Me enteré por primera vez del término MEGO en una columna del gran erudito conservador, William Safire.1 En su Diccionario Político, Safire2 define este término como un acrónimo de la frase “mis ojos se ponen vidriosos (My Eyes Glaze Over)” y como “algo que, sin duda, es importante pero paralizantemente aburrido”.3 Hay pocos temas tan MEGO como las reuniones del G7, las cuales son las reuniones de los líderes de las democracias industrializadas del mundo. Sabes que ellas ocurren; sabes que son importantes. Pero, ¿puedes nombrar a los siete países que componen el G7,4 y peor aún, acordarte de los nombres de sus líderes?, ¿Tienes alguna idea de lo que hablan o hacen?
Con esta provocativa introducción, tus ojos probablemente comenzaron también a nublarse y ya tienes la mano en la esquina de la página, a punto de cambiarla. Por favor, permanece un rato más por una de las MEGO del G7 que deberías conocer. En mayo de 2016, los líderes del G7 se reunieron en la ciudad de Ise-Shima, Japón, y elaboraron un documento que tiene un significado real para todos nosotros a los que nos preocupa la seguridad cibernética.
La declaración de los líderes del G7 de Ise-Shima
El comunicado oficial de la reunión5 contiene un párrafo introductorio bajo el título de Cyber. Esta es esencialmente una declaración de principios y contiene la siguiente declaración: “Nosotros apoyamos firmemente un ciberespacio accesible, abierto, interoperable, seguro y confiable, como un aspectos esencial para el crecimiento económico y la prosperidad”. Al igual que muchos lectores de esta revista, he pasado toda mi carrera profesional tratando de construir sistemas de información accesibles, abiertos, interoperables, confiables y seguros, así que encontré particularmente gratificante este reconocimiento de parte de los líderes mundiales.
El hecho de que este tema se tratara en la agenda del G7,6 es el reconocimiento de que el ciberespacio no es seguro; es lo suficientemente inseguro como para que los intereses individuales y colectivos de estos países estén en peligro. Para poner esto en contexto, los otros temas que se abordaron en el mismo comunicado son: la economía mundial, la migración y los refugiados, el comercio, la infraestructura, la salud, las mujeres, la lucha contra la corrupción, el clima y la energía. La ciberseguridad, como una preocupación global, ha alcanzado un nivel realmente alto.
El comportamiento del estado
La sección ampliada del comunicado7 profundiza sobre este tema y contiene la siguiente frase:
“Nos comprometemos a promover un marco estratégico para la estabilidad cibernética internacional, el cual consiste en la aplicabilidad del derecho internacional existente para establecer el comportamiento en el ciberespacio, la promoción de normas voluntarias de un comportamiento estatal responsable en tiempos de paz, y el desarrollo y la implementación de medidas prácticas de fomento de la confianza cibernética entre los estados”.8
He destacado con letra cursiva la frase de la cita anterior porque ésta tiene una carga significativa. Esta clama por la promoción de “normas”, las cuales yo entiendo significan estándares. Me había quejado previamente de la falta de normas para la ciberseguridad,9 de manera que encontré esta llamada muy alentadora. Estas normas serán necesariamente “voluntarias” porque no existe ningún organismo internacional que las fuerce a cumplir. Pero, como en otras declaraciones supranacionales (por ejemplo, las directivas de la Unión Europea), está implícito que estas normas deben ser incorporadas en las leyes y reglamentos de las naciones que han suscrito este compromiso. La referencia a “un comportamiento estatal responsable” implica que aquellos países que están comprometidos con desarrollar ataques cibernéticos de estado a estado, están actuando de manera irresponsable. El calificativo “en tiempos de paz” no dice nada en cuanto a que los ataques cibernéticos sean acciones legítimas en tiempo de guerra.
Los líderes del G7 se limitaron a las acciones de los estados, a pesar de que son también parte los “actores no estatales, incluyendo los terroristas”. Es difícil imaginar que ISIS o Al Qaeda se vayan a impresionar por una declaración de los líderes responsables de las naciones industrializadas del mundo. Tal vez, y más bien importante, la inclusión de estos actores no estatales es una declaración de facto de la ciberguerra a los grupos e individuos terroristas. Para mí esto estaría bien, ya que los terroristas han declarado claramente una guerra cibernética en el mundo.
Más abierto a la interpretación es el efecto de este acuerdo en las naciones que no fueron invitadas a la reunión. Una investigación reciente,10 tan reciente como el año 2011, indica que ninguno de los países del G7, a excepción de los Estados Unidos, ha sido vista haber perpetrado ataques cibernéticos de estado a estado. No está claro, al menos para mí, si la declaración del G7 es un reproche directo a los países que se dedican a desarrollar ataques cibernéticos o, bien, es la aceptación de que al menos uno de los países del G7 ya se está llevando a cabo ataques contra otros estados que considera como adversario.
Principios del G7 y acciones sobre el ciberespacio
Acompañando al comunicado y referenciado en él, existe un anexo titulado “Principios del G7 y acciones sobre el ciberespacio”.11 Se trata de un documento breve, de apenas tres páginas punteadas con viñetas que, en su mayor parte, es una enumeración de objetivos de alto nivel, con poca o ninguna mención de cómo éstos podrían ser logrados. Estos principios incluyen:
- Acceso justo e igualitario al ciberespacio
- Respeto y promoción de la privacidad, la protección de datos y la ciberseguridad
- Un enfoque de múltiples partes interesadas para el gobierno de la Internet
- Promoción y protección de los derechos humanos y los principios de la norma jurídica en línea
Sin embargo, hay algunas pocas afirmaciones que podrían tener un impacto real si realmente los países del G7 se adhieren a ellas. La principal de ellas es la afirmación de que “las ciber actividades podrían llevarnos al uso de la fuerza o a un ataque armado, considerando el significado de la Carta de las Naciones Unidas y las leyes internacionales”. Hasta ahora, no ha habido incidentes en los cuales ataques cibernéticos hayan conducido a enfrentamientos, aunque es evidente que tales ataques ya han sido utilizados como parte de una guerra ya en marcha, específicamente la guerra entre Rusia y Georgia en el año 200812. El ex Secretario de Defensa estadounidense, Leon Panetta, ha advertido la posibilidad de un “Ciber Pearl Harbor”.13 La aceptación de esta preocupación por las otras seis naciones como un “casus belli” (acto de guerra) es, en mi entender, una condición necesaria, pero más bien alarmante, solo un paso.
Los principios contienen una declaración tan específica que su inclusión entre las otras declaraciones con menor sentido nos viene como un pequeño golpe: “También damos la bienvenida a enfoques proactivos tales como –Privacidad desde el Diseño-, que toma en cuenta la privacidad y la protección de los datos personales durante todo el proceso de ingeniería”. El término “Privacidad desde el Diseño” se originó en la década de 1990 por parte de Ann Cavoukian, quien había sido la Comisionada de Ontario para la Información y su Privacidad.14 Desde entonces, se ha convertido en un estándar global de privacidad, ampliamente aceptado, que ciertamente se reafirma con la mención por parte del G7.
Los siete líderes nacionales comprometieron a sus países a la cooperación entre los equipos nacionales de respuesta ante incidentes de seguridad informática. (Bueno, en realidad ellos no están comprometidos. Ellos prometieron hacer el “esfuerzo”). Estos equipos, más conocido como CERT nacionales, tales como CERT-FR, US-CERT y el CERT en el Reino Unido, son repositorios de información sobre los ataques cibernéticos y son proveedores de ayuda en sus respectivas naciones para aquellas personas que hayan sido atacadas. La cooperación internacional para la seguridad cibernética no es nueva, pero lo nuevo es el reconocimiento de la necesidad de que las naciones trabajen juntas para combatir los ataques cibernéticos, todo ello liderado por sus jefaturas de gobierno. Desde el momento que no hay una sola empresa que pueda resolver por sí sola el problema de la seguridad informática (lo que sea que signifique “resolver” en este contexto), el G7 está diciendo que tampoco ningún país puede hacerlo por sí solo.
Los pronunciamientos del G7 sobre ciberseguridad no han sido ampliamente difundidos, tal vez porque también muchos editores tienen los ojos vidriosos. Estos pronunciamientos no son un tratado; no tienen fuerza de ley; y también muy pocos países estuvieron de acuerdo con ellos. Pero estos pronunciamientos constituyen una importante afirmación que el tema de la ciberseguridad ha alcanzado un nivel de preocupación tal que los presidentes y primeros ministros deban abordarlo. Nosotros, los profesionales de la seguridad que estamos haciendo el trabajo de construir protecciones adecuadas contra los ataques cibernéticos, podemos tener algún consuelo al saber que nuestros esfuerzos no van a quedar sin reconocimiento por parte de los líderes del mundo.
Notas finales
1 Safire, W.; “MEGO,” The New York Times, 6 September 1973, www.nytimes.com/1973/09/06/archives/mego-essay.html?_r=0
2 Safire, W.; Safire’s Political Dictionary, Oxford University Press, UK, 2008
3 Ibid., p. 423
4 Canada, France, Germany, Italy, Japan, the United States and the United Kingdom
5 G7 2016 Ise-Shima Summit, “G7 Ise-Shima Leaders’ Declaration,” 26-27 May 2016, www.mofa.go.jp/files/000160266.pdf
6 Full disclosure: My colleague at Risk Masters International, Allan Cytryn, is also an executive board member of the Boston Global Forum, which contributed to the agenda for the Cyber portion of the Ise-Shima meeting, http://bostonglobalforum.org/2016/05/the-bgf-g7-summit-initiative-ise-shima-norms/.
7 Op cit, G7 2016 Ise-Shima Summit
8 Ibid.
9 Ross, S.; “Frameworkers of the World, Unite, Part 2,” ISACA Journal, vol. 3, 2015, www.isaca.org/resources/isaca-journal/issues
10 Valeriano, B.; R. C. Maness; “The Dynamics of Cyber Conflict Between Rival Antagonists, 2001–11,” Journal of Peace Research, vol. 51, iss. 3, 2014, p. 347-360
11 G7 2016 Ise-Shima Summit, “G7 Principles and Actions on Cyber,” 26-27 May 2016
12 Markoff, J.; “Before the Gunfire, Cyberattacks,” The New York Times, 12 August 2008, www.nytimes.com/2008/08/13/technology/13cyber.html
13 Department of Defense, “Remarks by Secretary Panetta on Cybersecurity to the Business Executives for National Security, New York City,” USA, 11 October 2012, http://archive.defense.gov/transcripts/transcript.aspx?transcriptid=5136
14 Cavoukian, A.; “Privacy by Design: The 7 Foundational Principles,” Information and Privacy Commissioner of Ontario, August 2009 (revised in January 2011), https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf
Steven J. Ross, CISA, CISSP, MBCP
Es director ejecutivo de Risk Masters International LLC. Desde el año 1998 Ross ha estado escribiendo en una de las columnas más populares de esta revista. Ross puede ser contactado en la dirección stross@riskmastersintl.com.