martes, 8 de marzo de 2011

¿Tendrá Estados Unidos un "interruptor" para desconectar Internet?

Por Jonathan Zittrain (*)

La legislación propuesta no permitirá que el gobierno desconecte Internet—pero tiene otros problemas.

En las últimas semanas, hemos visto cómo dos países intentaban desconectar Internet. El 27 de enero, Egipto, que anteriormente había vivido pocas restricciones sobre el acceso a Internet, detuvo la entrega de bits a los abonados de prácticamente todos sus proveedores de Internet, dejando que los datos que pasaban a través de Egipto siguieran fluyendo normalmente. Desde el 19 de febrero, Libia ha experimentado cortes irregulares en todo el país que duran desde unos pocos minutos hasta siete horas.

Esto es algo prácticamente sin precedentes—sólo unos incidentes fortuitos en Nepal y Birmania , en 2005 y 2007 respectivamente, pueden comparársele. Estos acontecimientos han renovado el debate sobre la legislación propuesta en EE.UU. que daría a nuestro gobierno una capacidad similar para tirar del enchufe de las comunicaciones de Internet en caso de emergencia.

El proyecto de ley, presentado en el Senado primero el pasado otoño y de nuevo esta primavera por los senadores Susan Collins, de Maine, y Joseph Lieberman, de Connecticut, primero tuvo el título "Ley de 2010 para proteger el ciberespacio como un activo nacional" y, más tarde, "Ley de 2011 para la ciberseguridad y la libertad de Internet. "Muchos observadores simplemente lo han llamado el proyecto de ley "interruptor", lo que sugiere que otorgaría al presidente la autoridad de desconectar Internet, tal vez de una forma similar a la que acabamos de ver en el Oriente Medio. Ésa es una caracterización injusta. Sin embargo, hay otras razones para ser escépticos acerca del S.3480.

El proyecto de ley contiene mucho más que sólo la creación del llamado interruptor. Éste establecería una Oficina de Política de Ciberespacio de la Casa Blanca con la tarea de supervisar todos los "instrumentos de poder nacional relacionados con garantizar la seguridad y la resistencia del ciberespacio" y con el cumplimiento de unas normas de seguridad a desarrollar por el Instituto Nacional de Estándares y Tecnología (NIST) sobre "sistemas de infraestructuras críticas" de los sectores públicos y privados.

Éste también establecería un Centro Nacional para la Seguridad Cibernética y las Comunicaciones en el Departamento de Seguridad Nacional, para supervisar el Equipo de Respuesta a Emergencias Informáticas de EE.UU., el cual difunde información sobre seguridad cibernética de investigadores y del gobierno al sector privado.
Sin embargo, lo más polémico es la propuesta de que si el presidente declara una "emergencia cibernética", el Departamento de Seguridad Nacional podría emitir órdenes y directivas obligatorias sobre los "sistemas de infraestructuras críticas". Esto es lo que ha sido interpretado como el interruptor de desconexión.
Bajo qué circunstancias se podría exigir el cierre de Internet es una cuestión de interpretación. El proyecto de ley define una "emergencia cibernética" como una acción real o inminente "llevada a cabo por cualquier persona o entidad para explotar un riesgo cibernético de manera que interrumpa, o intente interrumpir, o represente un notable riesgo de perturbación sobre el funcionamiento de la infraestructura de información esencial para la operación confiable de las infraestructuras críticas cubiertas." "Infraestructuras críticas", a su vez, se define como aquellos sistemas "cuya interrupción o destrucción causaría un evento con gran cantidad de víctimas el cual incluye un extraordinario número de víctimas mortales; graves consecuencias económicas; evacuaciones masivas con una ausencia prolongada; o una grave degradación de la capacidad de seguridad nacional , incluyendo las funciones de inteligencia y de defensa."

Todo esto suena muy limitado: la mayoría de los servidores Web no podrían considerarse infraestructuras de ese tipo—tampoco los pequeños proveedores de Internet. En respuesta a las críticas a la idea del interruptor, el Senado ha comentado que el proyecto de ley tiene por objeto proporcionar una "forma precisa, dirigida y adecuada al Presidente para defender nuestras infraestructuras más sensibles", y ,además, definió estas infraestructuras como los sistemas que participan en el mantenimiento vital de las redes de telecomunicaciones, red eléctrica, sistemas de agua y sistemas financieros. Por supuesto, a medida que los sistemas se trasladan a la nube, surgen más preguntas sobre si vamos a empezar a encontrar estos sistemas de infraestructura crítica integrando recursos civiles mundanos, y cuáles serían las implicaciones de tal mezcla en este proyecto de ley.

En resumen, la disposición significa que una emergencia cibernética sería declarada sólo en algunos de los peores escenarios posibles a nivel nacional. Sin embargo, un asunto crítico es qué tipo de examen se realizaría para determinar si y cuándo debería ser declarado el estado de emergencia cibernética.

El nuevo borrador del proyecto de ley—probablemente, en respuesta a la ansiedad pública sobre la idea del interruptor—prohíbe explícitamente la idea de una desconexión: "ni el Presidente, ni el Director del Centro Nacional para la Ciberseguridad y las Comunicaciones, ni cualquier funcionario o empleado del Gobierno de los Estados Unidos tendrá la autoridad para desconectar Internet ".

Es más, las medidas de emergencia aplicadas en respuesta a una emergencia cibernética expirarían en un plazo de 30 días, con la posibilidad de varias extensiones de 30 días. Sin duda, 30 días es un tiempo largo en tiempo de Internet. No obstante, es difícil imaginar bajo qué circunstancias se invocarían estas disposiciones. El lenguaje del proyecto de ley parece querer señalar que menos importante que un masivo virus de ordenador o un ataque físico en los que los proveedores de Internet se quedaran de brazos cruzados permitiendo que el software malicioso se propagara como por un reguero de pólvora podría hacer que se activara. Por supuesto, en caso que se produjera tal situación, no está claro que la intervención del gobierno hiciera ninguna diferencia. Los proveedores de Internet ya estarían haciendo todo lo posible para contrarrestar el ataque. Además, no hay razón para creer que el gobierno tendría una ventaja comparativa en la comprensión de la situación frente a los propios ingenieros de Internet.

De cualquier modo, es probable que el gobierno de EE.UU. ya disponga de la autoridad para desconectar Internet. La Sección 706 de la Ley de Comunicaciones de 1934—añadida a la Ley poco después del ataque a Pearl Harbor en 1941—otorga al Presidente la facultad de cerrar "cualquier instalación o estación de comunicación por cable" o tomar el control federal de las instalaciones en caso de "estado de guerra" y hasta seis meses después de la expiración de ese estado. Aunque, evidentemente, el Congreso de la Guerra de 1941 no estaba pensando en Internet, hay algunos indicios de que el Departamento de Seguridad Nacional considera que esta disposición podría aplicarse. En junio de 2010, Seguridad Nacional citó la sección 706 como "una de las autoridades en las que el Presidente podría basarse si la nación se encontrara bajo un ataque cibernético".

Más allá de la legalidad o de la política de medidas drásticas, vale la pena preguntarse si una desconexión de Internet como la vista en Egipto y en otros lugares es posible en los Estados Unidos. La penetración de Internet en Egipto es de alrededor del 15 por ciento—un valor alto para África, pero bajo en comparación con el resto de Oriente Medio. La penetración en Libia es de alrededor del 5 por ciento. (La penetración de Internet en Birmania es de menos del 1 por ciento.)La desconexión de uno o dos proveedores de Internet tiene un efecto mucho mayor en estos pequeños mercados que en los EE.UU..

Es poco probable que el gobierno pudiera forzar la totalidad de los cientos de proveedores de Internet que operan en los EE.UU. a cerrar a la vez. Si el gobierno estuviera decidido a impedir el acceso a Internet, probablemente se centraría en los proveedores de Nivel 1, aquellos que proporcionan acceso a Internet a los otros proveedores y cuya interrupción tendría mayores consecuencias. Otra posibilidad sería desconectar los principales puntos de intercambio de Internet, o "hoteles portadores," que existen en todo el país. Y aún otras, consistiría en perseguir a los principales proveedores de servicios inalámbricos. Sin embargo, la probabilidad de un cierre total sigue siendo baja: en el momento en que se intentara aplicar tal medida, tendríamos sin duda alguna un montón de otros problemas que tratar con un gobierno tan controlador.

En conclusión, mientras que en el nuevo proyecto de ley no se incluye el llamado interruptor, de aprobarse establecería dos órganos federales para el desarrollo y asegurar el cumplimiento de las normas de seguridad para sistemas de infraestructuras críticas, y esclarecería el poder del gobierno en caso de una emergencia cibernética para tramitar órdenes obligatorias para los operadores privados de sistemas de infraestructuras críticas.

Además, éste otorgaría al Instituto Nacional de Estándares y Tecnología la capacidad, conjuntamente con el sector privado, para crear normas de seguridad, que luego se impondrían a las agencias federales y los operadores privados de sistemas de infraestructuras críticas. Esto introduce la posibilidad de ampliación de la misión.

Por otra parte, no se sabe cuáles serían esas normas. ¿Permitirían el rastreo profundo de paquetes, otros métodos de vigilancia, o puertas traseras? ¿Quién tendría la última palabra acerca de las normas y su aplicación y cumplimiento? ¿Posee el gobierno la experiencia necesaria para asumir esta tarea? Si no, ¿cómo obtendrán los organismos pertinentes la experiencia necesaria antes de desarrollar las normas?

En lo que a mejorar mejorar el entorno de la seguridad en línea se refiere, en este país todo el mundo tiene trabajo que hacer, incluido el gobierno federal. Mantenerse al día con los parches y actualizaciones, cambiar regularmente los nombres de usuario y contraseñas de los sistemas críticos, y elegir contraseñas complejas y únicas son sólo algunos de los hábitos para una buena seguridad que deberían ser generalizados, pero no lo son. Algunas partes de este proyecto de ley—como la sección 301, que permitiría la retención de las primas de los funcionarios superiores de las agencias que no estén al nivel—podrían ser buenos pasos hacia la implementación de un entorno habitual de seguridad funcional en el ámbito federal. Otras partes claramente requieren más consideración y debate.

Que el ámbito de seguridad de la información en este país y en todo el mundo requiere trabajo es algo evidente. Si éste es el proyecto de ley que se necesita, o incluso si el gobierno federal debería tener un papel en la regulación de la seguridad de la información del sector privado, no lo es tanto.


(*) Jonathan Zittrain es profesor de derecho e ingeniería informática en la Universidad de Harvard y cofundador de su Centro Berkman para Internet y la Sociedad; Molly Sauter es asistente de investigación en el Centro Berkman. Las actualizaciones aparecerán en www.jz.org

No hay comentarios:

Publicar un comentario