Morozov, comercialización de la ciberseguridad
¿Por qué necesitamos 'héroes por accidente' para lidiar con los ataques cibernéticos globales?\
Autor: Evgeny Morozov
Publicación: Originalmente en The Guardian el 20 de mayo de 2017. Traducción al español incluida en el libro "Capitalismo Big Tech ¿Welfare o neofeudalismo digital?" Evgeny Morozov. Ed. ENCLAVE DE LIBROS 2018
A partir del análisis del incidente del ransomware WannaCry, Morozov analiza el estado de la ciberseguridad y los intereses al respecto de las empresas tecnológicas.
Aprovechando vulnerabilidades de productos Microsoft, el ransomware WannaCry produjo a nivel global estragos en muchas organizaciones de distintos tipos. Finalmente la propagación del ataque fue detenida por un ''héroe por accidente'' técnico informático.
La posición de Microsoft, que siempre trata de echar balones fuera de sus productos, es abogar por una especie de ''Convención de Ginebra digital'' que proteja a los civiles de los ciberataques lanzados por otros estados nación. Esto permitiría que empresas de tecnología ayudaran a garantizar la seguridad online en analogía a como la Cruz Roja participa contra la protección de los civiles en los conflictos. Las implicaciones del desarrollo de esta regulación internacional sería:
- Se estarían convirtiendo los ciberataques en algo natural e inevitable, o al menos como algo de lo que solo los estados son responsables. Según este enfoque, las empresas tecnológicos son solo víctima de los sofisticados ataques realizados por los genios de las agencias de Inteligencia, que serían los chivos expiatorios de la situación. Si accediéramos a estos razonamientos, las empresas no tendrían aliciente en hacer que su software fuere lo más seguro posible. Por otro lado, el software de estas empresas se licencia de forma que hace imposible examinarlo para verificar la existencia de posibles fallos y puertas trasera.
- No hay indicios de que Estados Unidos, el que cuenta con el aparato gubernamental de hackeo más sofisticado y extenso del mundo, se adhiriese a esta regulación. Además aunque se adhiriese hay pocos motivos para creer que la NSA o la CIA los cumpliesen
- La complejidad de los ciberataques modernos se ha vuelto tan enorme que solo las grandes tecnológicas son capaces de protegernos. Muchos profesionales de la seguridad aseguran que la única forma de protegernos de la mayoría de los ciberataques es usar los servicios comerciales de esas grandes empresas tecnológicas. Esto seguirá siendo así cuando la Inteligencia artificial y el aprendizaje automático se apliquen a la seguridad, ya que serán las únicas que dispondrán de los datos necesarios. De esta forma se aseguraría el poder de las grandes tecnológicas. Como consecuencia solo las grandes empresas tecnológicas serían las que recibirían los suculentos contratos de protección de ciberseguridad. Además esto produciría un conflicto de intereses, ya que cuanto más inseguro fuera un software, mayor sería la demanda de ciberseguridad para protegerlo.
Muchas veces las propias vulnerabilidades son insertadas a sugerencia de los propios gobiernos para poder realizar vigilancia. Este hecho hace que la ciberseguridad se haya convertido en un servicio, creando así oportunidades casi infinitas para la extracción monopolística de rentas por parte de las empresas tecnológicas. Los gigantes tecnológicos se convierten de esta forma en rentistas.