En 2016 fuimos testigos de los primeros ataques masivos tipo botnet (red de robots informáticos o bots) en el Internet de las cosas (IoT, en inglés). En 2017 posiblemente seamos testigos del primer intento – llevado a cabo con éxito – consistente en responsabilizar de los daños a alguien con muchos ceros en su cuenta.
O quizá no lo veamos.
Por diferentes de motivos, es también posible que resulte inútil dar con un acusado lo suficientemente solvente como para asumir una responsabilidad legal de ese calibre.
Tomemos como ejemplo el ataque masivo acometido el 21 de octubre de tipo Denial of Service (DDoS) contra Dyn, un proveedor de servicios DNS. El ataque a Dyn afectó a algunos de los principales nombres de Internet e implicó a una botnet de más de 100.000 dispositivos interconectados en todo el mundo.
¿Fue un ataque sofisticado? Es difícil saberlo. Una de las teorías es que fue un ataque orquestado en represalia a Dyn por ayudar a Brian Krebs, un conocido periodista especializado en ciberseguridad que había sido víctima de otro ataque DDoS anterior. Otra de las teorías es que fue un error: se dice que un aficionado a los videojuegos contrariado estaba usando públicamente el código Mirai para atacar la red de Playstation y Dyn fue víctima del fuego cruzado. Sea cual sea el motivo, el resultado fue que miles de sitios de Internet como Twitter, Amazon, Netflix y Paypal tuvieron que paralizar sus operaciones durante varias horas. Las estimaciones de los daños varían, pero hay algo claro: resultó muy caro.
¿Y quién cubrirá el coste de la interrupción?
Empecemos por lo básico, es decir, por quién inició el ataque intencionadamente. No hay mucho que decir al respecto. Si fue un ataque bien orquestado y organizado, es posible que nunca sepamos la identidad de los atacantes. Si fue cosa de un solo jugador contrariado, es poco probable que encontremos muchos ceros en su cuenta corriente.
Los siguientes sospechosos serían los fabricantes de los dispositivos que fueron incorporados en la red bot. Se cree que la botnet utilizada en el ataque Dyn explotaba principalmente las grabadoras de vídeo digitales (DVR) y las cámaras IP de una empresa china, XiongMai Technologies.
Dejando de lado las cuestiones de jurisdicción y cumplimiento, seguiríamos necesitando una teoría factible de la responsabilidad. Veámoslo desde una clásica perspectiva de «responsabilidad del producto».
No existe ninguna base que justifique una reclamación de garantía porque, en este caso, las víctimas (es decir, los sitios de Internet afectados y sus usuarios, por no mencionar a Dyn) no compraron los dispositivos en XiongMai. Por tanto, no hay garantía que justifique la reclamación.
Tampoco es una cuestión estrictamente de responsabilidad, porque vender cámaras con acceso web y DVR no suele considerarse un negocio peligroso en sí mismo.
Nos queda solo la negligencia. Para que una reclamación por negligencia resulte convincente, las víctimas necesitarían demostrar que XiongMai infringió su deber de diligencia para con las víctimas, y que los daños surgidos de dicha infracción eran razonablemente previsibles cuando diseñaron las DVR y las cámaras.
Me atrevería a decir que ningún juez o jurado en su sano juicio dictaminaría que XiongMai tenía responsabilidad alguna para con Dyn (y los miles de sitios de Internet que dependen de ellos) solo porque la empresa fabricó DVR y cámaras a los que se podía acceder por Internet. Es poco probable que un juez llegase a creer que XiongMai podría haber previsto que un hacker publicaría un código malintencionado que un usuario descontento utilizaría para distorsionar a Dyn de forma accidental y masiva, junto con los miles de sitios de Internet que dependen de ellos.
Esto nos deja con una única opción: Dyn. Si seguimos el mismo análisis que aplicamos anteriormente a XiongMai, el problema se reduciría a si Dyn tomó las medidas oportunas para protegerse de una amenaza bastante previsible que podría afectar a miles de sitios de Internet. En este caso, y como este mismo tipo de botnet ya había logrado bajarle los humos a Krebs (uno de los mayores expertos en ciberseguridad del país), sería difícil demostrar que Dyn podría haberlo evitado. Esto parece lógico. El hecho de verlo en retrospectiva para adjudicar la carga de los tremendos estándares de seguridad en la víctima de un ataque DDoS masivo, viola un cierto sentido de propiedad.
Esto deja a la víctima sin nadie a quien recurrir para recibir indemnización. Y sirve como argumento a favor para que los legisladores impongan unas mínimas normas de seguridad a los fabricantes del IoT y multas o recursos adecuados para quienes no cumplan dichos estándares.