Tras advertir que las compañías de Estados Unidos son el blanco de una intensa campaña de ciberespionaje, los principales funcionarios de seguridad informática del presidente Barack Obama dijeron el miércoles que están batallando para defender al país de ataques contra sus redes de computadoras privadas e instaron al Congreso a aprobar leyes que cierren brechas regulatorias.

Obama firmó esta semana una orden ejecutiva que depende en buena medida de la participación de la industria estadounidense para la creación de normas voluntarias que protejan la información. La orden expande además los esfuerzos del gobierno para compartir datos con compañías.

Pero legisladores y expertos dicen que la directriz de Obama carece de lo que necesitan más las empresas estadounidenses: protección legal para que no sean demandadas si admiten que han sido víctimas de ciberintrusos o si comparten datos de amenazas con competidores. Eso solamente puede provenir del Congreso, que no ha conseguido ponerse de acuerdo sobre cómo proteger a empresas y consumidores por igual.

"El gobierno a menudo no está al tanto de actividad maliciosa dirigida contra nuestra infraestructura crítica", dijo Keith Alexander, jefe de la Agencia Nacional de Seguridad y del Cibermando.

"Esos puntos ciegos nos impiden estar en posición de ayudar nuestra infraestructura a defenderse y no nos permiten saber cuándo tenemos que defender la nación", dijo Alexander a representantes de la industria y funcionarios del gobierno en el Departamento de Comercio.

En su discurso a la nación el martes, Obama dijo que los enemigos de Estados Unidos están "buscando la capacidad de sabotear nuestras redes eléctricas, nuestras instituciones financieras y nuestros sistemas de control de tráfico aéreo. No podemos mirar atrás en unos años y preguntarnos por qué no hicimos nada ante amenazas reales a nuestra seguridad y nuestra economía".

Y añadió: "Ahora, el Congreso debe dar pasos, aprobando leyes que den a nuestro gobierno una mayor capacidad para proteger nuestras redes y prevenir ataques".

La orden ejecutiva de Obama había estado en preparación durante meses y es el fruto de negociaciones a menudo difíciles con compañías del sector privado que se oponen a una mayor regulación gubernamental.

Mayormente simbólico, el plan deja varias preguntas sin respuesta: ¿Debe requerirse a los negocios que le digan al gobierno si han sido víctimas de ciberintrusos y están en juego intereses estadounidenses? ¿Puede una persona demandar a su banco o compañía de tratamiento de aguas si esas entidades no adoptan pasos razonables para protegerla?¿Si una compañía privada es atacada, debe el gobierno intervenir para frenar los ataques — y pagar la cuenta?

Bajo la orden ejecutiva, el Instituto Nacional de Estándares y Tecnología tiene un año para finalizar un paquete de normas y procedimientos voluntarios que ayudará a la compañía a lidiar con los riesgos cibernéticos. El paquete debe incluir pasos flexibles, costeables y basados en rendimiento, que compañías críticas para la infraestructura pueden dar para identificar riesgos en sus redes y sistemas, y para definir formas de manejar esos riesgos.

La Casa Blanca dice que considera que es necesaria legislación de ciberseguridad para cubrir las brechas en la orden ejecutiva. Pero el año pasado, Obama amenazó con vetar una propuesta de ley de la cámara baja luego que activistas de privacidad advirtieron que cláusulas en la misma pudieran expandir drásticamente la vigilancia gubernamental.