AP 162
AP 162

El presidente Barack Obama dijo ayer que las recientes amenazas cibernéticas a Sony y al Comando Central del ejército de Estados Unidos son "recordatorios de serios riesgos que enfrenta la nación".

El primer mandatario presentó sus proyectos esta semana como parte de una iniciativa para que el Congreso apruebe una ley de ciberseguridad —una semana antes de su discurso sobre el Estado de la Unión— que incrementa el intercambio de información gubernamental y protege a los negocios de demandas por revelar amenazas cibernéticas.

Pero las propuestas del presidente son similares a iniciativas de ley que han fracasado en el Congreso, en parte por preocupaciones sobre la privacidad. Sin embargo, la Casa Blanca espera que una serie reciente de ciberataques y robos de información —como la intrusión en noviembre a Sony Pictures Entertainment, que el gobierno atribuyó a Corea del Norte— hará que los legisladores tomen una decisión sobre el tema en los próximos meses.

Defensores de la privacidad también criticaron otros elementos de su plan esta semana, en especial los que involucran el compartir datos entre las compañías y el gobierno, a la luz del actual debate entre el alcance de la vigilancia gubernamental y la recolección de datos a granel.

El presidente presentó el martes sus planes en un discurso en el Centro Nacional de Ciberseguridad e Integración de Comunicaciones justo en las afueras de Washington, y advirtió que las amenazas cibernéticas presentan un "enorme desafío" en el que Estados Unidos debe "mejorar su nivel de juego". Comentó que los cibercriminales causan tanto daño o más que los delincuentes tradicionales.

"Como nación, estamos progresando. Estamos más preparados para lidiar con ataques cibernéticos, pero los atacantes se han vuelto más sofisticados", comentó Obama. "Todos nosotros —gobierno e industria— necesitamos hacer mejor las cosas".

Una parte fundamental de las propuestas, que han recibido apoyo de algunos republicanos en el Congreso, permitiría compartir información de ciberseguridad entre agencias gubernamentales y el sector privado. Pero ese intercambio ya se ha estado dando —con distintos resultados— desde hace más de 16 años.

El presidente Bill Clinton estableció los primeros Centros de Intercambio y Análisis de Información en mayo de 1998. Fueron creados con la intención de recabar, analizar y distribuir advertencias sobre las amenazas cibernéticas dentro de las ocho industrias más importantes de Estados Unidos, incluidas la bancaria, la de transportes, comunicaciones y energética.

En 2003, el presidente George W. Bush llevó la responsabilidad de los centros de advertencia desde el ahora difunto programa del FBI del Centro de Protección de Infraestructura Nacional al Departamento de Seguridad Nacional. Desde entonces los centros de advertencia se han expandido para duplicar a 16 industrias cruciales, y otras —tales como tiendas al por menor— han lanzado programas por separado.

La ley alienta al sector privado a compartir información sobre amenazas cibernéticas con el Departamento de Seguridad Nacional, según la Casa Blanca. Las compañías podrían solicitar protección de responsabilidad pero tendrían que cumplir ciertas restricciones.

El senador republicano John McCain, jefe de la Comisión de Servicios Armados del Senado y miembro del panel de Seguridad Nacional y Asuntos Gubernamentales, dijo el martes que está "feliz de que el gobierno vaya a presentar una propuesta". La ley tiene que mantener un equilibrio entre "el derecho a la privacidad y la necesidad de seguridad nacional y el asunto de la responsabilidad", le dijo a la CNN.

Pero, añadió, "me siento cautelosamente optimista de que podremos redactar una legislación en la que podamos colaborar con el gobierno". Esto se produce luego que las cuentas en Twitter y YouTube fuesen atacadas el lunes por piratas cibernéticos que dijeron estar trabajando a nombre del grupo extremista Estado Islámico. Otros blancos de ataques recientes fueron las cadenas minoristas Target, Home Depot y Neiman Marcus, en incidentes que expusieron la ausencia de prácticas uniformes establecidas para alertar a los usuarios en caso de brechas a la seguridad.