El pasado 23 de febrero un grupo bipartidista de destacados miembros del Congreso de Estados Unidos presentó el Cyber Diplomacy Act of 2021 ("Ley de Diplomacia Cibernética de 2021"), una legislación para apoyar la diplomacia cibernética internacional del país.
"Este es un proyecto de ley bipartidista, porque promover la libertad y los ideales democráticos no es un problema republicano o demócrata, es un problema estadounidense", aseguró el líder republicano en el Comité de Asuntos Exteriores de la Cámara Michael McCaul, principal impulsor de esta legislación junto al demócrata Jim Langevin, miembro del Subcomité de Ciberseguridad y Protección de Infraestructura.
El Cyber Diplomacy Act of 2021 establece una Oficina de Política de Ciberespacio Internacional dentro del Departamento de Estado que tiene dos grandes objetivos: promover el liderazgo estadounidense en ciberseguridad y servir como apoyo ante un amplio abanico de ciberataques.
"Estados Unidos debe liderar el camino en la creación de un espacio global de Internet libre y seguro para evitar que los regímenes autoritarios, como los de Rusia y China, censuren la verdad. El Departamento de Estado debe tener los recursos y las habilidades necesarios para hacer frente a cualquier actividad maligna de nuestros adversarios", aseguró McCaul.
Langevin, por su parte, afirmó tener "plena confianza en que este cambio organizacional va a posicionar mejor a Estados Unidos para reclamar su papel como líder mundial dentro del ámbito de la diplomacia, lo cual es particularmente urgente dada la variedad de amenazas, en constante cambio, a la que nos enfrentamos". Asimismo, señaló que el proyecto de ley "básicamente posiciona al Departamento de Estado para que esté mucho mejor equipado para abogar en el escenario internacional por asuntos relacionados con la ciberdiplomacia. Es de esperar que deshaga el daño que se hizo durante el tiempo de la administración anterior".
La ciberseguridad se debilitó durante la administración Trump
Según Langevin, hasta que Trump asumió el cargo, tanto demócratas como republicanos hicieron avances constantes en materia de ciberseguridad. Christopher Painter, el primer coordinador de ciberseguridad del Departamento de Estado durante la administración de Barack Obama, comparte esta opinión y así se la ha explicado a CSO Estados Unidos.
"Lo que sucedió cuando llegó la administración Trump es que (su primer secretario de Estado, Rex) Tillerson, quien no creo que entendiera estos problemas, degradó y enturbió la estructura de seguridad cibernética del Departamento y la privó de recursos durante cuatro años. Ciertamente no era una prioridad para Donald Trump, a quien realmente no le importaban estos temas. O los codificó a todos como 'Rusia', por lo que realmente no le importaban estos temas".
Una de las últimas decisiones del sucesor de Tillerson, Mike Pompeo, fue aprobar la Oficina de Seguridad del Ciberespacio y Tecnologías Emergentes (CSET) en el Departamento de Estado, anunciada inicialmente en 2019. La Oficina de Responsabilidad del Gobierno (GAO, por sus siglas en inglés), criticó enérgicamente esta medida en un informe en el que la calificaba como imprudente e irracional y en el que argumentaba que "debería utilizar datos y pruebas para justificar su propuesta".
Langevin también ha desacreditado la creación de CSET al considerarlo "un esfuerzo de última hora" de Pompeo que restó prioridad a la política cibernética internacional al establecerla dentro del control de armas. "Básicamente, la Ley de Diplomacia Cibernética de 2021 se vuelve a enfocar eso".
Las prioridades han cambiado tras el ataque a Solarwinds
El Comité de Inteligencia del Senado celebró una reunión el pasado 23 de febrero para examinar el devastador ataque a SolarWinds. Siguiendo la información de CSO, el panel de testigos, que incluye los directores ejecutivos de Microsoft, FireEye, SolarWinds y CrowdStrike, enfatizó que se necesitan mejores normas cibernéticas internacionales.
"No es que no haya normas", comenta Painter. "Ha habido una serie de normas acordadas incluso por China y Rusia. Simplemente es, ¿cómo se hacen cumplir esas normas? La pregunta difícil aquí es, ¿es este espionaje sofisticado lo que aparenta ser, o es algo más? Todos los países hacen espionaje. Nunca, jamás, se llegará a un acuerdo en el que el espionaje se quede fuera. No va a suceder".
Según el citado medio, durante la reunión sobre SolarWinds también se defendió la importancia de responder a los atacantes con acciones punitivas. "Una cosa aún más importante es, ¿cómo podemos hacer que los países rindan cuentas? ¿Cómo podemos evitar que hagan esto? ¿Cómo podemos protegernos a nosotros mismos?", comenta Painter. "Si no hay consecuencias, pero la gente viola esas normas o leyes internacionales, entonces esas son solo palabras en el papel. De hecho, simplemente animas a esas personas a que lo vuelvan a hacer".
CSO concluye subrayando que una postura diplomática fortalecida por parte de Estados Unidos podría ayudar a resolver los retrasos en la identificación oficial de los culpables internacionales de un ciberataque. En el caso del dirigido contra SolarWinds, la mayoría de expertos culpan a Rusia, pero EE.UU. todavía no lo ha atribuido formalmente a ningún país concreto. "También tenemos que salir de la mentalidad de que siempre usaremos análisis forense cibernético (para la atribución)", sostiene Langevin. "Necesitamos utilizar todo tipo de inteligencia, todos los activos del poder nacional, trabajando con nuestros aliados, para lograr una atribución más rápida", apunta.