(Se recomienda la lectura del artículo anterior “La Guerra Gélida” en el
que se define el concepto de ciberguerra, los ciberataques más conocidos y las
fuerzas de ciberdefensa que han montado los Estados más poderosos, entre otras
cosas)
Portada de la revista TIME sobre Ciberguerra |
En el artículo anterior vimos como la enorme dependencia que nuestra
sociedad tiene respecto de sistemas automáticos conectados a redes tales como
ordenadores, dispositivos móviles, sistemas empotrados, sensores, sistemas de
salud y de provisión de energía, entre otros, nos hace especialmente
vulnerables a ciberataques. Si en esos ataques la entidad que se defiende o la
que ataca o ambas son Estados estamos ante una situación de ciberconflicto o
ciberguerra. Todavía no hay registradas víctimas mortales pero puede ser
cuestión de tiempo, por eso no es todavía un guerra “caliente”, ni siquiera
fría- que también tuvo sus bajas - sino “gélida”. Los Estados se toman la
amenaza en serio…
Los escenarios de los ciberconflictos
Pero, ¿qué escenarios de guerra
informática se pueden contemplar?, Wegener (1) nos habla de cuatro
posibles a los que yo añadiría otros dos
más. Todos estos escenarios tienen algo en común, por un lado, a todos les falta
un marco jurídico internacional y, por otro lado, es muy difícil identificar al
autor del ataque y, por tanto, su imputación a un Estado concreto, gracias a las técnicas que permiten ocultar
el origen del mismo.
El primer escenario que propone Wegener es el ataque por parte de los
servicios de inteligencia, la ciberinteligencia en palabras del autor. Estados
y organizaciones no gubernamentales – no me refiero por supuesto a las ONG
humanitarias – que se introducen en las redes del enemigo con el fin de obtener
información sensible e información sobre las ciberdefensas con el fin de servir
de trampolín para futuros ataques. Por supuesto, los elementos que se usan para
estos ataques intentan pasar desapercibidos al agredido. Este escenario sí que es
bastante común aunque se mantiene en general con mucho sigilo por agresores y
agredidos.
El segundo escenario es el ataque masivo a redes públicas y privadas,
paralizando múltiples servicios, las infraestructuras y la economía del Estado
agredido. A este tipo correspondería el ataque a Estonia del que hemos hablado
en el artículo anterior.
El tercer escenario es el ataque combinado digital y cinético, según
la terminología de Wegener, lo que querría decir un ataque con divisiones
convencionales sobre el terreno físico combinado con una ciberataque a las
estructuras de redes de comunicaciones y sistemas de defensa automatizados, así
como, a redes civiles. A este tipo de escenario correspondería el caso de la
guerra de Osetia del Sur entre Rusia y Georgia.
El cuarto escenario sería un asalto digital general que se presenta
cuando un Estado o una combinación de propietarios de “Botnet” (2) y Gobiernos, atacan a la vez a estructuras clave de la
economía, infraestructuras esenciales y sistemas de defensa. Es el tipo más
grave de ataque y busca provocar el colapso del Estado atacado, provocando un
número indeterminado pérdidas humanas. Que yo sepa todavía no se ha producido
un conflicto de este tipo
El quinto escenario, sería una revolución política digital. El ataque
lo dirigirían sectores de la propia población contra las estructuras del Estado
con la intención de cambiar el gobierno por medios revolucionarios, con
posibilidad de apoyo de Estados terceros. Aunque ha habido diversas iniciativas
revolucionarias digitales durante la primavera árabe y otros procesos
semejantes, hasta ahora han sido conflictos de baja intensidad, se han
circunscrito a intercambio de información, a convocatorias masivas y a
ciberataques menores.
El sexto y último sería el ciberataque de un Estado a una empresa o
grupo de empresas de otro Estado. Este segundo podría entender la agresión como
un acto de guerra y responder a la misma. Son conocidos los casos de China y
los ataques a empresas norteamericanas que provocaron una seria amenaza de
represalias por parte de los Estado Unidos.
¿Occidente está menos preparado que Rusia y China?
Pareciera que Rusia y China están
detrás de casi todos los ciberconflictos, incluso, en el caso del ataque a la
multinacional Sony parece que los chinos prestaron alguna clase de ayuda si
hemos de hacer caso a algún medio de la prensa internacional. Rusia tiene fama
desde los años ’90 de tener a “hackers”
muy competentes en sus malas artes y tiene fama de ser un país sin ley en todos
estos aspectos. La fama de piratas de los chinos no le va a la zaga, aunque
existe una visión más estatal de las actividades del gigante de Oriente. En
cualquier caso, existe la imagen en Occidente de que los rusos y los chinos
están por encima en tecnología, inversión y conocimientos.
De todas formas yo no estoy tan
seguro de ello, como dice Thomas Rid (3), la realidad parece diferente. Por
ejemplo el ciberataque más sofisticado registrado hasta el momento, Stuxnet ,
parece que fue una operación norteamericana e israelí. En opinión de Rid, China
y Rusia han demostrado una significativa capacidad en técnicas de
ciberinteligencia pero no así en ciberarmamento, cuya capacidad ha sido
sobrevalorada. En lo que se refiere a ciberataques de carácter militar, Estados
Unidos e Israel, parecen estar en una posición privilegiada.
En lo que Rusia y China están por
encima de las democracias occidentales es en la ciberseguridad. Ambos Estados
no le tienen mucho amor a la libertad de expresión y han desarrollado sistemas
de vigilancia y control de la red por temor a sus propios ciudadanos, sobre
todo en el caso chino. Como dice Rid, el peor escenario posible para ellos no
es tanto que se colapse una planta de producción de energía como que se colapse
el sistema político. Por lo tanto están más desarrollados que los Estados
Unidos en la ciberseguridad entendida como la lucha contra comportamientos
subversivos pues es el escenario de ciberguerra en el que han estado trabajando
más tiempo y con más recursos.
Ventajas y desventajas de un ciberataque
Para un Estado agresor con muy
malas intenciones un ciberconflicto ofrece numerosas ventajas. En primer lugar
porque se trata de un tipo de ataque relativamente barato, la ciberguerra es en
gran parte asimétrica, no supone ningún equilibrio de fuerzas, potencias
relativamente pequeñas podrían desarrollar medios eficientes de ataque.
Un ciberataque – una vez diseñado
y codificado - puede prepararse en
segundos, sin necesidad de planificación a gran escala y de manera oculta a los
enemigos, incluso se puede contar con organizaciones mercenarias que lo
potencien sin que aparezca implicado el atacante. Desde luego de manera mucho
menos costosa que movilizar a una división aerotransportada. Recordemos los
preparativos de Estados Unidos para atacar un país de una geografía tan poco
accesible en todos los sentidos como Afganistán, claro que este Estado es
prácticamente inmune a un ciberataque dado su grado de desarrollo.
Por otra parte un ciberataque
tiene la ventaja de que no se producen bajas en la parte atacante. Además la
autoría, en el estado actual de la tecnología, es fácil de ocultar. Con lo que
se pueden evitar represalias inmediatas.
En cambio, el principal problema
en un ciberataque es medir sus consecuencias, dado el grado de interconexión
digital de que disfrutamos o padecemos, los efectos en cascada no se pueden
calcular ya que se pueden extender a través de las redes nacionales a las redes
internacionales y producir problemas en sitios que no eran objetivo inicial de
los ataques. Incluso puede salirle al atacante el tiro por la culata pues al
pasar el software malicioso a las redes mundiales, sus efectos pueden llegar en
efecto bumerán hasta el nervio vital de propio agresor.
En esta línea un potencial
agresor digital debe tener en cuenta sobre todo sus propias dependencias, ya
que cuanto más dotado esté un Estado de capacidad tecnológica y – por tanto en
principio dispone de un mayor potencial ofensivo – más vulnerable es debido a
la mayor interconexión entre sus sistemas. Toda una paradoja. Siguiendo esta
línea de pensamiento, los Estados Unidos tienen un gran potencial ofensivo
pero, al mismo tiempo, son muy vulnerables. Corea del Norte, en cambio, puede
que tenga un potencial ofensivo limitado, sin embargo, su mínimo grado de
interconexión la convierte en poco vulnerable. Richard Clarke y Robert Knake
(4) han establecido una tabla en la que evalúan el grado de preparación
ofensiva, el grado de capacidad defensiva y el grado de dependencia de las
estructuras digitales de los distintos países. Han llegado a la conclusión que
para potencias muy fuertes en el mundo digital su vulnerabilidad no puede
subsanarse con un aumento de la capacidad ofensiva.
No todos los autores piensan de
igual modo. Thomas Rid piensa que un ciberataque presenta tres desventajas
adicionales. En primer lugar que el coste de desarrollo del mismo es muy alto
en tiempo, conocimientos e inteligencia previa y esto no está al alcance de
todo el mundo. Este razonamiento choca en principio con el pensamiento generalizado de la
asimetría en ciberguerra, es decir, que con pocos medios se puede hacer mucho
daño. En segundo lugar, debido a este coste tan alto sólo son interesantes un
número limitado de objetivos y, por último, las armas informáticas tienen un
tiempo de vida limitado porque las ciberdefensas se desarrollan rápidamente.
Wegener señala un último
inconveniente para comenzar un ciberconflicto, lo que él denomina la trampa
terminológica. La militarización de la planificación para una ciberguerra
conduce a la militarización del pensamiento operativo, lo que puede llevar a
analogías erróneas y peligrosas que desemboquen en un lenguaje militarista.
Esto puede provocar una escalada del conflicto considerando un ciberataque como
lo mismo que un ataque armado. Imaginad que un Estado desarrolla un troyano (5)
para atacar a otro y éste responde con un ataque aéreo. Para Wegener el mismo
término ciberguerra tiene su peligro y es más apropiado hablar de
ciberconflicto.
¿Cómo evitar una ciberguerra?
En este caso, el sentido común
aconseja darle la vuelta al célebre
adagio, “la mejor defensa es un buen ataque”, primando a la segunda sobre la
primera. Quizás lo mejor sea apostar por una estrategia que lleve a una mejora
de la capacidad defensiva más que dedicarse a extraer recursos para aumentar la
capacidad ofensiva. Se trataría de apostar por doctrinas estratégicas
preventivas, fortalecer la colaboración internacional y desarrollar redes más
robustas tanto evitando los ataques como en su capacidad de recuperación ante
los daños infringidos. Y ésta es precisamente la filosofía que parece descansar
en la Estrategia Nacional de Ciberseguridad española.
Fortalecer la colaboración
internacional a partir del reforzamiento del derecho internacional, le parece
al diplomático Henning Wegener, una dimensión esencial para la prevención de
los ciberconflictos. Empezando por no considerar de manera automática a los
ciberataques como ataques armados, tal y como ha hecho la OTAN, que prefiere
apoyarse en el mecanismo de consulta del artículo 4º del Tratado de Washington
que en el artículo 5º - mucho más expeditivo - (6) y evitar una escalada ante
un conflicto que empiece con un troyano y termine con el envío de la sexta
flota.
En este sentido hay que recurrir
a la diplomacia, a la ciberdiplomacia
si seguimos con el juego del prefijo “ciber”, cuya idea esencial sería
deslegitimar tanto como sea posible la ciberguerra y dejar libre de ataques el
espacio digital, dando prioridad a la protección, la ciberdefensa y la
contención sobre el ataque.
Ahora bien, ¿cómo se pone en
marcha estas buenas intenciones?. Muchos autores reclaman un cibertratado
global (“Global Cyber Treaty”) que
bajo el Derecho Internacional y de manera vinculante, limite y sancione el uso
militar del espacio digital.
Para Wegener la elaboración de un
tratado como éste ofrece muchas dudas, aunque el objetivo sea loable. La
preparación, elaboración, aceptación y ratificación de un tratado mundial sería
una tarea demasiado complicada, larga en
el tiempo, incierta y, puede que incluso, irreal.
Para Thomas Rid un acuerdo
internacional de este tipo presenta tres tipos de problemas. En primer lugar,
es muy difícil distinguir entre el cibercrimen, el activismo político y los
ciberconflictos, por lo tanto, sería complicado no sólo llegar a acuerdos para
la elaboración del tratado sino que, una vez aprobado, tipificar los casos
reales que se produzcan dentro las categorías definidas en un hipotético
acuerdo internacional sería una labor ímproba.
En segundo término, otra labor
ímproba sería la verificación del control del armamento informático, a ver
quién es el guapo que controla armas virtuales en un espacio virtual.
Y, en tercer lugar, Rid señala el
ya conocido interés de los agresores en evitar su identidad y, lo que es peor,
la capacidad real que existe para enmascarar la identidad, es decir, quieren y
pueden ocultarse, así que, a ver contra quién se tomarían medidas en caso de
agresión.
Para Wegener y otros autores, el
debate se dirige cada vez más a la idea más práctica de crear un paquete de
medidas de confianza y un código de conducta, no excluyendo tratados parciales,
que permitan un tratamiento del problema más dinámico y con mayores
posibilidades de conseguir un consenso más amplio entre los actores. El código
debería contemplar normas de comportamiento en el espacio digital que vinculen
a dichos actores, que no son sólo los Estados, también habría que implicar a
las industrias tecnológicas y organizaciones internacionales.
En este sentido ha trabajado un
grupo de expertos creado por la Asamblea General de la ONU que ha planteado
medidas de confianza y unos principios básicos a seguir por los Estados como
son, la obligación a no usar ciberarmas en tanto dicho Estado no haya sido
atacado con armas convencionales o considerar un ciberataque como una lesión al
Derecho Internacional Público (7).
Este camino de medidas básicas
parece más sensato pero necesitaría de un mayor impulso y de un lugar donde
celebrar el proceso de negociación. Se proponen tres escenarios. En primer lugar la creación de
una conferencia autónoma de Estados que crearan un observatorio para los países
firmantes que controlara las infracciones contra el código en la medida de lo
posible claro está, ya hemos hablado de los límites de la tecnología. Otra
alternativa sería elegir como foro de trabajo a la organización internacional
de las telecomunicaciones y de seguridad de la información, la UIT (8). Y por
último se señala a la Conferencia de Desarme de Ginebra, con reconocida
experiencia en acuerdos de seguridad internacional.
En conclusión
En estos dos artículos hemos
podido comprobar que la ciberguerra es posible, es un fenómeno real que todavía
no ha provocado daños personales, por eso me he permitido el lujo darle el nombre de
Guerra Gélida, pero que tiene capacidad potencial para dar el salto cualitativo
en cualquier momento. Hemos examinado los distintos escenarios en los que se
puede producir un ciberconflicto entre Estados y hemos visto lo que autores
como Wegener y Rid proponen para evitar
estas situaciones, constatando que hay mucho por hacer dentro de la
ciberdiplomacia teniendo en cuenta que ya de por sí el fenómeno es muy difícil de
prevenir y controlar. Como diría mi madre, “Dios nos pille confesados”.
Juan Carlos Barajas Martínez
Sociólogo e informático
Notas:
- Henning Wagener, que fuera embajador de Alemania en España y secretario de asuntos políticos de la OTAN, preside el Observatorio Permanente para la Ciberseguridad de la Federación Mundial de Científicos.
- Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y se usan para diversas actividades criminales.
- Thomas Rid es profesor de estudios sobre la guerra del King’s College de Londres
- Richard Alan Clarke era el encargado de la oficina antiterrorista de los Estados Unidos durante los Atentados del 11 de septiembre de 2001. Fue funcionario en este país durante 30 años, de 1973 a 2003, en puestos de diversa responsabilidad. RobertKnake es un especialista norteamericano en seguridad. Ambos han escrito “Guerra en la red. Los nuevos campos de batalla” editado en castellano en Ariel en 2010.
- Se denomina caballo de Troya, o troyano, a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero.
- Artículo 4 del Tratado de Washington dice lo siguiente: “Las partes se consultarán cuando, a juicio de cualquiera de ellas, la integridad territorial, la independencia política o la seguridad de. cualquiera de las partes fuere amenazada”. En cambio el artículo 5º dice: “Las partes convienen en que un ataque armado contra una o contra varias de ellas, acaecido en Europa o en América del Norte, se considerará como un ataque dirigido contra todas ellas y, en consecuencia, acuerdan que si tal ataque se produce, cada una de ellas, en ejercicio del derecho de legítima defensa individual o colectiva, reconocido por el artículo 51 de la Carta de las Naciones Unidas, asistirá a la parte o partes así atacadas, adoptando seguidamente, individualmente y de acuerdo con las otras partes, las medidas que juzgue necesarias, incluso el empleo de la fuerza armada, para restablecer y mantener la seguridad en la región del Atlántico Norte. Todo ataque armado de esta naturaleza y toda medida adoptada en consecuencia se pondrán, inmediatamente, en conocimiento del Consejo de Seguridad. Estas medidas cesarán cuando el Consejo de Seguridad haya tomado las medidas necesarias para restablecer y mantener la paz y la seguridad internacionales”.
- El grupo de trabajo de expertos de la ONU fue creado por la resolución A/66/24 de 13 de diciembre de 2011 de la Asamblea General. Este grupo ha proporcionado una lista de necesidades de regulación y los puntos que un código internacional futuro debe desarrollar, entre los que destacan:
a.
El ataque informático contra un Estado,
directamente o a través de agentes interpuestos, es una lesión la Derecho
Internacional Público.
b.
Obligación de cada Estado a no realizar uso de
ciberarmas contra otro Estado, en tanto no haya sido atacado con armas
convencionales
c.
Política de prevención de ciberconflcitos con
prioridad de la defensa cibernética y asegurar con la industria sus sistemas y
redes a través de una máxima robustez, defensa y capacidad de residtencia a los
ataques.
d.
Los Estados se orientarán en caso de ataque hacía
una restauración, tan pronto como sea posible, de las redes y de un sistema
eficiente, estable y pacífico de comunicación
e. Los Estados estarán obligados a proteger en su territorio
las infraestructuras críticas (energía, sistema sanitario y otros sistemas
humanitarios, sistema bancario y demás estructuras digitales básicas).
Cualquier ataque a este tipo de infraestructuras está prohibido.
f. Obligación para todos los Estados de aunar
intereses en la creación de un Derecho Internacional armonizado y la creación
de un Derecho Penal para la persecución de ciberdelitos.
g. Obligación de todos los Estados a proteger a sus
ciudadanos en el espacio digital.
h. Todos los Estados están obligados a perseguir legalmente a los ciberterroristas
o ciberdelincuentes que operen en su territorio.
i.
No pueden realizarse ataques cibernéticos a través
de redes de países neutrales
j. Los Estados se asocian a los sistemas de
información internacional y los sistemas de alerta temprana
k. Aparte de los convenios multilaterales, los
Estados fomentarán acuerdos bilaterales, con compromisos recíprocos de no
agresión, de defensa común ante un cibertaque y apoyo mutuo en caso de daños.
8. La UniónInternacional de Telecomunicaciones (UIT) es el organismo especializado entelecomunicaciones de la Organización de las Naciones Unidas (ONU), encargado
de regular las telecomunicaciones a nivel internacional entre las distintas
administraciones y empresas operadoras.
Bibliografía:
Hennign Wegener
La “ciberguerra” se puede evitar
Revista de Política Exterior
Madrid marzo/abril 2012
Thomas Rid
Think
again: Cyberwar
Foreign
Policy
Febrero
2012
Nathalie
Caplan
Cyberwar:
the Challenge to National Security
Global
Security Studies Volume 4. Issue 1
University
of North Carolina 2013
Lawrence Krauss
Inteligencia artificial: ¿Por qué preocuparse?
Cultura 3.0
www.terceracultura.net
Enrique Fojón Chamorro
La transversalidad del campo de batalla cibernético
Blogs del Real Instituto Elcano
http://www.blog.rielcano.org/la-transversalidad-del-campo-de-batalla-cibernetico/
Enrique Fojón Chamorro
Año 1 de la Estrategia Nacional de Ciberseguridad
Blogs del Real Instituto Elcano
http://www.blog.rielcano.org/ano-de-la-estrategia-de-ciberseguridad-nacional/
Carlo Ratti y Mathew Claudel
Piratería informática a favor de la humanidad
El País 21 de febrero 2015
Corea amenaza a EE UU si no acepta investigar juntos el ciberataque
El País 14 de diciembre de 2014
Estados Unidos y China, ante la primera ciberguerra fría
EL País 18 de febrero de 2013
Rosa Jimenez Cano
Nadie está a salvo de esta ciberguerra
El País 10 de diciembre de 2010
Wikipedia
http://es.wikipedia.org
http://en.wikipedia.org
No hay comentarios:
Publicar un comentario