Hay 2.800 millones de usuarios activos mensuales en Facebook, 1.300 millones en WeChat y 1.000 millones en TikTok. Durante la pandemia de Covid-19, la población de internautas creció rápidamente cuando las personas y las empresas migraron a Internet, lo que dio lugar a un proceso de transformación digital. Como resultado, las organizaciones e infraestructuras -desde redes eléctricas, redes de telecomunicaciones y departamentos de policía, hasta bancos, hospitales y escuelas- están acumulando enormes cantidades de datos para proporcionar valor a los usuarios.
Aunque la tecnología digital permite la conectividad, la comodidad y la eficiencia, el uso generalizado de la recopilación y el análisis de datos en los sectores social, financiero, industrial y militar ha puesto de manifiesto la vulnerabilidad del ciberespacio como nunca antes se había experimentado. Las amenazas a la ciberseguridad -ya provengan de un individuo, una organización o un sindicato global- tienen el potencial de dañar intereses privados y públicos, desestabilizar el orden internacional y poner en peligro la paz mundial.
La comunidad internacional aún no ha alcanzado un consenso global sobre un orden digital que pueda hacer frente a los problemas de este espacio cada vez más complejo. Sin ese consenso que regule el ciberespacio, pronto llegará un desorden digital global.
Un desorden digital internacional
Al hablar de un posible desorden como resultado de la competencia entre dos Estados con potencia nuclear, Henry Kissinger dijo: “Ninguna de las partes utilizaría sus armas de destrucción masiva porque el adversario siempre sería capaz de infligir un nivel inaceptable de destrucción en represalia”. La hipótesis de Kissinger era que los Estados saben quiénes son sus adversarios, e incluso pueden tener señales de posibles ataques y prepararse para ellos. Por lo tanto, una estrategia de disuasión era eficaz.
Por desgracia, este cálculo ya no funciona en el ciberespacio. El ciberespacio existe en gran medida en Internet. Excepto en las redes dedicadas, la mayoría de los usuarios y dispositivos inteligentes interactúan e intercambian información libremente en el ciberespacio.
Un hacker clandestino o un sindicato que acceda ilícitamente a estas redes puede provocar consecuencias catastróficas. Pueden acceder a los ciberdominios de gobiernos o empresas para inutilizar y potencialmente destruir infraestructuras o redes nacionales críticas. Otros pueden estar simplemente motivados por el dinero, robando datos para comerciar en el mercado negro o pidiendo un rescate. Por ejemplo, en Australia, un ciberataque a la empresa de telecomunicaciones Optus y un ataque de ransomware a Medibank comprometieron los datos personales de casi 20 millones de personas, incluidos sus nombres, números de teléfono, documentos de identidad expedidos por el gobierno y otra información sensible. El verdadero reto es que muy a menudo resulta casi imposible identificar a los piratas informáticos o atribuirlos a algún Estado soberano.
En medio de las crecientes tensiones geopolíticas, los Estados también pueden lanzar ciberataques, que pueden amenazar la seguridad nacional de sus adversarios e infligir costes equivalentes a los de una guerra convencional.
Aunque el ciberespacio está adquiriendo una enorme importancia, se está convirtiendo en un territorio menos ordenado, en el que no existe un orden internacional claro y consensuado que rija el comportamiento de los actores, entre los que se incluyen gobiernos, organizaciones privadas, individuos y, cada vez más, dispositivos dotados de inteligencia artificial. En ausencia de tal orden digital internacional, los actores seguirán siguiendo sus propias reglas y normas, y el resultado probable es el caos en el ciberespacio.
Cibersoberanía
De todas las cuestiones relacionadas con el orden digital internacional, destaca la soberanía del ciberespacio, aunque el concepto esté vagamente definido. Actualmente, el consenso internacional es que la cibersoberanía debe seguir las normas de soberanía esbozadas en la Carta de las Naciones Unidas.
Desde la creación de la ONU, existe el consenso de que la autonomía soberana es la base del derecho internacional. Debido a la naturaleza abierta, multicapa, anónima y sin fronteras del ciberespacio, es difícil distinguir entre infracciones nacionales e internacionales de la ley. Por esta razón, las normas de soberanía de la ONU no pueden aplicarse fácilmente al ciberespacio. Si la cibersoberanía existe independientemente en el mundo en línea, ¿pertenece la cibersoberanía a cada país? ¿O existe -o debería existir- un organismo mundial supranacional y suprasoberano que gobierne a los ciberactores y sus actividades?
El reto de construir un consenso internacional sobre cibersoberanía es que los distintos países tienen perspectivas y necesidades diferentes. Por ejemplo, China lleva mucho tiempo promoviendo normas internacionales que garanticen la soberanía del ciberespacio. El argumento de Pekín es que cuando se ataca la cibersoberanía de un Estado, sus sistemas de red pueden ser invadidos y los datos en red se verán comprometidos. En tales situaciones, sin un entendimiento común de los límites jurisdiccionales de la cibersoberanía, es difícil castigar al atacante o contrarrestar la invasión.
En la primera década del siglo XXI, Estados Unidos empezó a promover un concepto de “supersoberanía de la red”, argumentando que los Estados soberanos tienen poca jurisdicción soberana sobre Internet, ya que debería pertenecer a la población mundial y ser una plataforma para la libertad y la democracia. La esencia de esta teoría es oponerse a la soberanía del ciberespacio promoviendo la hegemonía del ciberespacio, lo que ha sentado las bases del marco de la política estadounidense sobre Internet.
En respuesta a los recientes llamamientos a construir un marco de cogobernanza, Estados Unidos ha desviado su política de Internet de la defensa de la apertura y la libertad y ha perseguido una gobernanza global “multipartita”, que ha recibido el apoyo de grandes empresas tecnológicas y países con importantes capacidades cibernéticas. Sin embargo, los usuarios de Internet y sus representantes en países sin capacidades cibernéticas dominantes tienen pocas oportunidades de participar en este marco.
Seguridad de los datos y seguridad nacional
Las regulaciones y normas para la seguridad de los datos, especialmente en los flujos de datos transfronterizos, son otro imperativo para construir un orden digital internacional.
Debido a la naturaleza de doble uso de tecnologías digitales como la inteligencia artificial (IA) y la computación cuántica, los límites entre los intereses económicos nacionales y los intereses de seguridad se han difuminado, lo que ha llevado a Estados soberanos, especialmente Estados Unidos y China, a considerar consciente o inconscientemente la seguridad de los datos como sinónimo de seguridad nacional. De hecho, con la llegada de la analítica de big data potenciada por algoritmos de IA, la importancia de los datos personales para la seguridad nacional es cada vez mayor, y los datos pueden ser utilizados o manipulados por un país para lograr sus objetivos geopolíticos contra otros. Si los datos privados de los ciudadanos de un país, como sus afiliaciones políticas, registros médicos, datos biométricos o incluso datos sobre sus movimientos físicos, son capturados por piratas informáticos o estados hostiles, esos datos pueden ser analizados para crear una amenaza a la seguridad del país anfitrión. Por este motivo, el Gobierno chino investigó y posteriormente sancionó a la empresa de transporte por carretera Didi tras su oferta pública inicial en el Nasdaq.
A diferencia de la naturaleza limitada de los recursos estratégicos tradicionales, como la tierra, el petróleo y los minerales, los datos tienen la característica de la no exclusividad, o efectos de red: cuantos más datos se utilicen, más valor tendrán. A nivel individual, los datos pueden ser propiedad personal y conllevar la imputación de privacidad. A nivel económico, los datos pueden ser un factor de productividad y una ventaja competitiva para una empresa. Y a nivel estatal, los datos pueden ser un recurso estratégico y tener un importante valor para la seguridad. Por lo tanto, los datos pueden venderse con fines lucrativos; existen mercados negros de intercambio de datos robados a través de sitios web ocultos especializados, lo que crea otra capa de complejidad a la hora de identificar a los piratas informáticos de datos.
Aunque la mayoría de los gobiernos y organizaciones han implementado tecnologías para salvaguardar la seguridad de sus datos, hay dos dinámicas principales que pueden exponer sus vulnerabilidades a posibles ciberamenazas.
En primer lugar, la prevalencia de la computación en nube, que permite a las organizaciones externalizar toda o parte de la gestión de sus datos a terceras empresas, un campo dominado actualmente por varias firmas líderes de Estados Unidos y China. Las cinco principales -Amazon, Microsoft, Alibaba, Google y Huawei- representaban más del 80% del mercado mundial en 2021. En segundo lugar, muchas organizaciones e incluso gobiernos tienen que depender de terceros proveedores -por lo general, involucrando a múltiples proveedores- para construir sus capacidades cibernéticas, lo que puede dejar la “puerta trasera” abierta para un llamado “ataque a la cadena de suministro”. Por ello, muchos gobiernos y organizaciones han empezado a adoptar un “marco de confianza cero” en sus redes. Por este motivo, los proveedores chinos de equipos 5G o de cámaras web han sido suspendidos en los sistemas de red de Estados Unidos y países aliados.
La realidad es que la economía digital está sustituyendo al comercio de materias primas y a las actividades financieras tradicionales como principal motor de la globalización, lo que se refleja en el creciente comercio de servicios orientados a los datos. Es urgente llegar a un consenso mundial sobre el comercio transfronterizo de datos, incluidos los datos de los servicios financieros, que regule la adquisición, el tratamiento, el almacenamiento y la transferencia de datos a través de las fronteras.
Rivalidad de las grandes potencias en el ciberespacio
La competencia de grandes potencias en el ciberespacio entre Estados Unidos y China tiene una enorme importancia estratégica para ambos países. El principal objetivo de Washington y Pekín en esta competición es utilizar la supremacía en capacidades cibernéticas en su beneficio geopolítico. La base de la capacidad cibernética es el poder tecnológico acumulado de un país en chips semiconductores, sistemas operativos informáticos y herramientas de automatización del diseño electrónico, que sientan las bases de la informática de alto rendimiento, la IA y las redes de comunicaciones móviles y de Internet de próxima generación.
Por este motivo, la escalada de la rivalidad entre Estados Unidos y China, que ha pasado de la guerra comercial a la guerra tecnológica, se ha centrado en la competencia por esas tecnologías fundacionales avanzadas, ya que se han convertido en recursos críticos para la soberanía nacional, el desarrollo económico y la seguridad nacional. Esta competencia no se limita a la estandarización técnica, sino que también se ha trasladado al terreno político, donde ambas partes luchan por las normas y reglamentos para la gestión de las transferencias y el almacenamiento de datos. La estrategia estadounidense para contener el avance chino en semiconductores es una manifestación conspicua de esta competencia.
Las crecientes capacidades cibernéticas de China le han permitido aumentar su influencia en el establecimiento de normas relevantes para el diseño y funcionamiento de la futura Internet, y promover un orden digital internacional, que Occidente interpreta como al servicio de los objetivos geopolíticos de China. El gobierno estadounidense ha desarrollado una gran estrategia basada en la “realpolitik digital”, con el objetivo principal de avanzar en el dominio cibernético de Estados Unidos y limitar a su principal adversario digital: China.
La competencia entre grandes potencias en el ciberespacio es que ha aumentado el peligro de desacoplamiento en los sistemas tecnológicos, e incluso en el propio ciberespacio, a menos que se llegue a un consenso para construir un orden digital internacional.
Un nuevo tipo de brecha digital
Cuando hace una década hablábamos de la brecha digital, nos referíamos a la diferencia entre los países ricos, donde la gente tenía acceso a Internet a través de ordenadores en red y dispositivos inteligentes, y los países pobres, donde la gente tenía menos acceso. Con la rápida penetración de los teléfonos inteligentes de bajo coste (fabricados en gran parte por productores chinos) en los países subdesarrollados, esta brecha digital se está reduciendo. Sin embargo, ha surgido otra brecha digital definida por la capacidad cibernética: países con capacidades cibernéticas avanzadas y países con menos capacidades.
Internet es una red abierta entretejida por protocolos de comunicación de datos estandarizados a escala mundial y gestionada de abajo arriba. Miles de millones de usuarios y dispositivos digitales interactúan, generando cantidades ingentes de datos. En otras palabras, Internet está muy descentralizada y todos los usuarios son iguales en la generación de datos.