John T. Bennett, The Hill
El Pentágono publicó el jueves un plan de ciberseguridad prometido desde hace tiempo en el que declara que Internet es un dominio de guerra. Sin embargo, no indica concretamente cómo utilizarán la web los militares de EE.UU. para ataques ofensivos.
El primer plan del Departamento de Defensa para el ciberespacio plantea que el departamento expanda su capacidad de frustrar ataques de otras naciones y grupos, refuerce su personal cibernético y aumente su colaboración con el sector privado.
Como las grandes corporaciones y el resto del gobierno federal, los militares “dependen del ciberespacio para funcionar”, dice el plan del Departamento de Defensa [DoD]. Los militares estadounidenses utilizan el ciberespacio para todo, la realización de operaciones militares, la distribución interna de datos de inteligencia y la administración de personal.
“El departamento y la nación tienen vulnerabilidades en el ciberespacio”, señala el documento. “Nuestra dependencia del ciberespacio está en marcado contraste con una ciberseguridad inadecuada”.
Otras naciones “trabajan para aprovechar las redes abiertas y las confidenciales del Departamento de Defensa, y algunas organizaciones extranjeras de inteligencia ya han adquirido la capacidad de desestabilizar elementos de la infraestructura de información del DoD,” declara el plan. “Además algunos protagonistas no estatales amenazan cada vez más con penetrar y desestabilizar las redes y sistemas del DoD.”
Los grupos son capaces de hacerlo en gran parte porque “tecnologías en pequeña escala” que tienen “un impacto desproporcionado para su tamaño” son relativamente económicas y fácilmente asequibles.
El Pentágono planifica concentrarse fuertemente en tres áreas según la nueva estrategia: el robo o explotación de datos; intentos de denegar o desestabilizar el acceso a las redes militares de EE.UU.; e intentos de “destruir o degradar redes o sistemas conectados”.
Un problema destacado en la estrategia es una amenaza intrínseca: “La mayoría de los productos de tecnología de la información utilizados en EE.UU. se fabrican y se arman en el extranjero”.
El DoD presentó un enfoque múltiple para encarar estos temas.
Como se auguraba en las declaraciones de funcionarios del Pentágono en los últimos años, el plan concretiza que ahora el ciberespacio es un “dominio operativo” de los militares, como lo han sido durante décadas la tierra, el aire, el mar y el espacio.
“Esto permite que el DoD organice, capacite y equipe para el ciberespacio” como en esas otras áreas, señala el plan. También menciona el establecimiento en 2010 del Ciber Comando de EE.UU. para supervisar todo el trabajo del DoD en el campo cibernético.
El segundo tramo del plan es emplear nuevas manera defensivas de operar en el ciberespacio, primero realzando la “ciberhigiene” del DoD. Ese término implica que se asegure de que los datos de las redes militares sigan siendo seguros, que se use Internet sensatamente y que se diseñen sistemas y redes para proteger de los ciberataques.
Los militares mantendrán su enfoque “activo de ciberdefensa” de “utilizar sensores, software e inteligencia para detectar y detener la actividad maliciosa antes de que pueda afectar redes y sistemas del DoD”. También buscarán nuevos “enfoques y paradigmas” que incluirán “desarrollo e integración… de medios móviles y computación de nube segura”.
El plan subraya los esfuerzos iniciados hace tiempo en el Pentágono para trabajar con otras agencias gubernamentales y el sector privado. También dice que el Pentágono seguirá realizando fuertes inversiones en investigación y desarrollo, incluso en tiempos en los que los presupuestos de seguridad nacional disminuyen.
En especial, el plan dice que el Departamento de Seguridad Interior dirige los “esfuerzos inter-agencias para identificar y mitigar las vulnerabilidades cibernéticas en la infraestructura crítica de la nación”. Algunos expertos han advertido contra una extralimitación del DoD en asuntos cibernéticos en el interior.
El Pentágono también anunció un nuevo programa piloto con la industria con el fin de alentar a las compañías para que “[opten] voluntariamente a compartir cada vez más información sobre actividad cibernética maliciosa o no autorizada”.
La estrategia prevé una mayor fuerza de trabajo cibernética del DoD.
Un desafío, dicen los expertos del Pentágono, será atraer a máximos talentos de la tecnología de la información [IT] porque el sector privado puede pagar salarios mucho más elevados, especialmente en tiempos de disminución de los presupuestos de Defensa. Con ese fin, “el DoD se concentrará en el establecimiento de programas dinámicos para atraer temprano a los talentos”, declara el plan.
Respecto a la adquisición de IT, el plan presenta varios cambios, incluida la entrega más rápida de sistemas; el paso al desarrollo gradual y a la actualización en lugar de esperar para comprar “grandes sistemas complejos”; y la mejora de las medidas de seguridad.
Finalmente, la estrategia declara la intención de trabajar más de cerca con “pequeñas y medianas empresas” y “emprendedores en Silicon Valley y otros centros de innovación de la tecnología de EE.UU.”
La reacción en el Congreso de EE.UU. inmediatamente después de la presentación del plan fue sobre todo silenciosa. La ciberseguridad no es un tema político polarizador como lo son otros temas de la defensa, por ejemplo la defensa de misiles.
Claude Chafin, portavoz del presidente del Comité de Servicios Armados de la Cámara Buck McKeon (republicano de California), calificó la estrategia de “próximo paso en una importante conversación nacional sobre la protección de sistemas e información críticos, que el Comité de Servicios Armados ha realizado desde hace algún tiempo”.
Ese panel ya ha establecido su propia fuerza de tareas de ciberseguridad, que según Chafin “considerará este plan [del DoD] en su amplio estudio de la capacidad de EE.UU. de defenderse contra los ciberataques”.
Mientras el Pentágono retoca sus enfoques sobre la ciberseguridad, el miembro superior del Comité de Servicios Armados del Senado John McCain (republicano de Arizona), escribió el miércoles a los dirigentes del Senado diciendo que esa cámara también debe hacerlo. McCain solicitó al líder de la mayoría, Harry Reid [demócrata de Nevada] y al líder de la minoría, Mitch McConnell (republicano de Kentucky) que establezcan un Comité Selecto temporario sobre Ciberseguridad y Filtraciones de Inteligencia Electrónica.
“Propuestas de ciberseguridad han sido presentadas por numerosos comités del Senado, la Casa Blanca y varias agencias gubernamentales; sin embargo el Senado todavía tiene que unirse alrededor de una propuesta exhaustiva que encare adecuadamente las amenazas a escala gubernamental que enfrentamos”, dijo la oficina de McCain en una declaración. “Un comité selecto sería capaz de preparar rápidamente legislación exhaustiva de ciberseguridad sin la necesidad de trabajar a través de numerosos y en algunos casos rivalizantes comités de jurisdicción”.Una mirada no convencional al neoliberalismo y la globalización