/

Ciberguerra. El imperio contraataca

La semana pasada hablábamos de cómo se había conceptualizado la ciberguerra desde las relaciones internacionales. Esta vez vamos a un plano más práctico para hablar de cuáles son los actores que hoy día pueden jugar un papel en esta ciberguerra. Incluyo un disclaimer: es imposible abordar todos y cada uno de los entresijos de cada uno de los gobiernos y problemáticas que entrañan en materia de ciberdefensa, por lo que daremos unas pinceladas para tener una visión general.

Alemania es un país interesante para empezar, ya que lleva tiempo desarrollado lo que se ha denominado como el primer ciberejécito oficial. Uno de los motivos principales para desarrollarlo han sido los supuestos ciberataques emitidos por Rusia a Estados Unidos, que han podido influir en las elecciones, hecho del que también sospecha el gobierno alemán. Alemania ya ha visto atacadas sus instituciones alguna vez, su mayor empresa de telecomunicaciones se vio atacada, afectando a 900.000 usuarios. El temor a una posible intervención por parte de Rusia en sus elecciones ha sido determinante en la creación de este ciberejército. Es un Estado muy conectado, que tiene entre sus objetivos nacionales asegurar la efectividad de las instituciones y la seguridad de las mismas. Para ello aboga firmemente por la creación de una política de seguridad preventiva de cara a mejorar la alerta temprana.

En este punto es interesante el papel que juega el concepto de amenaza del que hablábamos en el artículo anterior, como la generación de cibercapacidades de algunos países –en este caso Rusia- lleva al resto armarse paralelamente en aras de poder defenderse y/o conseguir una posición dominante para no ser atacados. Rusia ha sido objeto de polémicas históricamente. Lo más reciente, como veíamos, la supuesta implicación en el triunfo de Donald Trump en las pasadas elecciones. Actualmente, Rusia está reconocido como una de las principales potencias en términos de ciberseguridad y ciberdefensa –recordemos que estos conceptos no son intercambiables-, y ha provocado algunos de los ciberataques más sonados a nivel internacional. En 2007, Rusia realizó una denegación de servicio a múltiples organismos e instituciones de Estonia. La misma suerte corrió Georgia con ataques parecidos. Asimismo, durante el conflicto con Ucrania en 2014, se acusó a los servicios rusos de haber cortado los servicios de telecomunicaciones ucranianos.

En 2014, FireEye publicó el informe APT28 sobre una amenaza de origen ruso, reconociéndola como una amenaza persistente que había extraído información de diferentes países y gobiernos como el de Estonia, OTAN y OSCE, entre otros. Este año se ha puesto el foco en Rusia como posible autor del malware Petya, siendo su aparente objetivo únicamente Ucrania, y afectando de manera colateral al resto de Estados.

En esta línea, si hay un Estado que habitualmente nos viene a la mente cuando hablamos de ciberguerra o ciberespionaje es China. Es de los países menos infectados. La Gran Muralla/Firewall que tiene para filtrar las comunicaciones y la barrera del idioma -por la que solo llegan phisings en chino, por ejemplo- pueden ser algunos de los factores que influyen. Existe un alto control de las telecomunicaciones que pasan por el país y una alta censura, en oposición a la concepción de un ciberespacio libre, por la que apuesta occidente –sin contar con los casos de intrusiones de la NSA, hecho que es preferible no debatir ahora. Este exceso de restricción interna deriva en que el modus operandi chino en cuestión de ciberataques tenga un alto componente de ingeniería social, siendo frecuente que el gobierno use a empleados de empresas de todo el mundo para realizar leaks de información directos a la inteligencia china. Por otra parte, China es objeto habitual de ataques, sobre todo a su tejido empresarial y bancos, principalmente provenientes de otros países. El CERT nacional chino reportó que el 95% de los phisings provenían de países extranjeros.

Es habitual que la tónica general de la política internacional China sea justificar sus actos en que Estados Unidos usa su superioridad para hacer prevalecer sus intereses y su statu quo, siguiendo esta línea en su política de ciberdefensa. Asimismo, el gobierno ha proclamado el derecho de China de proteger sus intereses de seguridad nacional prometiendo no atacar, a no ser que haya sido atacado, incluyendo aquellas operaciones en el ciberespacio.

Esto lleva a una cuestión que está suscitando muchos problemas doctrinales: el marco jurídico en el que encajar los ciberataques desde el punto de vista de derecho internacional público. El centro de ciberdefensa de la OTAN publicó el Manual de Tallin en el que se examinan algunas cuestiones de esta índole. ¿Se puede considerar legitimación suficiente un ciberataque para el uso de la fuerza conforme a la carta de Naciones Unidas? El statu quo en cuanto al uso de la fuerza sobre otro estado es su prohibición; sin embargo, en caso de legítima defensa de un ataque se permite la utilización de la fuerza legítimamente -hasta que el Consejo de Seguridad hubiera tomado medidas (ar. 51 de la Carta de las Naciones Unidas). Ahora bien, es evidente que en 1945 no se plantearon los ciberataques, por lo que a día de hoy, dado el estado de las cosas sí cabe replantearse la aplicabilidad del ius in bellum respecto a los ciberataques. La Carta no hace especificaciones al respecto de por qué medios debe realizarse un ataque para activar la legítima defensa, por lo que por medio de la interpretación sería bastante factible.

El Manual de Tallin establece que cualquier amenaza cibernética va contra los principios propios de las naciones unidas, por lo que, claramente es ilegal. Sin embargo, aún no hay ningún acto jurídico que lo legitime. El Manual, dentro de su carácter interpretativo, indica que per se un ciberataque no será considerado uso de la fuerza en el sentido de la carta, a no ser que cumpla con los factores de: invasividad, severidad, carácter militar –lo que nos recalca de nuevo las diferencias entre ciberseguridad y ciberdefensa, estando la ciberguerra en el ámbito de la ciberdefensa-, inmediatez, participación estatal, cuantificación de los efectos, presunta legalidad y franqueza. Sólo si una operación produce el mismo daño físico que las kinectic operations, podrá ser considerado uso de la fuerza. Todo esto, desde luego, enmarcado en ataques entre Estados. Como vemos, no es fácil aclarar un marco jurídico en una materia de constante evolución, ni tampoco es fácil resolver problemas con tan alto número de aristas. Confirmamos así que -como veíamos en el primer artículo: la ciberguerra, ciberdefensa y ciberseguridad siguen suscitando problemas de carácter multidisciplinar de difícil solución.

Lorena Sánchez Chamorro

Lorena Sánchez Chamorro

Jurista y politóloga. Friki de la literatura, las telecomunicaciones y la vida en general. Firme defensora del conocimiento multidisciplinar. Siempre aprendiendo. Análisis crítico como base de todo.

Más