Como antes informado por El DiplomáticoJapón va a la zaga de otros países importantes en la defensa contra los ciberataques. Actualmente, sólo es posible la ciberdefensa pasiva, como la detección de intrusiones en la red.
El gobierno japonés ha decidido introducir una ciberdefensa activa en la nueva Estrategia de Seguridad Nacional que se publicará en diciembre de 2022 para ponerse al día con el retraso en los esfuerzos de ciberdefensa. Japón reconoce la necesidad de disuadir los ataques cibernéticos a infraestructuras clave, como organizaciones gubernamentales y plantas de energía nuclear.
Pero los esfuerzos del gobierno todavía avanzan a paso de tortuga.
“Las defensas cibernéticas de Japón fueron ridiculizadas por el mundo porque no hicimos nada”, dijo Kanehara Nobukatsu, ex subsecretario del gabinete y subdirector general de la Secretaría de Seguridad Nacional durante la segunda administración de Abe Shinzo en la década de 2010. en una transmisión de televisión de BS Fuji el 23 de mayo.
“Muchos en Corea del Norte, Rusia y China están a la caza de grandes cantidades de datos en el ciberespacio japonés. ¿Quién los atrapará? Nadie en Japón ha hecho nunca eso. Japón es el único país que ha sido negligente en materia de ciberseguridad durante 20 años”, advirtió Kanehara.
El Washington Post informó el 7 de agosto del año pasado. que los piratas informáticos militares chinos habían penetrado los sistemas que manejaban los secretos de defensa de Japón y que el gobierno de Estados Unidos emitió una advertencia a Japón en el otoño de 2020.
«Fue malo, sorprendentemente malo», dijo el periódico citando a un ex oficial militar estadounidense.
¿Por qué la ciberdefensa japonesa es tan poco fiable? Hay múltiples razones para esto.
En primer lugar, en Japón, el Centro Nacional de Preparación para Incidentes y Estrategia para la Ciberseguridad (NISC) es responsable de las contramedidas cibernéticas del gobierno, pero no existe una organización que proteja a toda la población de las amenazas cibernéticas.
Es cierto que Japón está en condiciones y preparado para responder a amenazas inmediatas, como los terremotos, más rápidamente que casi cualquier otro país importante. Sin embargo, Japón normalmente no reacciona con fuerza ante problemas que son difíciles de detectar. Por ello, el debate sobre la ciberseguridad lleva años en suspenso.
El gobierno estableció en la Estrategia de Seguridad Nacional 2022 que “el NISC se reestructurará de manera constructiva para crear una nueva organización que coordinará de manera integral y centralizada la política de ciberseguridad”. Sin embargo, no hay una estimación de cuándo se establecerá esta organización.
Segundo: para implementar una ciberdefensa activa, la legislatura debe cambiar las leyes existentes. Sin embargo, los obstáculos para ello son grandes.
En concreto, la Estrategia de Seguridad Nacional nombra las siguientes tres medidas para implementar una ciberdefensa activa:
- Japón avanzará en sus esfuerzos de intercambio de información con el gobierno en caso de ataques cibernéticos al sector privado, incluida la infraestructura crítica, y también coordinará y apoyará la respuesta a incidentes en el sector privado.
- Japón tomará las medidas necesarias para detectar servidores y otras infraestructuras digitales sospechosas de ser explotadas por atacantes. Para ello, el país utilizará información sobre los servicios de comunicación de los proveedores de telecomunicaciones nacionales.
- Para ataques cibernéticos graves que plantean preocupaciones de seguridad porque están dirigidos al gobierno, infraestructura crítica y otros, el gobierno recibe la autoridad necesaria para penetrar y neutralizar los servidores del atacante y de otros con la mayor antelación posible.
En cuanto al punto dos, las actividades de recopilación de inteligencia dentro de la red son esenciales para detectar servidores sospechosos de sufrir abusos o ataques a través de comunicaciones sospechosas. Sin embargo, cuando se trata de monitorear el ciberespacio utilizando información de proveedores de telecomunicaciones nacionales, existe una alta probabilidad de que se violen los datos personales y la privacidad de los ciudadanos.
El artículo 21 de la Constitución japonesa garantiza a los ciudadanos el “secreto de las comunicaciones” y la Ley de Telecomunicaciones exige a los proveedores de telecomunicaciones proteger la privacidad de las comunicaciones. Por tanto, existe el riesgo de que esto entre en conflicto directo con las disposiciones de la Estrategia de Seguridad Nacional.
Si un país no puede garantizar la seguridad del ciberespacio, ciertamente no puede garantizar la confidencialidad de las comunicaciones. Pero es muy difícil trazar una línea en cuanto a lo que constituye una recopilación legítima de información, como lo demuestran las filtraciones de Edward Snowden, un ex empleado de la CIA.
El tercer punto -permitir al gobierno entrar en los servidores de un atacante y neutralizarlos- plantea un obstáculo aún mayor. Una vez que se sospecha un ataque a un servidor, el gobierno recibe la autoridad para acceder a los sistemas de la otra parte. Sin embargo, esto podría violar la Ley de Acceso No Autorizado a Computadoras de Japón, que prohíbe el acceso no autorizado a los sistemas.
Además, una forma de neutralizar un ataque es enviar malware (programas maliciosos) al origen del ataque. Esto también puede constituir una violación de la pena penal por crear virus informáticos.
Si el sistema de la otra organización es destruido por dicha penetración y neutralización, no se puede descartar que se considere un ataque armado. También es necesario considerar los requisitos y estándares para su implementación, así como quién llevará a cabo el contraataque cibernético.
En tercer y último lugar, el desarrollo de defensas cibernéticas activas debe ser coherente con el antiguo principio japonés de una política exclusivamente orientada a la defensa, que ha formado la política nacional del país durante los 79 años transcurridos desde el final de la Segunda Guerra Mundial.
En Japón, desde la perspectiva de la defensa exclusiva, se consideraba difícil tomar contramedidas antes de ser atacado. Pero con una ciberdefensa activa, las agencias gubernamentales relevantes recopilan y analizan información sobre los atacantes. Si existe riesgo de un ciberataque grave, se infiltran en el sistema del atacante y lo vuelven inofensivo en un ataque preventivo.
Para mejorar las capacidades de defensa cibernética de Japón, el gobierno planea convocar un panel de expertos por primera vez a principios de junio y presentar un proyecto de ley en una sesión extraordinaria del Parlamento este otoño.
Queda por ver si Japón puede establecer un sistema para proteger a sus ciudadanos que cumpla con los estándares internacionales superando los numerosos desafíos legales.
