El sistema inmune de Internet

NUEVA YORK – Virus, suplantación de identidad, programas espía, correo no deseado, ataques de denegación de servicio, software robot … Probablemente hayan oído hablar de estos términos, y tal vez incluso hayan sufrido como consecuencia de lo que significan, con o sin saberlo.

Me gustaría presentar una solución sencilla para encarar (no resolver) estos problemas de seguridad, una solución que no requiere un acuerdo entre todos los gobiernos (o la gente) sobre qué constituye realmente un delito, mucho menos una fuerza policial global o tratados globales inaplicables. Si podemos aumentar la seguridad en general, entonces los gobiernos pueden concentrarse en los verdaderos delincuentes.

Una mejor estrategia es considerar a la seguridad informática como una cuestión de salud pública y economía, en la que la gente se puede proteger a sí misma pero debe pagar por los costos que le impone a otros. Necesitamos capacitar a la gente para defenderse de los demás, impedir que gente inocente y bienintencionada se infecte y afecte a otros, y reducir los incentivos y la capacidad de los malintencionados para hacer daño.

Dicho así suena como si se tratara de muchos desafíos diferentes. Pero existen estrategias efectivas para cada uno de ellos que no exigen rastrear a todo el mundo online, ni requieren identificaciones para cada interacción. Rastrear las identidades de los usuarios no nos permitirá atrapar o frenar a los malos, y hará que Internet se vuelva imposible de usar. No podemos salvar al ciberespacio destruyendo su apertura.

Para implementar una seguridad efectiva, las entidades mejor equipadas para hacerlo, los proveedores de servicios de Internet, deben tomar la delantera. Son organizaciones con conocimientos técnicos y la capacidad (en mayor o menor medida) para proteger a los usuarios y detectar a los abusadores; tienen una relación directa (aunque impersonal) con sus usuarios, y compiten por los negocios de los usuarios, de modo que, a diferencia de los gobiernos, sufrirán si su desempeño no es bueno.

Los PSI (más que los gobiernos) deberían ofrecer una seguridad básica -contra los virus, contra la suplantación de identidad, contra los correos no deseados y cosas por el estilo- como una función regular de los servicios de Internet para usuarios. No es difícil de hacer. Una cantidad de empresas dedicadas a los programas antivirus compiten para ofrecer servicios de seguridad a los usuarios; cada proveedor de Internet podría elegir una empresa u ofrecer a sus clientes una selección entre tres, por ejemplo. El truco es lograr que los consumidores utilicen estas herramientas -lo que demandará una campaña de concientización junto con las líneas de mensajes de salud pública-. El resultado debería ser algo más cercano a una campaña de limpieza de manos generalizada que a un sistema de hospitales de terapia intensiva.

En cuanto al correo no deseado, los PSI (inclusive los proveedores de servicios de correo electrónico) podrían limitar a sus usuarios a, digamos, 100 correos electrónicos por día; si quiere más, uno debe pagar o al menos ofrecer un bono de seguridad, o pasar alguna prueba de buen comportamiento. Al mismo tiempo, todos los PSI deberían implementar un sistema de identificación de email (hay dos buenos estándares, llamados Domain Keys y SPF). Esto no es para rastrear el correo de todo el mundo, sino para impedir que los malos engañen a los buenos.

Los PSI bloquearían parcialmente el tráfico de los proveedores de Internet que no se sumaron al colectivo de seguridad y en breve sus clientes se quejarían, obligándolos a integrarse o a descubrirse relegados al submundo, del cual sería difícil lanzar ataques porque nadie aceptaría su tráfico. Y, como los PSI responden a otros PSI, no a gobiernos, los disidentes y los delatores podrían mantener su anonimato.

En lo que se refiere a combatir la suplantación de identidad y a las descargas de programas malignos, existe una cantidad de servicios que rastrean sitios "malos" y advierten a los usuarios. Los usuarios pueden ir adonde quieran, pero al menos hay señales que les advierten que están entrando a un vecindario peligroso.

Google lo hace en sus resultados de búsqueda, al trabajar en conjunto con StopBadware.org (soy miembro de la junta de asesores), y tanto Firefox de Mozilla como Internet Explorer de Microsoft están ofreciendo protecciones similares. En todos los casos, los usuarios o profesionales aventureros pueden superar el paternalismo, pero sólo pagando lo que corresponda a un seguro de responsabilidad, por los riesgos que imponen al sistema.

El punto es crear incentivos económicos para reducir los delitos cibernéticos. Los verdaderos criminales no serán disuadidos, pero un sistema de estas características impediría que el resto de nosotros nos viéramos arrastrados o nos convirtiéramos en víctimas. Con menos víctimas, el delito reditúa menos.

Existen varias razones por las que esto aún no ha sucedido. La primera es la inercia, combinada con (o disfrazada de) idealismo -la idea errónea de que Internet debería ser libre no sólo para expresarse, sino también de pago-. Sin embargo, sustentar una infraestructura que mantiene a la gente a salvo tiene un costo.

De hecho, el costo -tanto para los usuarios como para los PSI- es el segundo obstáculo. El desafío es reconocer los costos (como estamos haciendo actualmente con la contaminación) y asignarlos a aquellas personas que puedan pagar por ellos -y a las que se pueda obligar a hacerlo-. Después de todo, aceptamos los costos de las fuerzas policiales y de la atención sanitaria, lo que incluye no sólo hospitales, sino también agua limpia, alimentos seguros, etc.

¿Cómo hacemos, entonces, para que esto suceda? Los PSI necesitan trasladar estos costos a sus clientes. Pero no lo harán, porque compiten básicamente por el precio. De modo que los clientes necesitan exigir seguridad como parte de su servicio, mientras que los PSI necesitan rechazar a los PSI que no cumplen con las reglas.

Para facilitar las cosas, alguien debería presentar una demanda legal -no demasiadas- contra los PSI que toleran la mala conducta. Los blancos deberían ser los PSI que intencionalmente les prestan servicio a clientes delincuentes, negándose a darle curso a reclamos al punto de que la ignorancia ya no es una excusa legítima.

Pero los costos de los PSI también incluyen advertirle a la gente que no debe ingresar a sitios malos, lo que requiere un sistema de debido proceso para notificarle a los propietarios de sitios web comprometidos -de manera que puedan repararlos o tomar conciencia de que han estado expuestos-. Administrar un sistema de estas características es relativamente costoso, pero es más económico que los costos de no tenerlo.

Estos cambios no crearían algún sistema nervioso digital con un cerebro centralizado que podría resolver todos los problemas. Más bien, resultarían en algo así como un sistema inmune de PSI rivales y servicios de seguridad en evolución, locales y omnipresentes. Eso mejoraría enormemente la situación general de la seguridad informática: la gente común se sentiría segura y los especialistas en cumplimiento de la ley y la seguridad podrían concentrarse en las mayores amenazas.

Copyright: Project Syndicate, 2009.
Traducción de Claudia Martínez