estratégica (el hecho de que exploten es mucho más importante que la manera en que explotan). Con la seguridad de sistemas, los detalles mismos son los portales, o las barreras, contra los ataques.

Conclusiones

    La idea predominante de que la guerra del siglo XXI posiblemente consistirá en alternar ataques a infraestructuras de información del enemigo es bastante exagerada. Dicho ataque se puede producir; incluso aunque sus perpetradores comprendieran que tienen poco por ganar y lo mucho que se perderá al hacerlo. El punto más importante es que no es necesario que se produzcan si se presta una pizca de atención a la posibilidad -y esto probablemente sea suficiente.

    Por lo tanto, ¿quién debe cuidar la NB? Si es de uno, entonces posiblemente lo deba hacer uno. La alternativa es que el gobierno proteja los sistemas, lo que a su vez exige el conocimiento de los detalles de los sistemas operativos y prácticas administrativas de todo el mundo -una alternativa que, incluso aunque no violó las fronteras acordadas en común entre las cuestiones públicas y privadas- de muchos modos es imposible. El ingreso obligatorio al espacio cibernético no existe -a menos que lo exijan mandatos de políticas mal orientadas.