Cuando la gente escucha el término “guerra cibernética”, hay algunas cosas que le vienen a la mente. Las cosas que las personas visualizan tienden a ser escenarios de alto impacto, “te asustan hasta sacarte los pantalones” como los que uno podría leer en una novela de suspenso o ver en la televisión. Por ejemplo, una nación rival interrumpe la red eléctrica de un país, ocasionando accidentes industriales a propósito para causar daños, interrumpiendo las comunicaciones, interfiriendo con los servicios públicos (por ejemplo, abriendo las represas para causar inundaciones) y así sucesivamente.
Estas son, por supuesto, cosas muy reales que podrían suceder. De hecho, han ocurrido en la práctica real. Se cree que Stuxnet, por ejemplo, es un arma cibernética creada con el propósito específico de interrumpir el programa nuclear Iraní. Otro ejemplo es el brote (no) de Petya que causó tanta perturbación en Ucrania. Existe una amplia teoría de que este ataque fue una campaña de guerra cibernética diseñada para ese propósito específico. Dado que las naciones son muy reservadas acerca de sus capacidades ofensivas de seguridad cibernética, es poco probable que haya alguna prueba irrefutable de que ninguno de esos ejemplos fue, de hecho, guerra cibernética, pero la Occam Razor1 tiende a llevar a la conclusión de que probablemente lo fueron.
A pesar de las imágenes que el término “guerra cibernética” tiende a invocar, sin embargo, hay técnicas que, si bien son igualmente perturbadoras a largo plazo como los ejemplos anteriores, funcionan con más sutileza y son mucho menos visibles para aquellos a quienes impactan. Por ejemplo, considere la posibilidad de ataques sistemáticos y dirigidos contra el proceso democrático, en particular, subvirtiendo o influyendo en un resultado electoral específico.
Ahora, en algunos lugares, este es un tema cargado. Por ejemplo, actualmente hay discusiones en curso en el ámbito político de los Estados Unidos sobre si esto fue o no un factor en las más recientes elecciones presidenciales en los Estados. A pesar de eso, sin embargo, la mayoría puede estar de acuerdo en que tener un resultado seguro, preciso y confiable de una elección es importante para cualquier democracia. Y, independientemente de dónde uno se encuentre en cualquier ejemplo dado de manipulación electoral, la mayoría puede estar de acuerdo en que lo que está en juego es suficiente para justificar una discusión sincera sobre la posibilidad mientras que las elecciones se automaticen y la tecnología se utilice con más frecuencia para apoyarlas directamente.
Estado de la comunidad: seguridad electoral
Teniendo esto en cuenta, ISACA, como parte de una investigación más amplia sobre gobiernos seguros (en particular, ciudades inteligentes), encuestó a sus miembros sobre su confianza en los gobiernos para garantizar la precisión, confiabilidad y seguridad en el proceso electoral. Los encuestados fueron variados en todas las disciplinas, incluidas las de los ámbitos de auditoría, seguridad, riesgo, gobernanza y cumplimiento.
Lo único que tienen en común: todos comparten el compromiso de “confiar en la información y los sistemas de información”. ¿Quién mejor para preguntar?
Las preguntas específicas formuladas fueron en abstracto, sin atención o foco en una región específica, elección individual o conjunto de elecciones. Se hicieron dos preguntas, relacionadas con:
- Si los profesionales tenían confianza en la capacidad de los gobiernos para garantizar resultados seguros, confiables y precisos del proceso electoral
- El nivel de gobierno que debe tener responsabilidad para garantizar la seguridad, precisión y confiabilidad del proceso electoral
Se encuestó a aproximadamente 2,000 personas (1,954, para ser exactos) y lo que dijeron fue sorprendente. En primer lugar, la abrumadora mayoría de los encuestados no confía en la capacidad del gobierno para garantizar la seguridad del proceso electoral (figura 1). Ochenta y cuatro por ciento estaban al menos algo preocupados por la capacidad del sector público (es decir, el gobierno) para llevar a cabo elecciones seguras, confiables y precisas.
También se preguntó a los encuestados sobre quién debería ser el responsable de garantizar la seguridad del proceso electoral en el gobierno. A los encuestados se les pidió que seleccionaran las áreas del gobierno donde recaía la responsabilidad de asegurar el proceso de elección; se permitieron múltiples selecciones (como se puede imaginar que varios niveles de gobierno desempeñan un papel aquí) (figura 2). Los resultados aquí fueron más divididos, con la mayoría (71 por ciento) creyendo que el gobierno nacional debería ser responsable. Se consideró que el gobierno estatal (51 por ciento), el condado (40 por ciento), la ciudad (41 por ciento) y el regional (23 por ciento) desempeñaban un papel, pero por un factor mucho menor (20 puntos porcentuales). Además, el 14 por ciento de los encuestados también vio instituciones no gubernamentales (por ejemplo, los medios o la empresa privada) teniendo una responsabilidad también.
Trascendencia
Dado el impacto que las elecciones tienen para cualquier nación democrática, la importancia que los miembros asignan a garantizar que los resultados sean justos y confiables quizás no sea sorprendente. Del mismo modo, dado que los resultados electorales son de importancia nacional, los lectores tampoco deberían sorprenderse de que la mayoría considere que el gobierno nacional es la entidad más responsable para garantizarlo. Dicho esto, el hecho de que estos resultados sean lo que son tiene algunas implicaciones para la industria y, tal vez, para la sociedad en general.
En primer lugar, esto debería servir como un área de oportunidad y una advertencia potencial, tanto para el gobierno como para la industria. Específicamente, es un hecho que las elecciones son cada vez más automatizadas, con niveles crecientes de apoyo de la tecnología. Es importante que se creen sistemas que puedan reforzar la confianza en los resultados de las elecciones que apoyan. Es por eso por lo que es un área de oportunidad, pero también una preocupación. Por un lado, los sistemas automáticos diseñados y reforzados adecuadamente pueden ayudar a apuntalar la confianza en un proceso de elección seguro y confiable, al tiempo que aumenta la conveniencia de los votantes al mismo tiempo. Por el contrario, cuando esos sistemas dejan algo que desear desde el punto de vista de la seguridad, puede ocurrir lo contrario. Además, para jurisdicciones donde el gobierno nacional tiene un papel mínimo en la seguridad del proceso electoral, por ejemplo, en los Estados Unidos donde el estado y el gobierno local tienen la supervisión más directa: el hecho de que los ciudadanos ven al gobierno nacional como la entidad que debería desempeñar el papel más activo es un problema y un tema de reflexión para los responsables políticos.
Notas finales
1 Gibbs, P.; “What Is Occam’s Razor?” Physics FAQ, University of California, Riverside, USA, 1996, www.math.ucr.edu/home/baez/physics/General/occam.html
Ed Moyle
Es socio fundador de la firma analista Security Curve. Antes de eso, Moyle era director de liderazgo de pensamiento e investigación en ISACA. En sus casi 20 años en seguridad de la información, ha ocupado numerosos cargos, incluido el de estratega senior de Savvis, gerente sénior de la práctica de seguridad global de CTG, vicepresidente y responsable de seguridad de la información de Merrill Lynch Investment Managers. Moyle es coautor de Bibliotecas criptográficas para desarrolladores y colaborador habitual de la industria de la seguridad de la información como autor, orador público y analista.