Esta es la primera edición de nuestro análisis de políticas y observaciones en materia de tendencias sobre la regulación del ciberespacio y la ciberseguridad dentro del Boletín de seguridad de Kaspersky.
Hasta ahora, el año fue muy complejo: la tensión en las relaciones internacionales fue en aumento, lo que afectó tanto el ciberespacio como la ciberseguridad. Más allá de esto, compartimos a continuación nuestras observaciones clave en cuanto a las tendencias que creemos que fueron las más importantes este año y cuentan con el potencial de dar influir en el futuro del ciberespacio el año próximo.
N.° 1. De la fragmentación a la polarización: los gobiernos y las comunidades de múltiples actores están aún más divididos y se conformaron grupos sobre la base de sus puntos en común
La fragmentación del ciberespacio, y en particular de Internet, que observamos y discutimos (también conocida como “ciberbalcanización” o la balcanización de Internet) está tomando una nueva forma. En el pasado señalamos los primeros signos de divergencia en las perspectivas gubernamentales de cómo deben ser regulados el ciberespacio y la ciberseguridad. Aun cuando es escasa la cantidad de gobiernos que ingresan a este terreno, los pocos que sí lograron establecer leyes iniciales con efectos extraterritoriales (como Reglamento General de Protección de Datos [GDPR] de la UE, que establece requisitos extraterritoriales para varias organizaciones fuera de la UE) produjeron un impacto más grande fuera de sus fronteras nacionales.
Sin embargo, en el año 2022 la fragmentación se reformó: todavía existe, pero solo entre las alianzas emergentes de mentalidades afines, lo que incluye no solo a gobiernos así también a agentes no gubernamentales. La guerra en Ucrania profundizó aún más la polarización entre los diferentes grupos de estados y comunidades. El mayor desafío surge cuando la comunidad de la seguridad de TI, cuyos integrantes tradicionalmente permanecen unidos y deberían cumplir el rol de “bomberos neutrales” en el ciberespacio, también se divide en grupos cerrados y separados. Por ejemplo, el Foro Global de Respuesta a Incidentes y Equipos de Seguridad (FIRST) suspendió a todas las organizaciones miembro con orígenes en Rusia o Bielorrusia, lo que debilita el principio básico de confianza en la ciberseguridad. Tal decisión también evita el futuro intercambio de información de amenazas entre aquellos que están a cargo de responder a los incidentes cibernéticos. Sería natural que estos acontecimientos hayan sido disparadores para debatir la creación de comunidades alternativas propias entre quienes quedaron fuera.
La creciente polarización del ciberespacio supone un riesgo de seguridad para muchos de nosotros, dada la naturaleza sin fronteras de las amenazas e incidentes a la que nos enfrentamos. Aun cuando la intención inicial de los actores de la amenaza es la de apuntar a organizaciones particulares, puede desbordar al punto de afectar a muchos otros actores de las cadenas de suministro de TIC, mucho más allá del objetivo inicial (como ya ocurrió, por ejemplo, con WannaCry). ¿Serán capaces de cooperar e intercambiar información sobre amenazas las organizaciones de diferentes jurisdicciones? ¿Será posible que cooperen más allá de las fronteras para responder a los incidentes? Algunas podrán, pero, en general, son cada vez más las barreras que se erigen frente a esto, lo que genera riesgos de seguridad.
N.° 2. La localización de la tecnología y la “soberanía digital” ya no se tratan exclusivamente de los datos
La globalización todavía nos acompaña en 2022, pero es cada vez menos popular. Hay una tendencia hacia la compra de producción local o nacional, ya que puede ser más segura. Desafortunadamente, tanto el ciberespacio como el sector tecnológico se convirtieron ya en un escenario de competencia económica y geoestratégica entre estados, mientras que los conceptos a lo que se le aplican definiciones vagas (quizás de manera intencional) de “soberanía digital”, “soberanía de datos”, “autonomía estratégica” y demás se discuten más en diferentes comunidades, desde los responsables políticos hasta los medios de comunicación. Si bien esto se percibió en un principio como un intento por parte de los gobiernos de regular y proteger la información (después de que aparezcan las primeras leyes de localización de datos), las áreas afectadas actualmente son muchas más, entre las que se incluyen la fabricación de microchips y otro tipo de hardware y el desarrollo de software. En algunos sectores críticos dentro de jurisdicciones maduras en cuanto a lo cibernético, esto ya existía: para la adquisición, se prefieren mayormente las empresas nacionales. Pero, ¿puede esto expandirse hacia el mercado consumidor?
Si es el caso, en un contexto global, la aplicación generalizada, en particular de las reglas de localización de datos, posiblemente genere obstáculos para la ciberseguridad (p. ej., para una información sobre amenazas mejor y más efectiva que permita combatir las ciberamenazas). Con menos visibilidad en el panorama de las ciberamenazas, hay menos posibilidades de desarrollar herramientas efectivas y eficientes o de producir información sobre amenazas de alta calidad. Estos riesgos aumentan si más países imponen reglas de localización de datos a sus mercados.
Por ende, surgiría un dilema en que los intentos de proveer más ciberseguridad a través del robustecimiento de la seguridad de la información podrían en realidad debilitarla (debido a una menor visibilidad e información sobre amenazas). La solución podría residir en el desarrollo de enfoques de regulación inteligentes, así como también en la definición de criterios claros de seguridad para los proveedores, que sean lo suficientemente confiables como para procesar información relacionada con las ciberamenazas.
N.° 3. ¿Todavía existen la diplomacia y la ciberseguridad internacional? Si es así, quedaron en segundo plano este año
Kaspersky estuvo involucrado activamente en varias iniciativas de múltiples actores para avanzar en el tema de la ciberdiplomacia, entre ellos a nivel de la ONU y a nivel regional. Desde lo subjetivo, el año 2022 es un año en el que las discusiones sobre ciberdiplomacia y ciberseguridad internacional se volvieron menos extensas y menos profundas. ¿Qué significa esto? La guerra en Ucrania y las tensiones constantes que tuvo como resultado en las relaciones internaciones pusieron en agenda problemas en cuanto a la seguridad en su sentido convencional, en la que el plano cibernético es solo uno de sus aspectos. Lo que sucederá es difícil de predecir, pero si continúan las acciones militares, es muy posible que la ciberdiplomacia permanezca en un segundo plano. Sin embargo, debemos esperar que no desaparezca por completo.
N.° 4. Una guerra cibernética total no ocurrió todavía y esa es una buena noticia; sin embargo, aparentemente nos enfrentamos a un desafío aún más complejo: las operaciones híbridas
“El fin del mundo cibernético” no ocurrió. Aunque muchos expertos lo predijeron, no se hizo realidad en la actual guerra en Ucrania. Estas, por supuesto, son buenas noticias. Pero, al mismo tiempo y desafortunadamente, los eventos desencadenados nos demostraron que las armas cibernéticas están siendo utilizadas en el conflicto para crear una guerra híbrida en la que las acciones tienen lugar tanto en el plano digital (incluyendo operaciones de manipulación de datos y desinformación) como en el terreno. El desafío es que la comunidad internacional no desarrolló respuestas claras para lidiar con esto y es muy probable que cualquier solución tecnológica o técnica sea insuficiente.
N.° 5. Responsabilidad de los productos digitales: una nueva área para los esfuerzos de reglamentación futuros
Todavía no existe una etiqueta para la seguridad en el software. Y cuando es posible que una vulnerabilidad genere un riesgo de seguridad, es posible que los usuarios se pregunten a quién acudir ante problemas de responsabilidad. Hasta ahora, existen diferentes enfoques legislativos verticales que brindan soluciones a los consumidores: por ejemplo, las leyes de protección de datos personales para casos donde la información personal se haya visto afectada. Los sectores financiero y bancario también están bien reglamentados. ¿Pero qué pasaría si un producto masivo de edición fotográfica fuese explotado por stalkerware? ¿Debería hacerse responsable el desarrollador? Algunas jurisdicciones aparentan tener la respuesta. La UE, como organismo normativo, se posicionó entre los primeros en proponer un proyecto legislativo innovador titulado Ley de Ciberresiliencia, que propone multas tan altas como aquellas que se determinan en el GDPR. Y en los Estados Unidos ya se hicieron los primeros intentos de definir un criterio de base para el etiquetado del software para el consumidor, como se discute en otro artículo del blog. Lo más probable es que a partir del próximo año y en adelante, otros gobiernos consideren una buena idea la regulación de la responsabilidad del desarrollo de software resultante de los diferentes enfoques llevados a delante entre estados.
Tendencias de políticas: ¿en qué punto nos encontramos respecto a la regulación del ciberespacio?