En marzo, un asesor de Seguridad Nacional del presidente de EE.UU. creó un grupo en Signal para discutir planes sensibles sobre ataques en Yemen. Por error, incluyó al editor de The Atlantic, quien conoció detalles confidenciales de las operaciones militares y escribió artículos revelando detalles del caso. Hay varios ángulos relevantes para discutir, sin embargo, me enfocaré en la dimensión de ciberseguridad y su relación con el Estado, sobre todo por el dilema creciente en la ciberseguridad estatal: el equilibrio entre ciberdefensa y ciberofensa.
La filtración desató críticas sobre el manejo de información clasificada en la administración Trump, generó preocupaciones sobre posibles violaciones a las leyes federales de seguridad y abrió debates sobre las consecuencias geopolíticas y humanas de la gestión de órdenes militares. Aunque el gobierno de Trump ha minimizado el impacto del caso, es inevitable compararlo con la reacción de los republicanos ante el uso de un correo personal por parte de la candidata presidencial demócrata en 2016, Hillary Clinton, cuando era diplomática de EE.UU. La acusaron de haber puesto en riesgo información confidencial. Comparando ambos casos, no pasa desapercibido que, en el caso actual, la información filtrada involucraba directamente operaciones militares clasificadas.
Quizá para justificar lo sucedido, el asesor de seguridad sugirió —sin evidencias— que el acceso del periodista no había sido con una invitación, sino que habría explotado una vulnerabilidad de Signal para obtener la información. Esto resalta un aspecto clave que mencioné la semana pasada: cómo los y las periodistas que manejan filtraciones de este tipo enfrentan riesgos asociados a la protección de sus fuentes y posibles represalias legales o políticas.
Dicho esto, veamos el tema del dilema entre ciberdefensa y ciberofensa. Signal es reconocida por su cifrado de extremo a extremo, diseñado para proteger la privacidad de las comunicaciones. Sin embargo, filtraciones de este tipo—ya sea por fallos en la aplicación, errores humanos o accesos no autorizados— afectan la confianza en una herramienta ampliamente utilizada no solo por periodistas y defensores de derechos humanos, sino también por funcionarios estatales de alto nivel y, sin duda, por actores criminales, como señala el experto en seguridad Bruce Schneier.
Es crucial reconocer que, en la actualidad, la forma como usamos las diferentes herramientas de comunicación no permiten diferencian claramente entre las diferentes comunicaciones que estamos teniendo -trabajo y vida personal o las que usan los gobiernos de las que usan los criminales-. Es dificil separar ya que todos usamos las mismas herramientas comerciales. Como demuestra este caso, ni siquiera los funcionarios de EE.UU., que tienen canales específicos para discutir operaciones militares, se limitan a usarlos de manera estricta. Por múltiples razones, terminan recurriendo a aplicaciones comerciales y dispositivos personales para comunicarse. En otras palabras, es necesario asumir que las conversaciones sensibles de los Estados están transitando por herramientas que utilizan tanto adversarios como aliados.
El dilema que explica Schneier en este caso es particularmente relevante para la NSA, pero puede extenderse a cualquier agencia de inteligencia estatal: si una agencia descubre una vulnerabilidad en aplicaciones como Signal, debe decidir entre explotarla para espiar a adversarios (acción ciberofensiva) o corregirla para proteger sus propias comunicaciones (acción ciberdefensiva). Si asumen que los funcionarios solo usan canales oficiales y seguros, podrían estar en la posición de priorizar la ciberofensiva. Sin embargo, si aceptan que sus propias conversaciones también circulan por plataformas comerciales, resulta evidente que, si unas personas son vulnerables, todas lo son.
Como señalé en su momento cuando se supo que China había usado el sistema legal de interceptación de comunicaciones de EE.UU. para espiar a funcionarios de ese país, es urgente equilibrar la visión ofensiva y defensiva en la ciberseguridad estatal. Cada vez será más necesario debatir y hacer transparentes las capacidades estatales en operaciones ciberofensivas.
Está claro que insistir en la implementación de puertas traseras en dispositivos—como ocurre actualmente en el Reino Unido—o en herramientas de mensajería instantánea y en las infraestructuras de las empresas de telefonía, solo aumenta la vulnerabilidad de todas las personas. Los Estados deben respaldar y promover el uso de cifrado robusto para proteger tanto la privacidad como la seguridad nacional. Deben aceptar que la forma de acceder a las comunicaciones de criminales y otros actores de interés no puede basarse en estas prácticas, ya que también comprometen la seguridad del propio Estado.
Adicionalmente, este caso pone sobre la mesa la falta de normativas claras y mecanismos de supervisión sobre las capacidades cibernéticas ofensivas de los Estados. La ausencia de reglas internacionales sobre el uso de vulnerabilidades en software de comunicación no solo aumenta el riesgo de espionaje indiscriminado, sino que también deja a la sociedad civil y a actores gubernamentales expuestos a posibles abusos. Es necesario avanzar en la discusión sobre marcos normativos que regulen la ciberseguridad desde una perspectiva de derechos humanos y estabilidad internacional.
