¿Encargo estatal de ciberataques por 1.000 millones de dólares? Llaman a empresas estadounidenses al frente cibernético
Permitir a empresas privadas llevar a cabo operaciones ofensivas abriría trampas legales y el riesgo de represalias.
La administración del presidente de Estados Unidos Donald Trump se está preparando para involucrar a empresas privadas en la realización de ciberataques ofensivos contra adversarios extranjeros —un paso que podría ampliar la «guerra digital» en la sombra, que por lo general llevan a cabo los servicios de inteligencia y las fuerzas armadas. En un nuevo borrador de la estrategia nacional de ciberseguridad, la Casa Blanca planea declarar públicamente su intención de implicar con mayor intensidad al sector privado en la persecución de hackers criminales y vinculados a estados, que vulneran infraestructura crítica y las redes de telecomunicaciones o paralizan empresas con ataques de ransomware.
El borrador de la estrategia, al que tuvieron acceso representantes del sector y especialistas, debe publicarse en las próximas semanas a través de la Oficina del Director Nacional de Ciberseguridad. El documento sostiene que el gobierno debería «desatar las manos» del sector privado para aumentar la presión sobre los adversarios extranjeros y aplicar más rápidamente consecuencias por los ataques. No obstante, el texto contiene casi ninguna concreción sobre cómo se organizará exactamente la participación de las empresas ni qué operaciones se les encargarán.
Se prevé que el papel de los contratistas privados se describa con más detalle después de la publicación de la estrategia, y también en una orden ejecutiva que podría delimitar los marcos de su participación y otorgar protecciones legales adicionales. No se excluye que para ello sea necesario un marco legislativo separado. Actualmente, según se indica, las firmas privadas no cuentan con una base legal para llevar a cabo por su cuenta operaciones cibernéticas ofensivas, y los intentos de «apagar» la infraestructura del adversario podrían convertir a estas empresas en objetivos de represalias por parte de servicios de inteligencia extranjeros, que a menudo operan a través de grupos afiliados.
Sin embargo, en la administración y dentro del ámbito de inteligencia crece la convicción de que Estados Unidos necesita más recursos para enfrentarse a agrupaciones hostiles, que con frecuencia cuentan con el generoso respaldo de estados. Según esa lógica, implicar al sector privado debería al mismo tiempo ampliar las capacidades de la guerra cibernética y aliviar la carga de los servicios de inteligencia y de los militares, para que se concentren en tareas que solo ellos pueden abordar.
Las discusiones sobre «subcontratar» las operaciones cibernéticas ofensivas ya se plantearon durante la Casa Blanca de Joe Biden, pero entonces la administración no estableció una política concreta. Bajo Trump la orientación hacia acciones más duras se escucha con más fuerza: el director sénior del Consejo de Seguridad Nacional para asuntos cibernéticos, Alexey Bulazel, declaró en una conferencia en septiembre que la administración «no se disculpa» y «no tiene miedo» de llevar a cabo operaciones ofensivas en el ciberespacio.
Otra señal adicional —poco visible para el público general— figura en la ley fiscal y presupuestaria multitrillonaria de Trump: prevé un aumento de 1.000 millones de dólares para operaciones cibernéticas ofensivas, que por lo general realizaban el Comando Cibernético y los servicios de inteligencia. La ley no especifica cómo se deben gastar exactamente esos fondos, pero la mera inclusión de esa partida subraya la importancia que se otorga al ámbito cibernético ofensivo.
Para el sector esto puede significar nuevos contratos potencialmente muy rentables: muchas empresas conocidas por soluciones defensivas, en teoría, pueden aplicar sus tecnologías también para ataques. Pero el riesgo no es solo financiero y legal. El trabajo ofensivo puede ahuyentar a clientes e inversores, y el intento de «legalizar» la zona gris puede, por el contrario, reducir el margen de maniobra, como señala el cofundador de Datatribe Michael Janke. En el propio borrador de la estrategia, además de los planes ofensivos, se menciona la intención de simplificar la regulación en materia de datos y ciberseguridad, modernizar los sistemas federales, reforzar la protección de la infraestructura crítica y acelerar la adopción de criptografía postcuántica y computación cuántica segura.
¿Estás cansado de que Internet sepa todo sobre ti?