Según un artículo en el Wall Street Journal: "El Pentágono ha concluido que el sabotaje informático procedente de otro país puede constituir un acto de guerra; una conclusión que por primera vez abre la puerta a Estados Unidos para responder a ello usando con la fuerza militar tradicional". Desde que las fuerzas militares empezaron a usar computadoras a partir de la Segunda Guerra Mundial, es bastante notable que recién estén cayendo en la cuenta de la necesidad de resolver este asunto.
Según lo definido por la Constitución, es tarea del gobierno "proveer la defensa común". ¿Por qué las normas en el ciberespacio han de ser diferentes?
Por supuesto que no todo el mundo piensa que Estados Unidos debería defenderse en el caso de un acto de guerra cibernética. Hay dos argumentos en contra de la legítima defensa de un Pearl Harbor cibernético y ambos son bastante tontos.
Uno sostiene que ya estamos siendo atacados en el ciberespacio todo el tiempo. Eso es cierto. El Departamento de Defensa es atacado todos los días; a veces en formas que hacen exclamar "¡Caramba, no me lo puedo creer!". En 2008, una agencia de inteligencia extranjera no identificada llevó a cabo un ataque cibernético contra un comando militar de Estados Unidos con un software malicioso conocido como "agent.btz".
El tema de cuándo un acto doloso se eleva a categoría de "acto de guerra" es una cuestión de proporcionalidad, como en el verdadero Pearl Harbor. Lo sabremos cuando lo veamos. Un virus informático tipo "Stuxnet", por ejemplo, que ataque sistemas SCADA (comandos y sistemas de control informáticos) puede ordenar que suceda algo realmente malo, como que se destruya infraestructura, se apague, explote o que deje de funcionar, matando o hiriendo quizá a miles.
Probablemente vale la pena dejar que el mundo sepa que si un Estado o un grupo organizado no estatal intenta algo así, Estados Unidos iría tras ellos como si fuera el próximo 11 de septiembre. Asesinar a americanos inocentes, ya sea mediante una bomba o una red de bots (una forma de software malicioso) nunca debe verse como si fuera a salir gratis. Un ataque físico en respuesta a un ataque cibernético que produzca destrucción catastrófica es claramente proporcional.
Una segunda razón equivocada por qué algunos dicen que un ataque cibernético no puede llevar a la guerra es el "problema de la atribución". Ya que los ataques cibernéticos pueden iniciarse en Internet desde cualquier parte del mundo antes de alcanzar sus objetivos, algunos afirman que nunca sabremos a quién atacar. No estoy de acuerdo.
Distinguir a los malos en internet es difícil, pero se puede hacer. La informática forense (la ciencia y la tecnología de rastrear agentes maliciosos en línea) ha avanzado tanto como la habilidad del enemigo para crear nuevo software malicioso. Hasta los que no son gobiernos pueden hacer esto. Por ejemplo, la Unidad de Ciberconsecuencias de Estados Unidos Unidad (US-CCU), un instituto independiente de investigación hizo un análisis de los ataques de Rusia a Georgia. El US-CCU llegó a la conclusión de que los ataques cibernéticos fueron llevados a cabo por entidades no gubernamentales con la asistencia de la delincuencia organizada y con el previo conocimiento y aliento del Gobierno ruso.
Por otra parte, la informática forense no es la única herramienta disponible para localizar a los ciberenemigos. Se puede usar toda una gama de herramientas para recopilar datos, desde inteligencia de contenido abierto hasta espías de los de toda la vida, para perseguir a los agentes maliciosos, tal y como se haría contra cualquier otra amenaza.
El no hacerle frente a las amenazas informáticas tiene más a menudo que ver con el miedo o la indiferencia que con la falta de conocimiento.
Como deja en claro un nuevo documento del ciberexperto de la Fundación Heritage, Paul Rosenzweig, no tiene sentido pensar en el ciberconflicto como nuestros electrones enfrentándose a sus electrones. Si alguien viene a atacar a Estados Unidos de una manera que pone en peligro la defensa común, como consecuencia dicha entidad debe esperarse que le caiga encima toda la ira de Estados Unidos usando todas las herramientas que podamos reunir. Eso no quiere decir que todos los ciberataque ameriten una declaración de guerra, pero siempre deberíamos estar dispuestos a utilizar todos los instrumentos del poder nacional de manera adecuada y proporcional para asegurar el lugar que nos corresponde en el ciberespacio.