La necesidad de una Convención de Ginebra Digital
Por Brad Smith
Los gobiernos pueden y deben hacer más.
Este artículo fue publicado originalmente en el Issues blog de Microsoft el 14 de febrero de 2017
Durante la RSA Conference de este año en San Francisco se reunieron los profesionales del mundo de la ciberseguridad para discutir el momento crítico que enfrentan. El año pasado fue testigo no sólo del crecimiento del cibercrimen, sino de la proliferación de ciberataques que son a la vez nuevos y desconcertantes. Esto incluye no sólo ataques cibernéticos perpetrados para obtener ganancias financieras, sino también nuevos ataques a los Estados nación. A medida que ingenieros y otros empleados de todo el sector tecnológico se reúnen en San Francisco, necesitamos preguntarnos cuál debería ser nuestra respuesta.
Debemos comenzar por reconocer que por sí solo, ningún paso será suficiente para abordar el problema. Por supuesto, cada una de nuestras empresas debe seguir haciendo más para proteger y defender a nuestros clientes en todo el mundo, y en Microsoft estamos enfocados en hacer precisamente esto. También se está haciendo a lo largo de la industria. Pero, además, ha llegado el momento de pedir a los gobiernos del mundo que apliquen normas internacionales para proteger el uso civil de Internet.
Así como la Cuarta Convención de Ginebra ha protegido durante mucho tiempo a los civiles en tiempos de guerra, ahora necesitamos una Convención de Ginebra Digital que comprometa a los gobiernos a proteger a los civiles de los ataques de los Estados nación en tiempos de paz.
Y así como la Cuarta Convención de Ginebra reconoció que la protección de los civiles requería la participación activa de la Cruz Roja; la protección contra los ciberataques de los Estados nación requiere la asistencia activa de las empresas de tecnología. El sector tecnológico desempeña un papel único como los primeros en intervenir en Internet, por lo que debemos comprometernos con acciones colectivas que hagan de Internet un lugar más seguro, asumiendo un papel como una Suiza Digital neutra que ayude a los clientes de todas partes y conserve la confianza del mundo.
Un problema creciente en la necesidad de nuevas soluciones
La mala noticia comienza con el hecho de que el 74% de los negocios del mundo esperan ser hackeados cada año. [1] Se calcula que las pérdidas económicas estimadas del cibercrimen alcanzarán los 3 trillones de dólares para 2020. Sin embargo, a medida que estos costos continúan subiendo, el daño financiero se verá ensombrecido por nuevos y más amplios riesgos.
Quizás más desconcertante, es que en los últimos años hemos sido testigos de la expansión de los ataques a los Estados nación. El ataque a Sony por Corea del Norte en 2014 no fue el primer ataque a un Estado nación, pero representó un punto de inflexión visible. Mientras que los ataques anteriores se habían centrado en el espionaje económico y militar, el ataque de Sony en 2014 implicó represalias por la libre expresión a través de una película (no muy popular). Fue seguido en 2015 por una discusión internacional aún más visible sobre los ataques de Estados nación dirigidos al robo de propiedad intelectual corporativa. Y el año pasado la cuestión se amplió de nuevo para incluir incidentes de ataques digitales relacionados incluso con el proceso democrático mismo.
De repente nos encontramos viviendo en un mundo donde nada parece fuera de los límites de los ataques al Estado nación. Los conflictos entre los países ya no están confinados a tierra, mar y aire, ya que el ciberespacio se ha convertido en un nuevo y potencial campo de batalla mundial. Cada vez hay más riesgos de que los gobiernos intenten explotar o incluso usar como arma el software para lograr objetivos de seguridad nacional, y las inversiones gubernamentales en delitos cibernéticos continúan creciendo.
En aspectos fundamentales, este nuevo plano de batalla es diferente de aquellos del pasado. Empezando por el hecho de que el ciberespacio no existe en una forma claramente tangible en el mundo físico. Pero más allá de esto, el ciberespacio de hecho es producido, operado, administrado y asegurado por el sector privado. Los gobiernos, obviamente, desempeñan todo tipo de papeles cruciales, pero la realidad es que los objetivos en esta nueva batalla, desde cables submarinos hasta centros de datos, servidores, computadoras portátiles y teléfonos inteligentes, son propiedad privada de civiles.
Hay una consecuencia adicional que resulta de todo esto. El sector de la tecnología funciona hoy como los primeros en intervenir a los ataques del Estado nación en Internet. Un ataque cibernético de un Estado nación es recibido inicialmente, no como una respuesta de otro Estado nación, sino por ciudadanos particulares.
La situación también ha empeorado de una manera adicional e importante. Durante dos tercios de siglo, desde 1949, las naciones del mundo han reconocido a través de la Cuarta Convención de Ginebra que necesitan adherir leyes que protejan a civiles en tiempos de guerra. Sin embargo, los ataques digitales en el Estado nación han evolucionado hasta convertirse en acciones contra civiles en tiempos de paz.
Este no es el mundo que los creadores de Internet imaginaron hace 25 años. Pero es el mundo que habitamos hoy. Y como los ciudadanos particulares impulsaron este desafío, la pregunta para todos nosotros en el sector de la tecnología es: qué haremos para abordarlo.
Respuestas individuales más contundentes del sector tecnológico
Microsoft, al igual que las empresas de todo el sector de la tecnología, está adoptando agresivamente nuevas medidas para proteger y defender de mejor forma a los clientes, incluidos los ataques de gobiernos. Esto incluye nuevas características de seguridad en cada nivel de la tecnología; donde se reflejan los $1 mil millones que estamos gastando anualmente en el campo de la seguridad.
El correo electrónico se encuentra actualmente en el corazón de la batalla de la ciberseguridad, ya que se estima que el 90% de todo el hacking comienza con un ataque tipo phishing vía correo electrónico. Reflejando esta importancia, el año pasado añadimos Advanced Threat Protection para Microsoft Exchange Online. Esto identifica malware reconocible y patrones de código sospechosos en correos electrónicos y los detiene antes de que puedan hacer daño. Posteriormente, agregamos Office 365 Threat Intelligence para proporcionar a las empresas información acerca de los usuarios más atacados, la frecuencia del malware y las recomendaciones de seguridad relacionadas con su negocio. Y la semana pasada agregamos nuevas características de administración de datos para Office 365 que incluyen alertas que se enviarán automáticamente a los usuarios cuando alguien intente copiar y descargar su bandeja de entrada. De igual forma vamos a añadir nuevas características y ofertas en los próximos meses para proporcionar protección adicional.
De todas formas, en muchos caminos, las características del producto relacionadas con la seguridad son sólo el comienzo. El análisis de datos y el aprendizaje artificial se han convertido en mecanismos de defensa cambiantes para detectar ataques del Estado nación. Los centros de datos de Microsoft están conectados a más de un billón de puntos digitales y reciben más de un trillón de puntos de datos diariamente. Advanced Threat Protection solo procesa 6 mil millones de correos electrónicos cada día. Esto proporciona una base para sistemas de alerta temprana de clase mundial para detectar ataques a la seguridad cibernética.
Dentro de Microsoft hemos forjado una asociación única en tres partes como parte de los 3.500 profesionales de seguridad de toda la compañía. El Microsoft Threat Intelligence Center (MSTIC) es nuestro brazo de reconocimiento, revisando a través del flujo constante de datos de nuestros más de 200 servicios en la nube y fuentes de terceros. Utilizando el aprendizaje automático, el análisis del comportamiento y las técnicas forenses, este equipo dedicado crea una imagen en tiempo real -una gráfica de inteligencia de seguridad- de actividades cibernéticas relacionadas con amenazas avanzadas y persistentes para Microsoft y nuestros clientes.
Cuando se detecta una amenaza, MSTIC alerta a nuestro Centro de Operaciones de Defensa Cibernética (CDOC), un centro de comando “ojos en el cristal” que opera las 24 horas al día, siete días a la semana, rotando equipos de seguridad y de ingeniería de toda nuestra línea de productos y servicios. Este equipo de especialistas sirve como nuestra línea de enfrente, tomando medidas inmediatas contra amenazas para defender nuestros propios sistemas y proteger a los clientes.
A medida que identificamos las amenazas, no sólo estamos trabajando con clientes, sino utilizando procesos legales, dirigidos por nuestra Unidad de Delitos Digitales (DCU, Digital Crimes Unit), para responder de formas nuevas e innovadoras que interrumpen los ataques, incluyendo aquellos lanzados por estados-nación. El año pasado el MSTIC identificó un patrón de ataque que llevó a un grupo asociado con un Estado nación a registrar dominios de Internet usando nombres que incluían marcas de Microsoft y de otras compañías. Fuimos a la corte federal, obtuvimos órdenes judiciales y buscamos con éxito el nombramiento de un Special Master para supervisar y acelerar las mociones adicionales en nuestro caso. Trabajando bajo esta supervisión judicial, podemos notificar a los registros de Internet cada vez que este grupo registra un dominio de Microsoft falso y solicitar que el control de ese dominio sea transferido inmediatamente a un foso operado por DCU.
Usando este nuevo enfoque, podemos interrumpir el uso de estos dominios por parte del Estado nación las 24 horas. Desde el verano pasado, en respuesta a los ataques extendidos del Estado nación, hemos eliminado 60 dominios en 49 países distribuidos en seis continentes. En cada caso, se detuvo el flujo de datos a los hackers de cualquier cliente cuyas computadoras hayan sido hackeadas; notificamos a los clientes del ataque del Estado nación y les ayudamos a limpiar su entorno y aumentar su seguridad.
En todo el sector tecnológico, las empresas están compitiendo para ofrecer una mayor protección cibernética a los clientes, incluso de los estados-nación. Cada uno de nuestros avances está haciendo una contribución importante. Pero no estamos cerca aún de poder cantar victoria. Los gobiernos están aumentando sus inversiones en capacidades cibernéticas ofensivas. Por lo tanto, necesitamos reconocer una verdad crítica — este no es un problema que podemos resolver solamente con cada uno de nosotros actuando solo.
Llamando a los gobiernos a hacer más
Ha llegado el momento de hacer un llamamiento a los gobiernos del mundo para que se reúnan, reafirmen las normas internacionales de ciberseguridad que han surgido en los últimos años, adopten nuevas y vinculantes reglas, y se pongan a trabajar en su implementación.
En resumen, ha llegado el momento de que los gobiernos adopten una Convención Digital de Ginebra para proteger a los civiles en Internet.
La base para nuevas normas internacionales ya está en curso. En los últimos dos años se ha avanzado considerablemente en el desarrollo de normas mundiales de ciberseguridad. Por ejemplo, en julio de 2015, expertos gubernamentales de 20 países recomendaron normas de ciberseguridad para los estados-nación “encaminadas a promover un entorno de Tecnologías de la Información y la Comunicación (TIC) abierto, seguro, estable, accesible y pacífico”. [2] Estos incluyen principios clave que impiden a los gobiernos involucrarse en actividades maliciosas utilizando información y tecnología de las comunicaciones o dañando de manera similar la infraestructura crucial de otras naciones.
Es importante destacar que los principales gobiernos también han demostrado que pueden abordar estos temas a través de discusiones bilaterales directas y francas. Tras negociaciones muy visibles e incluso desafiantes, en septiembre de 2015 los Estados Unidos y China aceptaron importantes compromisos en los que se prometió que ninguno de los gobiernos del país llevaría a cabo o apoyaría el robo cibernético de la propiedad intelectual [3]. Esto abrió el camino para que el Grupo de los 20 ratificara el mismo principio de forma más amplia en su reunión dos meses más tarde. [4] Y las discusiones intergubernamentales adicionales continúan avanzando más lejos hoy en día.
Todo esto marca el camino hacia posibles nuevos pasos a seguir. En primer lugar, existe una nueva oportunidad para una acción bilateral vital. Al igual que los Estados Unidos y China superaron los retos mutuos y lograron importantes avances en 2015 para prohibir el ciber robo de propiedad intelectual, Estados Unidos y Rusia pueden establecer un acuerdo futuro para prohibir los ataques digitales del Estado nación en todos los aspectos civiles de nuestra infraestructura económica y política.
En segundo lugar, los gobiernos de todo el mundo deben buscar un acuerdo multilateral más amplio que afirme las normas recientes de ciberseguridad como leyes globales. Así como los gobiernos del mundo se reunieron en 1949 para adoptar el Cuarto Convenio de Ginebra para proteger a los civiles en tiempos de guerra, necesitamos una Convención de Ginebra Digital que comprometa a los gobiernos a implementar las normas que se han desarrollado para proteger a los civiles en Internet en tiempos de paz.
Dicha convención debería comprometer a los gobiernos a evitar los ciberataques dirigidos al sector privado, hacia la infraestructura crítica, así como el uso de los ataques digitales para robar propiedad intelectual. Del mismo modo, deberíamos requerir que los gobiernos colaboren con los esfuerzos del sector privado para detectar, contener, responder y recuperarse de estos eventos, y exigir que los gobiernos reporten vulnerabilidades a los vendedores en lugar de almacenarlos, venderlos o explotarlos.
Además, una Convención de Ginebra Digital necesita crear una organización independiente que abarque los sectores público y privado. Específicamente, el mundo necesita una organización independiente que pueda investigar y compartir públicamente la evidencia que atribuye los ataques de los Estados nación a países específicos.
Si bien no existe una analogía perfecta, el mundo necesita una organización que pueda hacer frente a las amenazas cibernéticas de manera similar al papel desempeñado por el Organismo Internacional de Energía Atómica en el campo de la no proliferación nuclear. Esta organización debería estar formada por expertos técnicos de distintos gobiernos, el sector privado, el mundo académico y la sociedad civil, con la capacidad de examinar ataques específicos y compartir las pruebas que demuestran que un determinado ataque fue cometido por un Estado nación en concreto. Sólo entonces sabrán que si violan las reglas, el mundo aprenderá sobre ello.
Construyendo una Suiza Digital confiable y neutral
Por último, aquellos de nosotros en el sector de la tecnología necesitamos actuar colectivamente para proteger mejor a Internet y a los usuarios en todas partes de los ataques de los Estados nación. Como las primeras personas que responden a las amenazas que en parte se dirigen a nuestra propia infraestructura, es importante que las empresas tecnológicas globales adoptemos compromisos concretos para ayudar a disuadir y responder a los ciberataques de los Estados nación. Como la Cuarta Convención de Ginebra se basa en la Cruz Roja para ayudar a proteger a los civiles en tiempo de guerra, la protección contra los ciberataques al Estado nación requiere la asistencia activa del sector tecnológico.
Tenemos que empezar con una premisa clara. Incluso en un mundo de creciente nacionalismo, cuando se trata de la ciberseguridad, el sector tecnológico mundial necesita operar como una Suiza digital neutral. Ayudaremos y protegeremos a los clientes en todas partes. No ayudaremos a atacar a los clientes en ningún lugar. Necesitamos conservar la confianza del mundo. Y todos los gobiernos, independientemente de sus políticas o políticos, necesitan una infraestructura IT nacional y global en la que puedan confiar.
Este compromiso con el 100% de defensa y 0% de ofensiva ha sido fundamental para nuestro enfoque como empresa e industria. Y debe seguir así en el futuro.
Si vamos a convertir estas palabras en acciones efectivas, necesitamos reunirnos como una industria para adoptar nuestros propios principios claros y ayudar a poner en marcha los pasos necesarios para hacer realidad estos fundamentos. Por ejemplo, debemos comprometernos a una defensa colaborativa y proactiva contra los ataques a los Estados nación y a remediar el impacto de tales ataques. Debemos comprometernos a no seguir haciendo esfuerzos para ayudar en acciones ofensivas en cualquier lugar. Debemos hacer parches de software disponibles para todos nuestros usuarios, independientemente de los atacantes y sus motivos. Debemos adoptar prácticas coordinadas de divulgación para el manejo de vulnerabilidades en productos y servicios. Y debemos trabajar juntos para apoyar los esfuerzos defensivos internacionales, como la nueva organización internacional descrita anteriormente [5].
Hay un fuerte progreso en el cual podemos construir. Por ejemplo, en Microsoft hemos estado colaborando con otras compañías líderes de la nube como Amazon y Google para combatir el abuso de la nube, como spam y sitios de phishing. Estamos trabajando juntos en un esquema de notificación de abuso común para acelerar la denuncia de abusos que podamos ver en las redes de los demás. En temas como la notificación a los clientes de posibles ataques de Estados nación, todos hemos aprendido de importantes trabajos donde Google y Facebook han sido líderes tempranos e impresionantes. En términos más generales, hay un buen trabajo y una colaboración común surgiendo en todas partes, desde nuevas empresas a las más grandes compañías de la industria.
Por último, al examinar estas cuestiones, vale la pena reflexionar sobre al menos un aspecto de otras cuestiones recientes que han unido al sector de la tecnología.
Los recientes debates sobre la inmigración han sacado a la superficie una verdad importante. Como industria, el sector de la tecnología literalmente ha reunido al mundo bajo su propio techo. Por ejemplo, en Microsoft en el estado de Washington, una gran mayoría de nuestros empleados nacieron en los Estados Unidos, pero también tenemos empleados que vienen de 157 países. Desde hace mucho cuando llego cada mañana a la oficina siento que trabajo en las Naciones Unidas de Tecnología de la Información.
Nuestra empresa no es única. Como industria, hemos unido a la gente de una manera que puede promover la comprensión mutua y el respeto. Tenemos que aprovechar esta comprensión global para proteger a las personas en todas partes, ganando su confianza como una Suiza Digital del mundo.
Para continuar leyendo
[1] http://www.isaca.org/cyber/Documents/State-of-Cybersecurity-infographic.pdf
[2] http://www.un.org/ga/search/view_doc.asp?symbol=A/70/174
[4] http://g20.org.tr/g20-leaders-commenced-the-antalya-summit/, en el párrafo 26. La disposición del G-20 afirmaba la misma disposición acordada por los Estados Unidos y China, ningún país debe conducir o apoyar el robo de propiedad intelectual, incluyendo secretos comerciales u otra información comercial confidencial, con el fin de proporcionar ventajas competitivas a empresas o sectores comerciales”.
[5] Para una discusión más completa de estos principios, consulta https://blogs.microsoft.com/on-the-issues/2016/06/23/cybersecurity-norms-nation-states-global-ict-industry/# Sm.000fn948avqfd2m11711pov1fd3a2
Brad Smith es el presidente y director jurídico de Microsoft. Smith juega un papel clave en representar a la empresa externamente y en liderar el trabajo de la compañía en una serie de asuntos críticos como privacidad, seguridad, accesibilidad, sostenibilidad ambiental e inclusión digital, entre otros. Vea su entrevista de NewCo Shift Dialogs con John Battelle aquí.
