Directiva Política Presidencial 20

La Directiva Política Presidencial 20 (PPD-20 por sus siglas en inglés), proporciona un marco para la ciberseguridad de Estados Unidos estableciendo principios y procesos. Firmada por el presidente Barack Obama en octubre de 2012, esta directiva sustituye a la Directiva Presidencial de Seguridad Nacional (NSPD-38). Integrando las herramientas cibernéticas con las de seguridad nacional,^[1]​ la directiva complementa la Directiva Presidencial de Seguridad Nacional (NSPD-54/HSPD-23).

Clasificada y no divulgada por la Agencia de Seguridad Nacional (NSA), la NSPD-54 fue autorizada por George W. Bush.^[1]​ Otorga al gobierno de EE. UU. el poder de llevar a cabo la vigilancia^[2]​ a través de la monitorización.^[1]​

Su existencia fue hecha pública en junio de 2013 por el ex analista de infraestructuras de la NSA, Edward Snowden.

Debido a la industria privada y a las cuestiones relacionadas con el derecho internacional y nacional,^[3]​ la asociación público-privada se convirtió en la «piedra angular de la estrategia de ciberseguridad de Estados Unidos».^[4]​ Las sugerencias para el sector privado se detallaron en la Estrategia Nacional para la Seguridad del Ciberespacio, desclasificada en 2003.^[5]​ Su documento complementario, la Directiva Presidencial de Seguridad Nacional (NSPD-38), fue firmado en secreto por George W. Bush al año siguiente.^[5]​

Aunque el contenido del NSPD-38 aún no se ha revelado,^[1]​ el ejército estadounidense no reconoció el ciberespacio como un «teatro de operaciones» hasta la Estrategia de Defensa Nacional de 2005.^[3]​ En ella se declaraba que la «capacidad de operar en y desde el espacio común global, las aguas y el espacio aéreo internacionales y el ciberespacio es importante... para proyectar poder en cualquier parte del mundo desde bases de operaciones seguras».^[6]​ Tres años más tarde, George W. Bush creó la Iniciativa Integral de Ciberseguridad Nacional (CNCI), de carácter confidencial.

Alegando la seguridad económica y nacional, la administración de Obama priorizó la ciberseguridad al asumir el cargo.^[7]​ Tras una revisión en profundidad de la «infraestructura de comunicaciones e información»,^[8]​ el CNCI fue parcialmente desclasificado y ampliado bajo el mandato del presidente Obama.^[8]​ Esboza «elementos clave de una estrategia nacional de ciberseguridad más amplia y actualizada de EE. UU.».^[9]​ En 2011, el Pentágono anunció su capacidad para realizar ciberataques.^[10]​

Después de que el Senado de los Estados Unidos no aprobara la Ley de Ciberseguridad de 2012 en agosto,^[11]​ se firmó en secreto la Directiva Política Presidencial 20 (PPD-20). El Centro de Información sobre Privacidad Electrónica (EPIC) presentó una solicitud de libertad de información para verla, pero la NSA no accedió.^[12]​ En noviembre de 2012 se informaron de algunos detalles^[13]​ a través del The Washington Post, del cual se escribió que la PPD-20 «es el esfuerzo más extenso de la Casa Blanca hasta la fecha para luchar con lo que constituye una acción "ofensiva" y una "defensiva" en el mundo de la ciberguerra y el ciberterrorismo, que evoluciona rápidamente».^[13]​ En enero siguiente,^[14]​ el gobierno de Obama publicó una hoja informativa de diez puntos.^[15]​

El 7 de junio de 2013, la PPD-20 se hizo público.^[14]​ Divulgado por Edward Snowden y publicado por The Guardian gracias a los periodistas Glenn Greenwald y Ewen MacAskill,^[14]​ forma parte de las revelaciones de vigilancia masiva de ese mismo año. Aunque la hoja informativa de Estados Unidos afirma que la PPD-20 actúa dentro de la ley y es «coherente con los valores que promovemos a nivel nacional e internacional, como hemos articulado previamente en la Estrategia Internacional para el Ciberespacio»,^[15]​ no revela las operaciones cibernéticas en la directiva,^[14]​ así como por ejemplo las posibles realizaciones que de ataques a servidores extranjeros en otros países.^[16]​

La revelación de Snowden llamó la atención sobre los pasajes que señalan la política de ciberguerra y sus posibles consecuencias.^[14]​^[17]​ La directiva denomina a las medidas defensivas y ofensivas como Operaciones de Efectos Cibernéticos Defensivos (DCEO) y Operaciones de Efectos Cibernéticos Ofensivos (OCEO), respectivamente.

• «Pérdida de vidas, acciones de respuesta significativas contra los Estados Unidos, daños significativos a la propiedad, consecuencias adversas graves para la política exterior de los Estados Unidos o impacto económico grave en los Estados Unidos».
• «La OCEO puede ofrecer capacidades únicas y no convencionales para avanzar en los objetivos nacionales de EE. UU. en todo el mundo con poco o ningún aviso al adversario o al objetivo y con efectos potenciales que van desde sutiles hasta gravemente perjudiciales. Sin embargo, el desarrollo y el mantenimiento de las capacidades de OCEO pueden requerir un tiempo y un esfuerzo considerables si no existen ya el acceso y las herramientas para un objetivo específico».
• «El gobierno de los Estados Unidos identificará objetivos potenciales de importancia nacional en los que la OCEO pueda ofrecer un equilibrio favorable de eficacia y riesgo en comparación con otros instrumentos del poder nacional, establecerá y mantendrá capacidades de OCEO integradas, según proceda, con otras capacidades ofensivas de los EE. UU., y ejecutará dichas capacidades de forma coherente con las disposiciones de esta directiva».

1. ↑ ^{a b c d} «Presidential Directives and Cybersecurity» [Directrices Presidenciales y Ciberseguridad]. Electronic Privacy Information Center | Wayback Machine (en inglés). Archivado desde el original el 23 de noviembre de 2021. Consultado el 4 de junio de 2022. 
2. ↑ «EPIC v. NSA: Google / NSA Relationship» [EPIC contra la NSA: La relación entre Google y la NSA]. Electronic Privacy Information Center | Wayback Machine (en inglés). Archivado desde el original el 16 de febrero de 2022. Consultado el 4 de junio de 2022. 
3. ↑ ^{a b} Barnard-Wills, David; Ashenden, Debi (21 de marzo de 2012). «Securing Virtual Space: Cyber War, Cyber Terror, and Risk» [Asegurar el espacio virtual: Ciberguerra, ciberterror y riesgo]. SAGE Journals (en inglés) (Reino Unido) 15 (2): 110-123. doi:10.1177/1206331211430016. Archivado desde el original el 24 de febrero de 2021. Consultado el 4 de junio de 2022. 
4. ↑ La Casa Blanca (Febrero de 2003). «The National Strategy to Secure Cyberspace» [Estrategia Nacional para la Seguridad del Ciberespacio] (PDF). Cybersecurity and Infrastructure Security Agency | Wayback Machine (en inglés). Archivado desde el original el 12 de noviembre de 2021. Consultado el 4 de junio de 2022. 
5. ↑ ^{a b} Scahill, Jeremy (2013). Dirty Wars: The World Is a Battlefield [Guerras sucias: el mundo es un campo de batalla] (en inglés). PublicAffairs. Consultado el 4 de junio de 2022. 
6. ↑ Departamento de Defensa de los Estados Unidos (Marzo de 2005). «The National Defense Strategy of The United States of America» [La Estrategia de Defensa Nacional de los Estados Unidos de América]. GlobalSecurity.org | Wayback Machine (en inglés). Archivado desde el original el 2 de abril de 2022. Consultado el 4 de junio de 2022. 
7. ↑ Krebs, Brian (29 de mayo de 2009). «Obama: Cyber Security is a National Security Priority». The Washington Post | Wayback Machine (en inglés). Archivado desde el original el 8 de marzo de 2021. Consultado el 4 de junio de 2022. 
8. ↑ ^{a b} Oficina del Secretario de Prensa de la Casa Blanca (17 de abril de 2009). «Statement by the Press Secretary on Conclusion of the Cyberspace Review» [Declaración del Secretario de Prensa sobre la Conclusión de la Revisión del Ciberespacio]. The White House | National Archives | Wayback Machine (en inglés). Archivado desde el original el 16 de marzo de 2022. Consultado el 4 de junio de 2022. 
9. ↑ «The Comprehensive National Cybersecurity Initiative» [La Iniciativa Integral de Ciberseguridad Nacional]. The White House | National Archives | Wayback Machine (en inglés). Archivado desde el original el 21 de mayo de 2022. Consultado el 4 de junio de 2022. 
10. ↑ Nakashima, Ellen (15 de noviembre de 2011). «Pentagon: Cyber offense part of U.S. strategy». The Washington Post | Wayback Machine (en inglés). Archivado desde el original el 5 de octubre de 2013. Consultado el 4 de junio de 2022. 
11. ↑ Rizzo, Jennifer (2 de agosto de 2012). «Cybersecurity bill fails in Senate». CNN | Wayback Machine (en inglés). Archivado desde el original el 13 de mayo de 2021. Consultado el 4 de junio de 2022. 
12. ↑ «EPIC v. DHS – Defense Contractor Monitoring» [EPIC v. DHS - Supervisión de Contratistas de Defensa]. Electronic Privacy Information Center | Wayback Machine (en inglés). Archivado desde el original el 4 de junio de 2022. Consultado el 4 de junio de 2022. 
13. ↑ ^{a b} Nakashima, Ellen (14 de noviembre de 2012). «Obama signs secret directive to help thwart cyberattacks». The Washington Post | Wayback Machine (en inglés). Archivado desde el original el 23 de diciembre de 2012. Consultado el 4 de junio de 2022. 
14. ↑ ^{a b c d e} Greenwald, Glenn; MacAskill, Ewen (7 de junio de 2013). «Obama orders US to draw up overseas target list for cyber-attacks». The Guardian | Wayback Machine (en inglés). Archivado desde el original el 11 de mayo de 2022. Consultado el 4 de junio de 2022. 
15. ↑ ^{a b} «Presidential Policy Directives [PPDs]» [Directivas Políticas Presidenciales [PPD]]. Intelligence Resource Program | Federation of American Scientists | Wayback Machine (en inglés). Archivado desde el original el 2 de abril de 2022. Consultado el 4 de junio de 2022. 
16. ↑ Biermann, Kai (15 de noviembre de 2012). «Obama erlaubt Angriffe auf fremde Netze». Die Zeit | Wayback Machine (en alemán). Archivado desde el original el 16 de julio de 2021. Consultado el 4 de junio de 2022. 
17. ↑ Schneier, Bruce (18 de junio de 2013). «Has U.S. started an Internet war?». CNN | Wayback Machine (en inglés). Archivado desde el original el 20 de diciembre de 2021. Consultado el 4 de junio de 2022. 

• Esta obra contiene una traducción derivada de «Presidential Policy Directive 20» de Wikipedia en inglés, concretamente de esta versión del 25 de junio de 2021, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.
• «Obama tells intelligence chiefs to draw up cyber target list – full document text». The Guardian (en inglés).
• FACT SHEET ON PRESIDENTIAL POLICY DIRECTIVE 20 (PDF). Intelligence Resource Program | Federation of American Scientists (en inglés).