La voluntad de los competidores de utilizar operaciones cibernéticas para generar efectos estratégicos está dictada por cuatro factores institucionales:
- Conectividad: Los competidores están motivados por el grado de conectividad que existe para vincularlos con los adversarios. Dada la ubicuidad actual de los sistemas cibernéticos y ciberfísicos, este factor es constantemente alto.
- Vulnerabilidad: Los competidores están motivados por la vulnerabilidad percibida de un adversario.
- Organización: Los competidores actúan basándose en evaluaciones de la organización del adversario, que es esencialmente una capacidad para adaptarse a un patrón de comportamiento de amenaza determinado.
- Discreción: Los competidores están motivados por el potencial de discreción en su intento de generar efectos estratégicos.
En conjunto, estos factores explican el cambio estratégico hacia una intrusión de amplio alcance en la infraestructura crítica por parte de la República Popular China. Las infraestructuras críticas occidentales son aparatos densamente interconectados. Desafortunadamente, también son excepcionalmente vulnerables a la intrusión externa debido en gran parte a la fragmentación de los esfuerzos de seguridad que provienen de la propiedad privada diversa frente a regulaciones nacionales (en su mayoría) limitadas. Esta misma fragmentación, junto con las expectativas democráticas de estar libres de la supervisión gubernamental, hacen que la tarea de defensa de la infraestructura crítica por parte del sector público sea increíblemente desafiante. Esta dinámica crea una inmensa oportunidad para una intrusión clandestina a gran escala para un agresor comprometido y bien coordinado.
Manzanas y naranjas cibernéticas: cómo deberían reaccionar las partes interesadas globales ante las amenazas a las infraestructuras críticas
Estos factores también ayudan a los equipos de seguridad y a los planificadores estratégicos a abordar los desafíos divergentes de combatir las amenazas cibernéticas extranjeras maliciosas a la infraestructura crítica. La amenaza que plantean las recientes actividades iraníes es de naturaleza diferente a la que plantean el gobierno chino, sus agentes y apoderados. Como yo y otros lo hemos hecho abordado recientemente, la lógica de crisis de las operaciones cibernéticas debería obligar a los equipos de seguridad a prestar atención a sus vulnerabilidades situacionales únicas. Para los operadores de infraestructura crítica, ayuda que el valor episódico de la disrupción cibernética se relacione directamente con la criticidad de los sistemas, ya que las evaluaciones de riesgos convencionales están en una buena posición para capturar esa potencialidad.
La capacidad cibernética china de infligir efectos generalizados y en cascada en la sociedad occidental es un desafío mucho más difícil de superar, incluso si la intención de China es inhibir las opciones políticas de Estados Unidos y sus socios. La probabilidad de que la capacidad disuasoria sea el objetivo del acceso generalizado sugiere un objetivo estratégico obvio para las partes interesadas en la seguridad en Estados Unidos, Europa y más allá: limitar el atractivo de dicha actividad de intrusión para los adversarios extranjeros y reducir el acceso existente. Los factores aquí descritos pueden actuar como guía para lograrlo.
Para frenar eficazmente a los adversarios extranjeros sería necesario limitar la conectividad a la infraestructura crítica, lo que sólo es posible de forma incremental (mediante espacios de aire, etc.). Sin embargo, una mayor conciencia de las intenciones malignas debería amortiguar la sofisticación de la actividad de intrusión, y la institucionalización de la preparación de la infraestructura crítica y los fundamentos de mitigación deberían mitigar la gravedad de la amenaza. Desde esta perspectiva, el impulso de Wray para crear conciencia sobre la amenaza de la República Popular China es sabio, al igual que el intento de Canadá de aprobar una regulación más estricta de las prácticas de seguridad de los operadores de infraestructura crítica. Uno limita las condiciones discrecionales que los chinos necesitan para construir esta capacidad; el otro se construye hacia un aparato interinstitucional que es intrínsecamente más adaptativo, lo que debería reducir el valor de la capacidad.
Las partes interesadas en Estados Unidos y otros lugares deberían redoblar sus esfuerzos que se ajusten a estos parámetros. Desde una desclasificación más consistente de los detalles de los ataques a infraestructuras críticas hasta la publicación de los resultados del desempeño de seguridad de los operadores de infraestructuras críticas, las partes interesadas del sector público pueden limitar las condiciones bajo las cuales la actividad extranjera puede encontrar valor estratégico. Los operadores privados deberían aprovechar la evaluación colaborativa de amenazas y las oportunidades de intercambio de datos, particularmente cuando existen regímenes regulatorios de «no intervención» para motivar la participación del gobierno en condiciones de responsabilidad limitada.
Quizás el paso más significativo que las sociedades occidentales podrían dar es fomentar una mayor conciencia de las realidades estratégicas del compromiso cibernético de nuestras infraestructuras críticas. Así como las ideas de disuasión y destrucción mutua asegurada (MAD) se introdujeron a la población en general como método para fomentar el discurso pragmático, también es necesario comunicar el contexto de las amenazas a la IC a poblaciones más amplias. No todas las amenazas de CI son iguales, y aquellas que plantean el mayor peligro para los intereses nacionales son también aquellas que la coordinación comunitaria y el entendimiento común pueden ayudar más a resolver.