Recientemente una reportera me preguntaba sobre la Agenda Global de Cibeseguridad de la ITU, estos fueron mis comentarios:
Todo análisis del tema debe de considerar dos aspectos vitales:
1. Que toda política de ITU hacia Internet parte, antes que de cualquier otra cosa, del esfuerzo de la institución por mantener su sobrevivencia y relevancia en el mundo de Internet, donde, a diferencia de la red telefónica tradicional, la agencia tiene muy poca capacidad real de fijar estándares tecnológicos o normas para fijar políticas públicas.
2. Que en temas de ciberseguridad hay dos tipos de amenazas:
El cibercrimen: que la Propuesta de una Convención Internacional para Cibercrimen y Terrorismo de la Universidad de Stanford define como:
• La acción de crear o usar programas que provoquen que un sistema de cómputo deje de operar en la forma como fue concebido o realice funciones no contempladas por su dueño legítimo.
• La acción de crear, modificar, borrar o manipular datos en un sistema de cómputo con la intención de proveer información falsa para causar daños a las personas o a las propiedades.
• Obtener acceso a un sistema restringido.
• Usar un sistema de cómputo como factor material para la comisión de un acto penado por las diversas convenciones en materia aeronáutica, marítima, de actos terroristas y narcotráfico.
Y donde tiene más impacto los esfuerzos y políticas que fijan autoridades judiciales y financieras locales en cada país más allá de lo que diga la ITU. Es decir, tiene más impacto (para el ejemplo de México) toda la iniciativa de protección a usuarios de banca electrónica de la CNBV y los esfuerzos de la AFI por combatir la pornorafía infantil que cualquier discurso de una burocracia internacional cuyo único incentivo es mantener una posición de poder.
El ciberterrorismo: que el Taller sobre la Creación de Confianza en Infraestructuras de Red Críticas (término que involucra a todos los tipos de redes no solo Internet tanto en su parte física –las redes- como lógica – el software-) realizado en la República de Corea del Sur en Mayo del 2002 define como el Cibercrimen cometido por una amenaza estratégica, que es la que posee las siguientes características que la distinguen del criminal casual:
• Es estructurada, de forma tal que la fuente de una amenaza es una organización y no un individuo aislado.
• Está bien financiada, de forma que cuenta con equipo, tecnología y personal necesarios para operar un ataque de gran escala desde múltiples localidades.
• Es un actor hostil al tener fines antagónicos con los de la parte atacada. Tiene objetivos de ataque bien definidos y estándares específicos de operación.
• Protege a su personal, haciéndolo difícil de identificar, localizar y aprehender.
• La estructura hostil es respaldada por una o varias agencias de inteligencia, permitiendo la infiltración de agentes que puedan tener acceso de primera mano a la operación de la ICRT o información relevante a ésta.
• Puede compartir información con otras organizaciones afines a sus intereses políticos.
Y donde es lamentable que ITU haya reducido el ámbito de su trabajo del especificado por el Taller citado a la actual Agenda de Ciberseguridad, alejada totalmente de los temas de infraestructura física (el fuerte tradicional de ITU) y más enfocada a temas de seguridad lógica, tópico donde, frente a la autoridad para fijas estándares de la IETFy a los mecanismos de cooperación como los establecidos informalmente a través de las comunidades que integran los RIRs y en el caso de Latinoamérica LACNIC, realmente ITU tiene muy poco poder de convocatoria e influencia.