© 2016 Economist Newspaper Ltd., Londres. Todos los derechos reservados. Reimpreso con permiso.
Ha sido un buen año para hackear. El presidente Barack Obama y la CIA acusaron a Rusia de intromisión electrónica en un intento por ayudar a Donald Trump a ganar la presidencia de los Estados Unidos. Los detalles surgieron de dos violaciones críticas de datos en Yahoo, una de las compañías más grandes de internet del mundo. Una intromisión, en el 2013, afectó a más de mil millones de personas. Otros casos destacados fueron el acceso ilegal a la Agencia Mundial Antidopaje, el robo de 81 millones de dólares del banco central de Bangladesh –solo un error tipográfico impidió a los hackers de robar mucho más– y la liberación de datos personales de 20.000 empleados del FBI.
Cuanto más de cerca se mira en los rincones más oscuros de internet, la frase "seguridad informática" más parece una contradicción de términos.
¿Por qué, dos décadas después de que internet comenzó a salir de las universidades y entró a las casas de la gente, las cosas siguen siendo tan malas? La historia es una de las razones: internet comenzó su vida como una red para el intercambio conveniente de datos académicos. La seguridad fue una idea tardía. La economía también es importante. Los desarrolladores de software y los fabricantes de computadoras no sufren necesariamente cuando sus productos salen mal o son subvertidos. Eso debilita los incentivos para obtener seguridad.
Desafortunadamente, es probable que las cosas empeoren antes que mejoren. La siguiente fase de la revolución informática es el "internet de las cosas": toda clase de objetos cotidianos, desde los focos en las casas hasta automóviles, incorporen computadoras conectadas permanentemente a internet. La mayoría de estos artilugios son tan inseguros como cualquier otra computadora, si no más, y muchas de las que manufacturan estos productos no son empresas de computadoras. Las empresas de tecnología de la información (TI) han acumulado décadas de sabiduría duramente ganada acerca de la ciberseguridad. Los fabricantes de tostadoras todavía tienen mucho que aprender.
En noviembre, los investigadores de seguridad cibernética revelaron un programa malicioso que podría tomar el control de cualquier foco inteligente en un radio de 400 metros. Un foco hogareño en manos piratas no suena demasiado peligroso, pero esas computadoras no intrusivas pueden ser reclutadas en "botnets" controlados remotamente que pueden usarse para inundar sitios web con tráfico falso, que acabaran por desconectarlos. Los enrutadores, las pequeñas cajas electrónicas que conectan la mayoría de los hogares a internet, ya son un objetivo popular de los hackers de bots.
Otros objetivos son más preocupantes. En una conferencia de seguridad informática, en el 2015, los investigadores demostraron cómo hackear de manera inalámbrica un coche hecho por Jeep, controlando su volante o frenando. A medida que se acerca la era del automóvil autónomo, el momento para solucionar estos problemas es ahora.
Una opción es dejar trabajar al mercado para que su magia haga el resto. Dado el daño que el delito cibernético puede causar a las empresas, se tienen buenas razones comerciales para tomarlo en serio. Si las empresas descuidan la seguridad, corren el riesgo de perder reputación y clientes. La venta planeada de Verizon, de Yahoo, puede ser repensada después de sus violaciones de seguridad.
Sin embargo, esos incentivos se atenúan cuando los consumidores no pueden tomar decisiones informadas. La mayoría de los clientes –y a menudo, al parecer, la mayoría de los ejecutivos– no están en condiciones de evaluar las normas de seguridad cibernética de las empresas. Es más, la mejor forma de combatir la epidemia de cibercrimen es compartiendo información. Un ciberataque exitoso en una compañía puede ser utilizado contra otra. Aun así, es tentador para las empresas mantener silencio sobre las violaciones de seguridad.
Eso sugiere que ahí debería intervenir el gobierno. Los investigadores hacen una analogía con la salud pública, en la que la negligencia de una persona puede dañar a todas las demás, razón por la cual los gobiernos regulan todo, desde la higiene de los alimentos hasta la eliminación de desechos. Algunas jurisdicciones están planificando normas mínimas de seguridad informática y multarán a las empresas que no cumplan. El internet de las cosas también ha revivido el debate sobre el fin de la histórica exención de responsabilidad legal por defectos en sus productos de las industrias de software.
El problema es que la regulación a menudo está fragmentada. Los Estados Unidos tienen una proliferación de reglas a nivel estatal, por ejemplo, cuando un solo régimen federal sería mejor. La regulación también puede ir demasiado lejos. A partir de enero, las instituciones financieras en Nueva York deben cumplir con una nueva ley de ciberseguridad que muchos piensan que establece un parámetro muy laxo para notificaciones. Cambiar el régimen de responsabilidad para el software podría desestimular la innovación al desalentar a los codificadores de probar algo nuevo.
Sin embargo, los legisladores pueden establecer expectativas mínimas razonables. Muchos dispositivos de internet de las cosas no pueden tener su software actualizado, lo que significa que las fallas de seguridad nunca se podrán arreglar. Los productos no deben poder funcionar con nombres de usuario y contraseñas de fábrica. Ningún programa de software se puede hacer inexpugnable, pero los regímenes de responsabilidad pueden reflejar los esfuerzos de las empresas para corregir los defectos una vez que se hacen evidentes.