Hace cuatro meses, Microsoft orquestó un golpe cibernético. Sus detectives identificaron un "botnet" o servidor falso, que había instalado un malware en computadoras de todo el mundo, y luego trabajaron junto al FBI para inhabilitarlo. Para su sorpresa, descubrieron que no menos de 12 millones -sí, 12 millones- de PC fueron infectadas, según Tom Burt, asesor legal de la compañía.

Es entendible que uno sienta la tentación de gritar un "vamos, todavía". Después de todo, los botnets presentan una amenaza particularmente dañina porque son muy difíciles de encontrar. Y los ciberataques en general son cada vez más explosivos y cuestan a las empresas un total de u$s 400.000 millones anuales, según datos de Microsoft.

Sin embargo, hubo una captura. Microsoft y el FBI ahora tienen la esperanza de iniciar juicio a los hackers que crearon ese botnet. Pero como ese botnet no fue totalmente manejado desde suelo norteamericano -y esas 12 millones de computadoras infectadas están repartidas por todo el mundo, desde China e India hasta Chile y Estados Unidos- la saga podría caer en una zona gris judicial.

"Pensemos en una situación en la que un botnet en Singapur manejado por hackers en Bulgaria causó daño a alguien en Estados Unidos", dijo Burt. "¿Quién tiene competencia? ¿Qué leyes se aplican?," se preguntó. Nadie sabe. En el ciberespacio, como en el sistema financiero global hace una década, una serie de actividades criminales corren peligro de caer en el olvido porque las normas nacionales no son adecuadas para regir el tan cambiante mundo digital.

Los inversores y políticos de todo el mundo deberían tomar nota -y preocuparse. Y mucho. En los últimos dos años, los gobiernos y las empresas occidentales hicieron considerables avances en la construcción de defensas contra el delito cibernético. La semana pasada en Washington, por ejemplo, el Departamento de Seguridad Nacional lanzó un programa automático para compartir información apuntado a las compañías de servicios públicos. El objetivo es garantizar que, "cuando adversarios tratan de hacer algo" contra una compañía norteamericana, todas las demás estén en alerta, según Suzanne Spaulding, subsecretaria del departamento.

En verdad, ese reparto de información es aún imperfecto. John Carlin, fiscal adjunto para la seguridad nacional, admitió: "la gran mayoría de las compañías no informan las pequeñas intrusiones" entre ellas. Pero la situación es mejor que hace cuatro años, cuando las sospechas entre las compañías y el establishment de seguridad eran tales que la Cámara de Comercio norteamericana tardó en implementar los programas para compartir información. Y el hecho de que nadie hackeó con éxito un servicio público estadounidense, digamos, sirve de consuelo.

Pero, a medida que las empresas y el gobierno apuntalan sus defensas, la gran pieza faltante de esta campaña es el castigo. Tal como sabe cualquier padre o regulador, es difícil impedir un mal comportamiento sin un sistema que imponga disciplina. Y, actualmente, muy pocos ciber delincuentes fueron llevados ante los tribunales, comparado con la escala del actual atraco de u$s 400.000 millones.

Eso en parte refleja la dificultades para identificar y arrestar a los delincuentes, en particular en lugares como Rusia y China. El otro gran problema es el que enfrenta Microsoft: el marco legal internacional es un desastre.

En un mundo racional, eso sugeriría que un organismo multilateral, como la ONU, debe con urgencia crear leyes comunes o al menos incentivar un mayor reconocimiento mutuo. En el mundo real, la colaboración sensata es difícil de organizar; de hecho, los acontecimientos como el caso Edward Snowden -donde revelaciones de un ex contratista de la Agencia de Seguridad Nacional estadounidense sobre el alcance de la vigilancia de Internet que hace EE.UU. generó peleas transatlánticas sobre la privacidad- están complicando aún más este debate. "Los muros so cada vez más altos", dijo Burt.

Por lo tanto, en el interim los funcionarios norteamericanos están usando todas las herramientas locales que tienen. Carlin, por ejemplo, contó que los funcionarios de seguridad de Washington hace poco lograron extraditar desde Malasia a un hacker sospechado de haber creado un ataque cibernético contra una cadena de venta minorista norteamericana que fue el inicio de un plan islámico mayor.

Pero la acción legal estadounidense no es una solución efectiva en el largo plazo; especialmente porque esas medidas unilaterales podrían provocar una reacción violenta. Y muchas compañías occidentales de hecho están atrapadas: pueden construir defensas contra el cibercrimen pero no pueden tomar represalias efectivas.

Por eso, cuando la gente describe el ciberespacio como el nuevo Lejano Oeste, tienen razón en parte. Éste es un lugar donde los canallas tienen una interminable oferta de armas baratas pero los ciudadanos comunes y corrientes sólo tienen barricadas. No parece probable que esto cambie pronto -a menos y hasta que compañías como Microsoft encuentren una manera de poner a esos creadores de botnets detrás de las rejas. Ese sería un golpe aún más notable.