La avalancha de ciberataques que se extiende por todo el mundo hace que los gobiernos y las empresas piensen en nuevas formas de proteger sus sistemas digitales. y los secretos corporativos y estatales almacenados en su interior. Por mucho tiempo, Los expertos en ciberseguridad han erigido cortafuegos para evitar el tráfico no deseado y han establecido objetivos señuelo en sus redes para distraer a los piratas informáticos que ingresan. También han buscado en Internet pistas sobre lo que podrían estar haciendo los ciberdelincuentes para protegerse mejor a sí mismos y a sus clientes.

Ahora, aunque, muchos líderes y funcionarios están comenzando a pensar en intensificar sus actividades defensivas, tomando medidas más activas. Una opción extrema dentro de este campo de la defensa activa se denomina a veces "piratear" los sistemas de un adversario para obtener pistas sobre lo que están haciendo. apagar el ataque o incluso eliminar datos o dañar las computadoras de un atacante.

He estado investigando los beneficios y los inconvenientes de varias opciones de defensa activa con Danuvasin Charoen del Instituto Nacional de Administración del Desarrollo de Tailandia y Kalea Miao, un becario Cox de pregrado en la Escuela de Negocios Kelley de la Universidad de Indiana. Hemos encontrado una sorprendente cantidad y variedad de empresas y países que exploran diversas formas de ser más proactivos en sus prácticas de ciberseguridad. a menudo con poca fanfarria.

Ponerse activo

En la superficie, puede parecer que el proverbio es correcto:"La mejor defensa es una buena ofensiva". El daño de los ciberataques puede ser enorme:en mayo de 2017, un solo incidente, el ciberataque WannaCry, afectó a cientos de miles de sistemas en todo el mundo y provocó más de 4.000 millones de dólares en pérdidas de productividad y costos de recuperación de datos. Un mes despues, otro ataque, llamado NotPetya, le costó al gigante de envío global Maersk $ 300 millones y redujo a la compañía a depender del sistema de mensajería WhatsApp, propiedad de Facebook, para las comunicaciones corporativas oficiales.

Frente a esta escala de pérdidas, algunas empresas quieren reforzar sus defensas. Las empresas con sistemas de tecnología sofisticados saben lo que se necesita para proteger a sus clientes, redes y secretos comerciales valiosos. También es probable que tengan empleados con las habilidades para rastrear a los piratas informáticos y penetrar en los propios sistemas de los atacantes. Pero la ética y las implicaciones de justificar un ciberataque como defensivo se complican muy rápidamente.

A menudo no está claro por ejemplo, exactamente quién está detrás de un ataque:incertidumbre que puede durar días, meses o incluso años. Entonces, ¿a quién debería apuntar el hack-back? ¿Qué pasa si una empresa estadounidense de propiedad privada cree que está siendo atacada por una empresa propiedad del gobierno chino? Si ha vuelto a hackear, ¿Sería eso un acto de guerra entre los países? ¿Qué debería suceder para reparar las relaciones corporativas e internacionales si la empresa estaba equivocada y su atacante estaba en otro lugar? Las empresas no deberían tener el poder de iniciar conflictos cibernéticos globales que podrían tener consecuencias nefastas, pero online y offline.

Por supuesto, También es importante pensar en lo que podría suceder si otros países permiten que sus empresas retrocedan contra los esfuerzos corporativos o del gobierno de EE. UU. Más empresas estadounidenses podrían ser víctimas de ciberataques como resultado, y podría encontrar pocos recursos legales.

Comprometerse con la ley

En este momento, piratear es ilegal, en los EE. UU. y en muchas naciones del mundo. En los EE.UU., la Ley de Abuso y Fraude Informático tipifica como delito el acceso a otra computadora sin autorización. Cada miembro del G-7, incluidos los EE. UU., así como Tailandia y Australia, ha prohibido la piratería. En 2018, más de 50 países, pero no EE. UU., firmaron un acuerdo por el que las empresas privadas con sede en sus países no pueden piratear.

Sin embargo, Los partidarios de las tácticas defensivas activas están presionando con fuerza su mensaje. La plataforma presidencial del Partido Republicano en 2016 prometió garantizar que "los usuarios tengan el derecho de autodefensa para tratar con los piratas informáticos como mejor les parezca". En marzo de 2018, la legislatura del estado de Georgia aprobó un proyecto de ley para permitir "medidas de defensa activas que están diseñadas para prevenir o detectar el acceso no autorizado a computadoras". Dos meses despues, entonces gobernador. Nathan Deal lo vetó, ante la insistencia de las empresas de tecnología preocupadas por sus "implicaciones para la seguridad nacional y otras ramificaciones potenciales".

Si se hubiera convertido en ley, El proyecto de ley de Georgia probablemente habría infringido la ley federal. Sin embargo, Los legisladores en Washington también han propuesto permitir que las empresas se involucren en ciertos tipos de defensa activa. En 2017, Representante de los Estados Unidos Tom Graves, un republicano de Georgia, propuso la Ley de certeza de ciberdefensa activa, que permitiría a las empresas adoptar determinadas medidas de defensa activas, incluida la vigilancia de posibles atacantes, siempre que la firma informara primero al FBI y que la acción no amenazara "la salud o la seguridad públicas". El proyecto de ley murió y aún no se ha reintroducido; no es probable que llegue muy lejos en la nueva Cámara Demócrata.

La defensa activa sigue siendo ilegal en los EE. UU. Y en gran parte del mundo. Pero las prohibiciones no se aplican ni en casa ni en el extranjero.

Globalizarse

No todos los países han prohibido la piratería. Singapur, por ejemplo, ha permitido que las empresas locales adopten medidas de defensa activas en un esfuerzo por prevenir, detectar, o contrarrestar amenazas específicas a su infraestructura crítica, incluida la industria financiera. Otras naciones, como Francia, no quiero ver al sector privado al frente, pero todavía están dispuestos a mantener la defensa activa como una opción para los gobiernos.

Cuantos más países permitan la defensa activa, es más probable que todos, en los EE. UU. y en todo el mundo, se conviertan en víctimas de un ciberataque. En lugar de disuadir los ataques, la defensa activa agresiva aumenta la posibilidad de que se apaguen las luces, o las máquinas de votación estadounidenses que arrojan resultados inexactos.

Se puede y se debe alentar a las organizaciones a que tomen medidas de defensa pasiva, como recopilar información sobre posibles atacantes e informar sobre intrusiones. Pero, en mi opinión, deberían desalentarse, si no evitar, que actúen de forma agresiva, por el riesgo de desestabilizar las relaciones corporativas e internacionales. Si la búsqueda de la paz cibernética degenera en una batalla de ojo por ojo de vigilantismo digital, la inseguridad global será mayor, no menos.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.