Lectura 7:00 min
Israel, crónica de una estrategia nacional de ciberseguridad exitosa
A diferencia de México, Israel tiene una estrategia de ciberseguridad desde 2010, aunque el gobierno israelí reconoce el ciberespacio como un elemento de seguridad nacional desde 2002.
Tel Aviv. Si la posibilidad de desaparecer las tecnologías cibernéticas de la faz de la Tierra estuviera en sus manos, el profesor de la Universidad de Tel Aviv, Isaac Ben-Israel, tomaría la decisión sin dudarlo. Para el militar retirado del ejército israelí, estas tecnologías han creado en el ser humano una dependencia que es ahora más una debilidad que una ventaja.
En el año 2010, Ben-Israel fue llamado por el primer ministro de Israel Benjamín Netanyahu para mostrarle una carta que aquél le había enviado en 1997. En la carta, el profesor advertía que la relativa ventaja que tenía Israel al controlar ciertas tecnologías podría convertirse en una desventaja porque, a diferencia de los vecinos de este país 一Libano, Jordanía, Siria y Egipto一, en Israel todo está controlado por computadoras: desde la producción de energía y el suministro de agua hasta el transporte y el sistema bancario.
La llamada de Netanyahu en 2010 se debía a que, en su misiva, Ben-Israel pronosticaba que algún día todo el mundo 一y no sólo los cuerpos de inteligencia militares一 entendería la necesidad de la ciberseguridad en los sistemas de cómputo. Esto ocurrió justamente en el 2010, cuando se dio a conocer el ciberataque en contra del programa nuclear iraní mediante el uso del malware Stuxnet, una pieza considerada una ciberarma que se le ha adjudicado a los gobiernos de Estados Unidos e Israel en conjunto, aunque ninguno de estos países ha admitido esta responsabilidad.
“En un día, el mundo entero comenzó a hablar de ciberseguridad”, dijo Isaac Ben-Israel a un grupo de periodistas que acudimos a la Conferencia Internacional de Ciberseguridad (Cyber Week 2019) en Tel Aviv. “Lo que hicimos en 2010 fue que entendimos que no había forma de mantener a la ciberseguridad detrás de los muros de secrecía en los que se encontraba, por lo que la volvimos un objeto para la vida civil normal”.
Plan Nacional de Ciberseguridad
Aunque el Estado israelí considera a la ciberseguridad como parte de la seguridad nacional desde 2002 一en buena medida a causa de la carta escrita por Ben-Israel一, fue a partir del año 2010 que comenzaron a establecerse las bases de lo que hoy es el Plan Nacional de Ciberseguridad de este país.
El llamado de Netanyahu a Ben-Israel no sólo tenía la intención de mostrarle la carta que este había escrito en 1997. El primer ministro israelí le encomendó al profesor la misión de desarrollar una fuerza de tarea que se encargara de estimar las amenazas que enfrentaría Israel en el ciberespacio, buscar las soluciones ante estas amenazas y ordenarlas según ciertas prioridades. Todo esto con el fin de elaborar un Plan Nacional de Desarrollo de Ciberseguridad en un plazo de cinco años.
Ben-Israel le confesó a Netanyahu que esta misión no podía llevarse a cabo, porque resulta imposible conocer las amenazas o las soluciones a estas amenazas en un periodo de cinco años. “Cuando se habla de tecnología computacional, tienes una nueva generación cada año y medio y cuando se habla de tecnología de ciberseguridad, esto se reduce a un año, porque estás más cerca de la capa de software que de la de hardware”, dijo.
De acuerdo con Ben-Israel lo único que podía hacerse era construir el conocimiento adecuado y capacitar a las personas de acuerdo con este conocimiento para que cuando se presentara una amenaza cibernética, éstas pudieran reaccionar de forma rápida y adecuada de acuerdo con ese conocimiento.
En enero del 2012, fue lanzado el Programa Nacional de Ciberseguridad de Israel, cuya principal oficina, el Buró Nacional de Ciberseguridad de Israel, dependía directamente de la oficina del primer ministro y cuya función no sería defender a Israel de ciberataques sino construir un ecosistema de talento y capacidades en materia de ciberseguridad.
En la actualidad, el Programa Nacional de Ciberseguridad de Israel incluye la existencia de un grupo de Equipos de Respuestas ante Emergencias Informáticas (CERT) especializados en seguridad nacional, instituciones financieras, infraestructura energética, a los que próximamente se añadirán equipos especializados en seguridad en telecomunicaciones, salud, medio ambiente y transporte.
El programa también abarca el desarrollo de un complejo especializado en ciberseguridad en la ciudad de Bersebá y la creación de una línea telefónica de atención ante emergencias cibernéticas, el número 119. Además, tan sólo en la Universidad de Tel Aviv se encuentran 250 investigadores dedicados a la ciberseguridad, lo que se suma a la existencia de varias carreras en esta materia tanto en esta universidad como en todo el país, un ecosistema que se agrupa una semana al año en la Conferencia Internacional de Ciberseguridad (Cyber Week).
Balancear la ecuación: ciberseguridad vs privacidad
En 2013, las revelaciones sobre los programas de vigilancia que el gobierno de Estados Unidos realizaba en contra de sus propios ciudadanos pusieron en el centro de la discusión en torno a la ciberseguridad la tensión que existe entre esta materia y la privacidad de las personas. “Mientras más eficiente sea en implementar la seguridad en la red en mi país, más riesgo hay de que se viole la privacidad de mis propios ciudadanos. No porque tenga sospechas de que están actuando en mi contra, sino porque necesito vigilar ciegamente a todos porque no sé desde dónde vendrá un ataque”, dijo Ben-Israel.
Por esta razón, el gobierno israelí decidió separar las funciones de inteligencia y seguridad nacional de las de ciberseguridad, lo que condujo a que la actual misión de la rama civil que integra el Directorado Nacional de Ciberseguridad de Israel no sea la persecución de cibercriminales, a la que se dedican diversas fuerzas del orden como el Shin Bet, la agencia de inteligencia israelí y la policía, sino limpiar el ciberespacio israelí de todo aquel malware que pudiera afectar a su red.
“Por eso desde 2015 usamos una herramienta de inteligencia artificial que nos permite analizar anomalías dentro de la red sin la necesidad de entrar al nivel de contenido de los mensajes que se envían. Si tenemos la sospecha de que una pieza de código tiene un origen particular, entonces acudimos a otra agencia que a su vez tendrá que acudir a un juez para solicitar el permiso para vigilar esa pieza de código únicamente y no toda la red”, dijo.
A diferencia de México, que ha intentado sin éxito desarrollar una estrategia nacional de ciberseguridad desde hace al menos tres años, Singapur y Reino Unido son dos países que han imitado el programa elaborado por Israel, que también incluye la educación en materia de ciberseguridad desde los niveles más básicos de la educación, pasando por la educación media superior hasta llegar a carreras universitarias enteras dedicadas a esta materia.
Para el profesor Ben-Israel, en términos básicos, la ciberseguridad se define como la protección contra el abuso de la debilidad que supone la dependencia del ser humano de las computadoras. “Si yo pudiera decir: Hay que desaparecer las tecnologías cibernéticas del mundo, lo haría. Porque como les decía, Israel depende mucho de los sistemas computacionales y por esta razón somos mucho más vulnerables que los demás”, remató.
Este reportero acudió a la novena Conferencia Internacional de Ciberseguridad (Cyber Week 2019) por invitación del Ministerio de Asuntos Exteriores de Israel, que cubrió todos los gastos de alojamiento, alimentación y transporte necesarios para cubrir dicho evento.
rodrigo.riquelme@eleconomista.mx