Los ciberataques de alto nivel que se han producido últimamente se han relacionado con China, como el ataque a Register.com. Después de que informes forenses cibernéticos hayan rastreado numerosos ataques dirigidos a grupos de Estados-nación dentro de sus fronteras, el Gobierno chino siempre ha defendido su inocencia en relación a cualquier guerra de información secreta. Pero el documento La ciencia de la estrategia militar, filtrado por el Ejército de Liberación Popular de China, reveló que el Ejecutivo tiene equipos rojos de cibermilitares, civiles y mercenarios. Esto arroja nueva e inquietante luz sobre la magnitud y frecuencia de los ataques de los Estados-nación de ese país.
La ciberguerra de Estado, ya sea de China, Rusia o Estados Unidos, influye en la seguridad TI de las empresas, que deben vigilar los métodos de ataque utilizados en el ciberespionaje y responder con estrategias de defensa apropiadas, pues tarde o temprano, serán utilizados para entrar en los sistemas corporativos. Las decisiones gubernamentales sobre seguridad de la información tienen consecuencias en el sector privado. Una es que particulares y empresas serán más vulnerables, pues los sofisticados vectores de ataque usados por los Estados llegarán a los hackers civiles. Un ejemplo es el ataque Stuxnet, patrocinado por EEUU para espiar a Irán. Su filtración ha permitido a los hackers crear estrategias criminales que copian las técnicas del Estado para su propio beneficio.
A veces, la ciberguerra es necesaria para espiar o proteger a un país del terrorismo, sin embargo, algunos gobiernos han utilizado este pretexto para mejorar su arsenal cibernético. A largo plazo esto es perjudicial. Stuxnet abrió la caja de Pandora, pero se avecina mucho más.
Stuxnet demostró que cuando las técnicas de ataque del Estado se hacen públicas, se acelera la evolución del malware criminal, dificultando la defensa de las empresas privadas; que ahora se enfrentan a ataques más dirigidos y avanzados sin estar bien preparadas para defenderse. Lo peor, es que los ataques del Estado alimentan un mercado negro de vulnerabilidades donde está floreciendo, a su vez, un mercado de subastas sin que haya planes de revelar los fallos para que sean resueltos.
Los Gobiernos son uno de los principales clientes de estos mercados de vulnerabilidades. Esto significa que un fallo, generalmente en un software utilizado por una amplia mayoría, no queda arreglado, haciendo más vulnerables a las corporaciones. Cuando un Gobierno compra inteligencia de día cero y no la divulga, hace a sus ciudadanos menos seguros. En vez de almacenar estas vulnerabilidades, los gobiernos deberían ayudar a solventarlas. En una sociedad libre todos tienen derecho a proteger su privacidad, incluso los que no tienen nada que ocultar. Sin embargo, incluso los Gobiernos democráticos y libres tratan de limitar o debilitar el cifrado. Recientemente, el director del FBI argumentó que Apple y Google deben limitar la solidez del cifrado en smartphones para apoyar las iniciativas de aplicación de la Ley de Seguridad Nacional. También el primer ministro británico ha dejado claro que desea descifrar los mensajes instantáneos y otras comunicaciones de Internet.
Que los ciberdelincuentes utilicen el cifrado para comunicarse, no significa que el cumplimiento de la ley suponga vigilar. Además, si tenemos que incluir puertas traseras o debilidades en el cifrado de todos, es cuestión de tiempo que los hackers las encuentren. Debilitar el cifrado privado para satisfacer al Gobierno expone a los ciudadanos más que ayudar a encontrar a los criminales. Los gobiernos deberían centrarse en defenderse a sí mismos y a sus ciudadanos de los ciberataques más que en hacer campañas ofensivas. Si reforzamos las áreas de seguridad débil y evitamos las prácticas de los malos usuarios, no dejaremos nada que atacar. Las políticas de ciberespionaje gubernamentales han puesto a todas las empresas en riesgo, mientras la comunidad de hackers aumenta la sofisticación de los ataques. Las organizaciones deben actualizar sus estrategias de defensa e invertir en nuevas soluciones como la protección avanzada contra amenazas, porque hay una cosa segura: el Gobierno no lo hará por usted.
