El hackeo de Sony demuestra lo ilegal que es Internet en realidad

Si el de Walt Disney Guardianes de la galaxia demostró ser el mayor éxito sorpresa de Hollywood este año, y luego dio crédito a Sony» Guardianes de la paz» con la producción del mayor truco sorpresa de Tinseltown. Es como sacado de una película: personajes importantes, estrellas de primera categoría, misterio, farsa, intriga internacional, venganza y efectos especiales generados por ordenador diseñados para cautivar al público mundial. No hay negocio como el mundo del espectáculo.

Si y cómo hackea «Guardianes» de Sony está relacionado con Corea del Norte sigue siendo una pregunta abierta. Y ahora Sony se enfrenta a un nueva amenaza alarmante de la violencia contra los cines que mostrar su película La entrevista, que está en el centro de esta situación. (A modo de actualización, Sony desde entonces ha decidido cancelar su publicación de la película y ahora se dice que los funcionarios estadounidenses son vincular a Corea del Norte con el hackeo.) Pero lo que nadie duda es de que las ciberdefensas de Sony han sido violadas en la moda más humillante. Las redes de la empresa se han corrompido y su correspondencia más íntima ha quedado expuesta. Esa imagen de la «mocosa mimada» Angelina Jolie, Amy Pascal, ejecutiva de Sony Pictures, está destinada a ser un clásico de los paparazzi.

Sin embargo, dejando de lado Schadenfreude, la violación de Sony es importante no por la exposición de las vulnerabilidades técnicas y la revelación de secretos, sino por los desafíos operativos lo más destacado. ¿Quiere entender mejor los riesgos futuros de la piratería informática mundial, la delincuencia informática y los ciberconflictos? Entonces pregúntese a quién le gusta más esta historia de Sony:

• ¿Vladimir Putin y los experimentados ciberguerreros rusos?
• ¿Los «Patriot Hackers» de China?
• ¿El público de Julian Assange en WikiLeaks?
• ¿Anónimo?
• ¿Eduardo Snowden?
• ¿La ciberbanda que hackeó Target?

La respuesta es: todas. No hay nada en esta saga de Sony que ofrezca el más mínimo indicio de disuasión o desaliento a los desviados y destructivos de la tecnología digital. Nada.

Por el contrario, el verdadero miedo y la amenaza es que toda la gama de ciberataques —desde las travesuras hasta la destrucción— se convierta en una nueva normalidad mundial. A medida que más personas en todo el mundo dependen más de las redes y los dispositivos, se abren e inspiran más oportunidades de caos computacional.

Estamos presenciando y experimentando rápidamente la erosión acelerada de la sociedad civil digital. Es decir, el ciberespacio recrea el» teoría de las ventanas rotas» de la delincuencia urbana y la decadencia, tal como lo articularon tan brillantemente el fallecido gran politólogo James Q. Wilson y su colaborador George Kelling.

«Si una ventana de un edificio se rompe y no se repara, el resto de las ventanas se romperán pronto», dijeron los profesores Kelling y Wilson escribió en The Atlantic. Si esas ventanas y esos edificios quedan sin reparar y sus vándalos quedan impunes, el barrio se pudre inevitablemente. Las sociedades y los sistemas legales —la policía y los barrios— tienen que colaborar no solo para arreglar las ventanas rotas, sino también para identificar y castigar a los vándalos y las bandas criminales. Ese compromiso no existe en el espacio digital ni en la teoría ni en la práctica.

A los abogados y jueces de todo el mundo les gusta demasiado citar la advertencia del juez del Tribunal Supremo de los Estados Unidos, Oliver Wendell Holmes, de que «los casos difíciles hacen mala ley». Pero tanto los abogados como los responsables políticos tardan en reconocer que lo contrario también puede ser cierto: «Las malas leyes dan lugar a casos difíciles». Por eso, en el ciberespacio, el estado de derecho cede el paso a la victoria de los vándalos. Por eso abundan las redes rotas.

Tras Snowden, Target, Ucrania, JP Morgan y ahora Sony, todas las empresas y agencias gubernamentales importantes del mundo entienden las amenazas que imponen los trabajos internos y los ciberataques externos. La gente lo sabe.

Pero, ¿qué pueden hacer realmente las organizaciones serias para protegerse a sí mismas y a sus clientes ante los brutales ciberataques de todo el mundo? La respuesta legal es: «no mucho». La ley ofrece poco apoyo a las organizaciones que se toman en serio la disuasión o la defensa de los ataques. Las leyes digitales nacionales son malas; las leyes internacionales son peores. Lo que no es ambiguo es inútil, frívolo o prohibido.

Por ejemplo, hay ningún derecho establecido o incluso informal a la autodefensa en el ciberespacio. Puede llamar a la policía, pero la policía no está obligada legalmente a protegerlo de ninguna manera. Un gran banco estadounidense, en teoría, podría pedir consejo y ayuda al FBI, la NSA o la CIA para identificar a sus atacantes y, quizás, alterar sus defensas y seguridad digitales. Pero esas agencias no tienen la obligación de proporcionarlo. Si las operaciones de ese banco estadounidense son atacadas en Europa, China o Latinoamérica, las autoridades legales de esas regiones tampoco tienen la obligación de ayudar.

Lo que es peor, muchos países tienen leyes que prohíben que las empresas instalen sistemas de detección de intrusos que puedan violar la privacidad de los propios delincuentes, vándalos o atacantes. Si alguien entra en su oficina y roba algo, puede que no se le permita perseguirlo y seguirlo hasta su casa. Del mismo modo, si alguien entra en su red y roba algo, puede que no se le permita legalmente rastrearlo digitalmente hasta el ordenador de su casa, especialmente si rastrearlo requiere que cruce fronteras internacionales.

Hackbacks? ¡Se puso furioso por eso! La idea de prácticamente dar un puñetazo a los posibles atacantes es una de las más controvertidas del derecho informático. Abogados y responsables políticos respetados en desacuerdo con vehemencia acerca del nivel de vigorosa defensa propia que debería estar legalmente permitido.

Los activistas por la privacidad no aprobarán la idea de dar al gobierno ese tipo de acceso a las redes privadas, ni siquiera a las redes que están siendo atacadas. De hecho, a las empresas con datos confidenciales no les gustará mucho la difícil elección de dejar que piratas informáticos extranjeros se los roben o dar al gobierno de los Estados Unidos un amplio acceso a sus redes.

Desde una perspectiva política, seguro que todo el mundo estaría más contento si las empresas pudieran contratar a sus propios defensores de redes para luchar contra los atacantes. Esto reforzaría en gran medida las escasas filas de investigadores del gobierno. Haría que fuera menos necesario un amplio acceso del gobierno a las redes privadas. Y acabar con el monopolio gubernamental de la defensa activa probablemente aumentaría la diversidad, la imaginación y la eficacia de la comunidad de contrahackeo.

Pero esto es obviamente y comprensiblemente controvertido.

Primeras publicaciones han argumentado que los ciberataques a empresas locales y globales aumentarán inevitablemente, ya que los beneficios que perciben los atacantes superan de forma clara e inequívoca a los costes. Cada vez hay más «cristales rotos» virtuales en las superautopistas de la información de Internet. Si usted es una organización global que hace algo que a alguien en algún lugar no le gusta, es posible que usted y sus redes sean prácticamente asaltados y que los datos salgan de sus redes y servidores. Pero es tan probable que esto sea cierto para sus clientes más pequeños como para sus directores ejecutivos.

La triste realidad es que el caso Sony es una señal de que, si el estado de derecho no mejora radicalmente, el ciberespacio se convertirá en una guerra en la sombra de vándalos, vigilantes y mercenarios, algunos patrocinados por el estado y otros pagados por empresas que buscan proteger sus intereses globales. Va a ser feo. Será arriesgado. Será peligroso.