domingo, 29 de marzo de 2015

La Guerra Gélida II: Ciberguerra y Ciberdiplomacia


(Se recomienda la lectura del artículo anterior “La Guerra Gélida” en el que se define el concepto de ciberguerra, los ciberataques más conocidos y las fuerzas de ciberdefensa que han montado los Estados más poderosos, entre otras cosas) 

Portada de la revista TIME sobre Ciberguerra

En el artículo anterior vimos como la enorme dependencia que nuestra sociedad tiene respecto de sistemas automáticos conectados a redes tales como ordenadores, dispositivos móviles, sistemas empotrados, sensores, sistemas de salud y de provisión de energía, entre otros, nos hace especialmente vulnerables a ciberataques. Si en esos ataques la entidad que se defiende o la que ataca o ambas son Estados estamos ante una situación de ciberconflicto o ciberguerra. Todavía no hay registradas víctimas mortales pero puede ser cuestión de tiempo, por eso no es todavía un guerra “caliente”, ni siquiera fría- que también tuvo sus bajas - sino “gélida”. Los Estados se toman la amenaza en serio…

Los escenarios de los ciberconflictos
Pero, ¿qué escenarios de guerra informática se pueden contemplar?, Wegener (1) nos habla de cuatro posibles  a los que yo añadiría otros dos más. Todos estos escenarios tienen algo en común, por un lado, a todos les falta un marco jurídico internacional y, por otro lado, es muy difícil identificar al autor del ataque y, por tanto, su imputación a un Estado concreto,  gracias a las técnicas que permiten ocultar el origen del mismo.

El primer escenario que propone Wegener es el ataque por parte de los servicios de inteligencia, la ciberinteligencia en palabras del autor. Estados y organizaciones no gubernamentales – no me refiero por supuesto a las ONG humanitarias – que se introducen en las redes del enemigo con el fin de obtener información sensible e información sobre las ciberdefensas con el fin de servir de trampolín para futuros ataques. Por supuesto, los elementos que se usan para estos ataques intentan pasar desapercibidos al agredido. Este escenario sí que es bastante común aunque se mantiene en general con mucho sigilo por agresores y agredidos.

El segundo escenario es el ataque masivo a redes públicas y privadas, paralizando múltiples servicios, las infraestructuras y la economía del Estado agredido. A este tipo correspondería el ataque a Estonia del que hemos hablado en el artículo anterior.

El tercer escenario es el ataque combinado digital y cinético, según la terminología de Wegener, lo que querría decir un ataque con divisiones convencionales sobre el terreno físico combinado con una ciberataque a las estructuras de redes de comunicaciones y sistemas de defensa automatizados, así como, a redes civiles. A este tipo de escenario correspondería el caso de la guerra de Osetia del Sur entre Rusia y Georgia.

El cuarto escenario sería un asalto digital general que se presenta cuando un Estado o una combinación de propietarios de “Botnet” (2) y Gobiernos, atacan a la vez a estructuras clave de la economía, infraestructuras esenciales y sistemas de defensa. Es el tipo más grave de ataque y busca provocar el colapso del Estado atacado, provocando un número indeterminado pérdidas humanas. Que yo sepa todavía no se ha producido un conflicto de este tipo

El quinto escenario, sería una revolución política digital. El ataque lo dirigirían sectores de la propia población contra las estructuras del Estado con la intención de cambiar el gobierno por medios revolucionarios, con posibilidad de apoyo de Estados terceros. Aunque ha habido diversas iniciativas revolucionarias digitales durante la primavera árabe y otros procesos semejantes, hasta ahora han sido conflictos de baja intensidad, se han circunscrito a intercambio de información, a convocatorias masivas y a ciberataques menores. 

El sexto y último sería el ciberataque de un Estado a una empresa o grupo de empresas de otro Estado. Este segundo podría entender la agresión como un acto de guerra y responder a la misma. Son conocidos los casos de China y los ataques a empresas norteamericanas que provocaron una seria amenaza de represalias por parte de los Estado Unidos.

¿Occidente está menos preparado que Rusia y China?
Pareciera que Rusia y China están detrás de casi todos los ciberconflictos, incluso, en el caso del ataque a la multinacional Sony parece que los chinos prestaron alguna clase de ayuda si hemos de hacer caso a algún medio de la prensa internacional. Rusia tiene fama desde los años ’90 de tener a “hackers” muy competentes en sus malas artes y tiene fama de ser un país sin ley en todos estos aspectos. La fama de piratas de los chinos no le va a la zaga, aunque existe una visión más estatal de las actividades del gigante de Oriente. En cualquier caso, existe la imagen en Occidente de que los rusos y los chinos están por encima en tecnología, inversión y conocimientos.

De todas formas yo no estoy tan seguro de ello, como dice Thomas Rid (3), la realidad parece diferente. Por ejemplo el ciberataque más sofisticado registrado hasta el momento, Stuxnet , parece que fue una operación norteamericana e israelí. En opinión de Rid, China y Rusia han demostrado una significativa capacidad en técnicas de ciberinteligencia pero no así en ciberarmamento, cuya capacidad ha sido sobrevalorada. En lo que se refiere a ciberataques de carácter militar, Estados Unidos e Israel, parecen estar en una posición privilegiada.

En lo que Rusia y China están por encima de las democracias occidentales es en la ciberseguridad. Ambos Estados no le tienen mucho amor a la libertad de expresión y han desarrollado sistemas de vigilancia y control de la red por temor a sus propios ciudadanos, sobre todo en el caso chino. Como dice Rid, el peor escenario posible para ellos no es tanto que se colapse una planta de producción de energía como que se colapse el sistema político. Por lo tanto están más desarrollados que los Estados Unidos en la ciberseguridad entendida como la lucha contra comportamientos subversivos pues es el escenario de ciberguerra en el que han estado trabajando más tiempo y con más recursos.

Ventajas y desventajas de un ciberataque
Para un Estado agresor con muy malas intenciones un ciberconflicto ofrece numerosas ventajas. En primer lugar porque se trata de un tipo de ataque relativamente barato, la ciberguerra es en gran parte asimétrica, no supone ningún equilibrio de fuerzas, potencias relativamente pequeñas podrían desarrollar medios eficientes de ataque. 

Un ciberataque – una vez diseñado y codificado -  puede prepararse en segundos, sin necesidad de planificación a gran escala y de manera oculta a los enemigos, incluso se puede contar con organizaciones mercenarias que lo potencien sin que aparezca implicado el atacante. Desde luego de manera mucho menos costosa que movilizar a una división aerotransportada. Recordemos los preparativos de Estados Unidos para atacar un país de una geografía tan poco accesible en todos los sentidos como Afganistán, claro que este Estado es prácticamente inmune a un ciberataque dado su grado de desarrollo.

Por otra parte un ciberataque tiene la ventaja de que no se producen bajas en la parte atacante. Además la autoría, en el estado actual de la tecnología, es fácil de ocultar. Con lo que se pueden evitar represalias inmediatas.

En cambio, el principal problema en un ciberataque es medir sus consecuencias, dado el grado de interconexión digital de que disfrutamos o padecemos, los efectos en cascada no se pueden calcular ya que se pueden extender a través de las redes nacionales a las redes internacionales y producir problemas en sitios que no eran objetivo inicial de los ataques. Incluso puede salirle al atacante el tiro por la culata pues al pasar el software malicioso a las redes mundiales, sus efectos pueden llegar en efecto bumerán hasta el nervio vital de propio agresor.

En esta línea un potencial agresor digital debe tener en cuenta sobre todo sus propias dependencias, ya que cuanto más dotado esté un Estado de capacidad tecnológica y – por tanto en principio dispone de un mayor potencial ofensivo – más vulnerable es debido a la mayor interconexión entre sus sistemas. Toda una paradoja. Siguiendo esta línea de pensamiento, los Estados Unidos tienen un gran potencial ofensivo pero, al mismo tiempo, son muy vulnerables. Corea del Norte, en cambio, puede que tenga un potencial ofensivo limitado, sin embargo, su mínimo grado de interconexión la convierte en poco vulnerable. Richard Clarke y Robert Knake (4) han establecido una tabla en la que evalúan el grado de preparación ofensiva, el grado de capacidad defensiva y el grado de dependencia de las estructuras digitales de los distintos países. Han llegado a la conclusión que para potencias muy fuertes en el mundo digital su vulnerabilidad no puede subsanarse con un aumento de la capacidad ofensiva.

No todos los autores piensan de igual modo. Thomas Rid piensa que un ciberataque presenta tres desventajas adicionales. En primer lugar que el coste de desarrollo del mismo es muy alto en tiempo, conocimientos e inteligencia previa y esto no está al alcance de todo el mundo. Este razonamiento choca en principio con el pensamiento generalizado de la asimetría en ciberguerra, es decir, que con pocos medios se puede hacer mucho daño. En segundo lugar, debido a este coste tan alto sólo son interesantes un número limitado de objetivos y, por último, las armas informáticas tienen un tiempo de vida limitado porque las ciberdefensas se desarrollan rápidamente. 

Wegener señala un último inconveniente para comenzar un ciberconflicto, lo que él denomina la trampa terminológica. La militarización de la planificación para una ciberguerra conduce a la militarización del pensamiento operativo, lo que puede llevar a analogías erróneas y peligrosas que desemboquen en un lenguaje militarista. Esto puede provocar una escalada del conflicto considerando un ciberataque como lo mismo que un ataque armado. Imaginad que un Estado desarrolla un troyano (5) para atacar a otro y éste responde con un ataque aéreo. Para Wegener el mismo término ciberguerra tiene su peligro y es más apropiado hablar de ciberconflicto.

¿Cómo evitar una ciberguerra?
En este caso, el sentido común aconseja  darle la vuelta al célebre adagio, “la mejor defensa es un buen ataque”, primando a la segunda sobre la primera. Quizás lo mejor sea apostar por una estrategia que lleve a una mejora de la capacidad defensiva más que dedicarse a extraer recursos para aumentar la capacidad ofensiva. Se trataría de apostar por doctrinas estratégicas preventivas, fortalecer la colaboración internacional y desarrollar redes más robustas tanto evitando los ataques como en su capacidad de recuperación ante los daños infringidos. Y ésta es precisamente la filosofía que parece descansar en la Estrategia Nacional de Ciberseguridad española.

Fortalecer la colaboración internacional a partir del reforzamiento del derecho internacional, le parece al diplomático Henning Wegener, una dimensión esencial para la prevención de los ciberconflictos. Empezando por no considerar de manera automática a los ciberataques como ataques armados, tal y como ha hecho la OTAN, que prefiere apoyarse en el mecanismo de consulta del artículo 4º del Tratado de Washington que en el artículo 5º - mucho más expeditivo - (6) y evitar una escalada ante un conflicto que empiece con un troyano y termine con el envío de la sexta flota. 

En este sentido hay que recurrir a la diplomacia, a la ciberdiplomacia si seguimos con el juego del prefijo “ciber”, cuya idea esencial sería deslegitimar tanto como sea posible la ciberguerra y dejar libre de ataques el espacio digital, dando prioridad a la protección, la ciberdefensa y la contención sobre el ataque. 

Ahora bien, ¿cómo se pone en marcha estas buenas intenciones?. Muchos autores reclaman un cibertratado global (“Global Cyber Treaty”) que bajo el Derecho Internacional y de manera vinculante, limite y sancione el uso militar del espacio digital. 

Para Wegener la elaboración de un tratado como éste ofrece muchas dudas, aunque el objetivo sea loable. La preparación, elaboración, aceptación y ratificación de un tratado mundial sería una tarea demasiado complicada,  larga en el tiempo, incierta y, puede que incluso, irreal.

Para Thomas Rid un acuerdo internacional de este tipo presenta tres tipos de problemas. En primer lugar, es muy difícil distinguir entre el cibercrimen, el activismo político y los ciberconflictos, por lo tanto, sería complicado no sólo llegar a acuerdos para la elaboración del tratado sino que, una vez aprobado, tipificar los casos reales que se produzcan dentro las categorías definidas en un hipotético acuerdo internacional sería una labor ímproba.

En segundo término, otra labor ímproba sería la verificación del control del armamento informático, a ver quién es el guapo que controla armas virtuales en un espacio virtual.

Y, en tercer lugar, Rid señala el ya conocido interés de los agresores en evitar su identidad y, lo que es peor, la capacidad real que existe para enmascarar la identidad, es decir, quieren y pueden ocultarse, así que, a ver contra quién se tomarían medidas en caso de agresión.

Para Wegener y otros autores, el debate se dirige cada vez más a la idea más práctica de crear un paquete de medidas de confianza y un código de conducta, no excluyendo tratados parciales, que permitan un tratamiento del problema más dinámico y con mayores posibilidades de conseguir un consenso más amplio entre los actores. El código debería contemplar normas de comportamiento en el espacio digital que vinculen a dichos actores, que no son sólo los Estados, también habría que implicar a las industrias tecnológicas y organizaciones internacionales. 

En este sentido ha trabajado un grupo de expertos creado por la Asamblea General de la ONU que ha planteado medidas de confianza y unos principios básicos a seguir por los Estados como son, la obligación a no usar ciberarmas en tanto dicho Estado no haya sido atacado con armas convencionales o considerar un ciberataque como una lesión al Derecho Internacional Público (7).

Este camino de medidas básicas parece más sensato pero necesitaría de un mayor impulso y de un lugar donde celebrar el proceso de negociación. Se proponen tres escenarios. En primer lugar la creación de una conferencia autónoma de Estados que crearan un observatorio para los países firmantes que controlara las infracciones contra el código en la medida de lo posible claro está, ya hemos hablado de los límites de la tecnología. Otra alternativa sería elegir como foro de trabajo a la organización internacional de las telecomunicaciones y de seguridad de la información, la UIT (8). Y por último se señala a la Conferencia de Desarme de Ginebra, con reconocida experiencia en acuerdos de seguridad internacional.

En conclusión
En estos dos artículos hemos podido comprobar que la ciberguerra es posible, es un fenómeno real que todavía no ha provocado daños personales, por eso me he permitido el lujo darle el nombre de Guerra Gélida, pero que tiene capacidad potencial para dar el salto cualitativo en cualquier momento. Hemos examinado los distintos escenarios en los que se puede producir un ciberconflicto entre Estados y hemos visto lo que autores como Wegener y  Rid proponen para evitar estas situaciones, constatando que hay mucho por hacer dentro de la ciberdiplomacia teniendo en cuenta que ya de por sí el fenómeno es muy difícil de prevenir y controlar. Como diría mi madre, “Dios nos pille confesados”.

Juan Carlos Barajas Martínez
Sociólogo e informático

Notas:

  1. Henning Wagener, que fuera embajador de Alemania en España y secretario de asuntos políticos de la OTAN, preside el Observatorio Permanente para la Ciberseguridad de la Federación Mundial de Científicos.
  2.  Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y se usan para diversas actividades criminales. 
  3. Thomas Rid es profesor de estudios sobre la guerra del King’s College de Londres
  4.  Richard Alan Clarke era el encargado de la oficina antiterrorista de los Estados Unidos durante los Atentados del 11 de septiembre de 2001. Fue funcionario en este país durante 30 años, de 1973 a 2003, en puestos de diversa responsabilidad. RobertKnake es un especialista norteamericano en seguridad. Ambos han escrito “Guerra en la red. Los nuevos campos de batalla” editado en castellano en Ariel en 2010.
  5. Se denomina caballo de Troya, o troyano, a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero.
  6. Artículo 4 del Tratado de Washington dice lo siguiente: “Las partes se consultarán cuando, a juicio de cualquiera de ellas, la integridad territorial, la independencia política o la seguridad de. cualquiera de las partes fuere amenazada”. En cambio el artículo 5º dice: “Las partes convienen en que un ataque armado contra una o contra varias de ellas, acaecido en Europa o en América del Norte, se considerará como un ataque dirigido contra todas ellas y, en consecuencia, acuerdan que si tal ataque se produce, cada una de ellas, en ejercicio del derecho de legítima defensa individual o colectiva, reconocido por el artículo 51 de la Carta de las Naciones Unidas, asistirá a la parte o partes así atacadas, adoptando seguidamente, individualmente y de acuerdo con las otras partes, las medidas que juzgue necesarias, incluso el empleo de la fuerza armada, para restablecer y mantener la seguridad en la región del Atlántico Norte. Todo ataque armado de esta naturaleza y toda medida adoptada en consecuencia se pondrán, inmediatamente, en conocimiento del Consejo de Seguridad. Estas medidas cesarán cuando el Consejo de Seguridad haya tomado las medidas necesarias para restablecer y mantener la paz y la seguridad internacionales”.
  7.  El grupo de trabajo de expertos de la ONU fue creado por la resolución  A/66/24 de 13 de diciembre de 2011 de la Asamblea General. Este grupo ha proporcionado una lista de necesidades de regulación y los puntos que un código internacional futuro debe desarrollar, entre los que destacan:
a.       El ataque informático contra un Estado, directamente o a través de agentes interpuestos, es una lesión la Derecho Internacional Público.
b.      Obligación de cada Estado a no realizar uso de ciberarmas contra otro Estado, en tanto no haya sido atacado con armas convencionales
c.       Política de prevención de ciberconflcitos con prioridad de la defensa cibernética y asegurar con la industria sus sistemas y redes a través de una máxima robustez, defensa y capacidad de residtencia a los ataques.
d.      Los Estados se orientarán en caso de ataque hacía una restauración, tan pronto como sea posible, de las redes y de un sistema eficiente, estable y pacífico de comunicación
e.  Los Estados estarán obligados a proteger en su territorio las infraestructuras críticas (energía, sistema sanitario y otros sistemas humanitarios, sistema bancario y demás estructuras digitales básicas). Cualquier ataque a este tipo de infraestructuras está prohibido.
f.  Obligación para todos los Estados de aunar intereses en la creación de un Derecho Internacional armonizado y la creación de un Derecho Penal para la persecución de ciberdelitos.
g.     Obligación de todos los Estados a proteger a sus ciudadanos en el espacio digital.
h. Todos los Estados están obligados  a perseguir legalmente a los ciberterroristas o ciberdelincuentes que operen en su territorio.
i.        No pueden realizarse ataques cibernéticos a través de redes de países neutrales
j.      Los Estados se asocian a los sistemas de información internacional y los sistemas de alerta temprana
k.  Aparte de los convenios multilaterales, los Estados fomentarán acuerdos bilaterales, con compromisos recíprocos de no agresión, de defensa común ante un cibertaque y apoyo mutuo en caso de daños.

8. La UniónInternacional de Telecomunicaciones (UIT) es el organismo especializado entelecomunicaciones de la Organización de las Naciones Unidas (ONU), encargado de regular las telecomunicaciones a nivel internacional entre las distintas administraciones y empresas operadoras.


Bibliografía:

Hennign Wegener
La “ciberguerra” se puede evitar
Revista de Política Exterior
Madrid marzo/abril 2012

Thomas Rid
Think again: Cyberwar
Foreign Policy
Febrero 2012

Nathalie Caplan
Cyberwar: the Challenge to National Security
Global Security Studies Volume 4. Issue 1
University of North Carolina 2013

Lawrence Krauss
Inteligencia artificial: ¿Por qué preocuparse?
Cultura 3.0
www.terceracultura.net

Enrique Fojón Chamorro
La transversalidad del campo de batalla cibernético
Blogs del Real Instituto Elcano
http://www.blog.rielcano.org/la-transversalidad-del-campo-de-batalla-cibernetico/

Enrique Fojón Chamorro
Año 1 de la Estrategia Nacional de Ciberseguridad
Blogs del Real Instituto Elcano
http://www.blog.rielcano.org/ano-de-la-estrategia-de-ciberseguridad-nacional/

Carlo Ratti y Mathew Claudel
Piratería informática a favor de la humanidad
El País 21 de febrero 2015

Corea amenaza a EE UU si no acepta investigar juntos el ciberataque
El País 14 de diciembre de 2014

Estados Unidos y China, ante la primera ciberguerra fría
EL País 18 de febrero de 2013

Rosa Jimenez Cano
Nadie está a salvo de esta ciberguerra
El País 10 de diciembre de 2010

Wikipedia
http://es.wikipedia.org
http://en.wikipedia.org

No hay comentarios:

Publicar un comentario