Discuten la gravedad del hackeo de datos de agencia estadounidense

WASHINGTON — El 15 de abril de 2015, autoridades de la Oficina de Administración de Personal se dieron cuenta de que habían sido hackeados y los registros de 4,2 millones de empleados y ex empleados, fueron robados. Investigaciones posteriores de OPM determinaron a principios de junio que el número de afectados era de 21,5 millones, para los que la información sensible, incluyendo números de Seguro Social (SSN), fue robada de las bases de datos de investigación de antecedentes.

Esta fue la mayor violación de datos al gobierno en la historia de Estados Unidos. Informes señalan a China como la fuente de la violación, pero la Administración no ha acusado formalmente a China.

El 19 de agosto, el Consejo del Atlántico celebró un debate sobre la mejor manera de responder a los ataques cibernéticos, especialmente a la violación de los datos de la OPM, pero también a otros hackeos a bases de datos del gobierno. Lo último incluye el descubrimiento del 25 de julio de que la red de correo electrónico no clasificado de Jefes de Estado Mayor, había sido asaltada y fueron afectados 4.000 efectivos militares y civiles. Se cree que aquí es Rusia el culpable, pero de nuevo el gobierno de Estados Unidos se abstuvo de acusar a alguien. Sin lugar a dudas, sucederán más ataques cibernéticos.

¿Debería el gobierno de Estados Unidos tomar represalias de alguna manera? En vista a las revelaciones de Snowden sobre las actividades propias de vigilancia de Estados Unidos, ¿está EE.UU. en posición para invocar normas que restrinjan otras naciones?.

Modelo Guerra Fría

Los expertos en el encuentro expresaron opiniones divergentes sobre la gravedad de la violación de datos de OPM. Catalina Lotrionte, directora del Instituto de Derecho, Ciencia y Seguridad Global de la Universidad de Georgetown, dijo que la respuesta de EE.UU. era inadecuada. La violación a OPM fue «altamente significativa», destacó.

«No creo que el gobierno de EE.UU. en realidad haya declarado una posición», explicó con desaprobación. «Por lo tanto, no será de extrañar que este comportamiento continúe».

Según Lotrionte, nuestra carencia de una protesta formal a China, señala nuestra aceptación de la conducta que cae bajo el «arte de gobernar tradicional con respecto al espionaje». Esta reacción no habría sido aceptable durante la Guerra Fría, agregó.

Lotrionte se refirió varias veces a la forma en que el Reino Unido manejó el espionaje generalizado de diplomáticos de la Unión Soviética en 1971, como modelo para el arte de gobernar. En términos de escala y alcance, la expulsión de 90 diplomáticos soviéticos y no permitir el regreso de alrededor de 15 más, según Lotrionte, no tenía precedentes. Los británicos estaban hartos de tantos espías soviéticos y sus servicios de inteligencia no podía supervisarlos a todos. Ella dijo que no hubo una negociación de reducción de diplomáticos con la URSS en esta expulsión, la que a menudo se hace. Lotrionte estuvo firme en que EE.UU. necesitaba una respuesta más fuerte al ataque a OPM, basado en la magnitud de datos robados.

«En la Guerra Fría, se trataba de escala y de alcance por lo que realmente pusimos líneas rojas», dijo. Se adhirieron a ciertas normas que previnieron que la situación se agravara o que se fuera a la guerra. Lotrionte señaló que no hubo actos de represalia en contra de Londres por la expulsión, porque los británicos se prepararon y privadamente dejaron claro a URSS lo que harían.

Jason Healey, miembro experimentado de la Iniciativa Statecraft Cibernética del Consejo del Atlántico, dijo que durante los últimos años de la Guerra Fría surgió un entendimiento acerca de lo que es aceptable y lo que va demasiado lejos en el espionaje. Por ejemplo, «Nosotros nunca mataríamos a un ruso [espía] y ellos nunca matarían a un espía estadounidense», dijo.

Lotrionte comentó que en cada caso de espionaje que va demasiado lejos, tenemos que encontrar su «punto débil», ya se trate de congelación de activos, la expulsión de personas, o restringir viajes. Si queda inobjetable, el adversario construye un precedente de que lo que hizo fue aceptable.

Lotrionte es eminentemente calificada en este tema. En Georgetown, la catedrática Lotrionte enseña ley de seguridad nacional, ley estadounidense de inteligencia y derecho internacional. Desde 2002 hasta 2006, fue consejera de la Junta Asesora de Inteligencia Exterior en la Casa Blanca, nombrada por el general Brent Scowcroft.

Modelo Post-Snowden

Robert Knake, alto miembro del Consejo de Relaciones Exteriores, y co-autor del libro «Ciberguerra: la nueva amenaza a la seguridad nacional y qué hacer al respecto» (con Richard Clarke, ex presidente del Grupo de Seguridad Antiterrorista de Estados Unidos), tenía una mirada totalmente diferente acerca de la violación de los datos de la OPM. Él dijo que había una buena razón de por qué la Administración no ha señalado la violación de datos a la OPM.

Knake señaló  «De todos los crímenes que China ha cometido en el ciberespacio, este es el que menos me preocupa», y enumeró muchas violaciones por parte de China, como aquellas en contra de Google e Intel y en contra de las libertades civiles que eran más merecedoras de represalias.

Knake agregó: «No se tiene esos límites tradicionales de espionaje que hubo durante la Guerra Fría. En aquel entonces había un límite en la cantidad de información que podía ser robada. Hoy en día, usted puede robar gigabytes de información de la Biblioteca del Congreso en Internet”, comentó. “Incluso Robert Hanssen, uno de los peores casos de espías en la historia de estadounidense, tal vez le dio a los rusos un par de megabytes si los documentos que robó se imprimieran, sin duda un mundo diferente de lo que vivimos ahora».

Knake: «Tenemos que pensar sobre qué límites queremos poner en el espionaje del ciberespacio, en contexto con lo que queremos poner sobre nosotros mismos».

Debido a las revelaciones de Edward Snowden, todo el mundo sabe que estamos inmersos en nuestro propio amplio programa de vigilancia. Sin embargo, hemos logrado que ninguno de nuestros embajadores sea expulsado de un país extranjero, o que la presidenta alemana Angela Merkel, o que cualquier persona declare nuestra intervención de su teléfono celular como un acto de guerra, declaró Knake, quien también escribió el informe especial, «Gobernanza de Internet en una era de Cyber inseguridad» del Consejo de Asuntos Exteriores.

En este momento, según Knake, el panorama de la comunidad de inteligencia es que no está en nuestro interés hacer un problema de los ataques cibernéticos, como lo que le pasó a la OPM.

«De cierta manera el cálculo que hemos hecho es que ‘somos mejores en esto que todos los demás; en esto estamos obteniendo más que ellos’. Las ganancias relativas para nosotros, son superiores a las pérdidas relativas», afirmó.

Si la Orden Ejecutiva (OE) que el presidente Obama emitió el 1 de abril es una indicación de la participación de la comunidad de inteligencia, esto último parece estar de acuerdo con Knake. La OE establece líneas rojas que Estados Unidos no va a tolerar que se crucen, en caso contrario se activarán sanciones económicas. Esta menciona ciber ataques destructivos en el área de infraestructura crítica, robo de propiedad intelectual y robo de información de identificación de personal utilizado para su beneficio individual. Parecería que robar simplemente datos a OPM -espionaje simple- no está, por ahora, en la categoría de la línea roja.

En enero, cuando el presidente Obama acusó a Corea del Norte de haber ordenado el ataque contra Sony Pictures, que se produjo en noviembre de 2014, según el New York Times era la primera vez que Estados Unidos acusaba explícitamente a otro gobierno del montaje de un ciber ataque contra objetivos estadounidenses. 60 Minutos de CBS declaró que “Los atacantes destruyeron más de 3.000 computadores y 800 servidores después de robarse montañas de secretos comerciales, varias películas inéditas, guiones sin terminar y registros personales de 6.000 empleados».

‘Descontrolado’ ciber espionaje chino

Knake contrastó los enfoques al espionaje de EE.UU. y de China. Según la recopilación de inteligencia de Estados Unidos, como vestigio de la Guerra Fría, es fundamental que nuestros espías no quieran o esperen quedar atrapados. Nuestra espionaje es «fino», «específico», y «no iría tras grandes bases de datos, [como lo que los chinos supuestamente hicieron con OPM], porque probablemente nos pillarían tomando gigabytes de información». Él dijo que China no suscribe a este pensamiento de la Guerra Fría y que en gran medida es indiferente si se ve atrapado. Así, dijo que los chinos piensan “¿Por qué no tomar toda la información que nos sea posible?”.

El problema para ellos es que sabemos qué nos sacaron, por lo que su valor representa mucho menos. Además, la publicidad de espionaje masivo de China se convierte en un juego político en el que cada candidato a la presidencia lo convocará, y esto podría tener repercusiones negativas para China cuando una nueva administración se haga cargo en 2017.

La mirada de Knake fue apoyada por Healey, quien fue director de política cibernética en la Casa Blanca entre 2003 y 2005. Él remarcó «Si tuvieras chinos [espiando], tendrías tres, cuatro, cinco o seis grupos diferentes, todos haciendo diferente cosas al mismo tiempo». Eso daba la sensación de que era caótico.

«Es posible que no le guste lo que supo de las revelaciones de Snowden, pero esas recopilaciones estaban operando bajo un requisito revisado por la Casa Blanca sobre lo que iban a recopilar. No estamos viendo ese tipo de desempeño en la parte china», señaló Healey.

Knake menosprecia el valor de la inteligencia que los chinos obtuvieron de la brecha de OPM, no sólo por el hecho de que sabemos lo que consiguieron. «Todo en [la violación de datos] de OPM, es acerca de valor secundario para crear más valor de inteligencia, para crear oportunidades de focalización a través de contra inteligencia». Lo encuentra «ridículo» y «descabellado» creer que la CIA se basaría en la OPM, una agencia de seguridad no nacional, para proteger a quienes son nuestros espías y que los chinos podrían determinar quiénes son nuestros agentes de la CIA que operan en China.

Lotrionte respondió que es preocupante el volumen total de la violación a OPM. «Siempre ha sido importante la balanza en el mundo de la inteligencia. El día que se recopila, en realidad no se puede saber cómo se está usando. Pero hay un valor significativo en obtener esa información. … Ya sabes [la gente que] tienen autorizaciones. Agencias de inteligencia extranjeras están ahora en riesgo de posibles personas para reclutar [porque sus autorizaciones están en peligro]. Y también los extranjeros [están en riesgo porque la inteligencia china sabe que] han hablado con ese oficial estadounidense de la CIA».