domingo, 29 de marzo de 2015

La Guerra Gélida II: Ciberguerra y Ciberdiplomacia


(Se recomienda la lectura del artículo anterior “La Guerra Gélida” en el que se define el concepto de ciberguerra, los ciberataques más conocidos y las fuerzas de ciberdefensa que han montado los Estados más poderosos, entre otras cosas) 

Portada de la revista TIME sobre Ciberguerra

En el artículo anterior vimos como la enorme dependencia que nuestra sociedad tiene respecto de sistemas automáticos conectados a redes tales como ordenadores, dispositivos móviles, sistemas empotrados, sensores, sistemas de salud y de provisión de energía, entre otros, nos hace especialmente vulnerables a ciberataques. Si en esos ataques la entidad que se defiende o la que ataca o ambas son Estados estamos ante una situación de ciberconflicto o ciberguerra. Todavía no hay registradas víctimas mortales pero puede ser cuestión de tiempo, por eso no es todavía un guerra “caliente”, ni siquiera fría- que también tuvo sus bajas - sino “gélida”. Los Estados se toman la amenaza en serio…

Los escenarios de los ciberconflictos
Pero, ¿qué escenarios de guerra informática se pueden contemplar?, Wegener (1) nos habla de cuatro posibles  a los que yo añadiría otros dos más. Todos estos escenarios tienen algo en común, por un lado, a todos les falta un marco jurídico internacional y, por otro lado, es muy difícil identificar al autor del ataque y, por tanto, su imputación a un Estado concreto,  gracias a las técnicas que permiten ocultar el origen del mismo.

El primer escenario que propone Wegener es el ataque por parte de los servicios de inteligencia, la ciberinteligencia en palabras del autor. Estados y organizaciones no gubernamentales – no me refiero por supuesto a las ONG humanitarias – que se introducen en las redes del enemigo con el fin de obtener información sensible e información sobre las ciberdefensas con el fin de servir de trampolín para futuros ataques. Por supuesto, los elementos que se usan para estos ataques intentan pasar desapercibidos al agredido. Este escenario sí que es bastante común aunque se mantiene en general con mucho sigilo por agresores y agredidos.

El segundo escenario es el ataque masivo a redes públicas y privadas, paralizando múltiples servicios, las infraestructuras y la economía del Estado agredido. A este tipo correspondería el ataque a Estonia del que hemos hablado en el artículo anterior.

El tercer escenario es el ataque combinado digital y cinético, según la terminología de Wegener, lo que querría decir un ataque con divisiones convencionales sobre el terreno físico combinado con una ciberataque a las estructuras de redes de comunicaciones y sistemas de defensa automatizados, así como, a redes civiles. A este tipo de escenario correspondería el caso de la guerra de Osetia del Sur entre Rusia y Georgia.

El cuarto escenario sería un asalto digital general que se presenta cuando un Estado o una combinación de propietarios de “Botnet” (2) y Gobiernos, atacan a la vez a estructuras clave de la economía, infraestructuras esenciales y sistemas de defensa. Es el tipo más grave de ataque y busca provocar el colapso del Estado atacado, provocando un número indeterminado pérdidas humanas. Que yo sepa todavía no se ha producido un conflicto de este tipo

El quinto escenario, sería una revolución política digital. El ataque lo dirigirían sectores de la propia población contra las estructuras del Estado con la intención de cambiar el gobierno por medios revolucionarios, con posibilidad de apoyo de Estados terceros. Aunque ha habido diversas iniciativas revolucionarias digitales durante la primavera árabe y otros procesos semejantes, hasta ahora han sido conflictos de baja intensidad, se han circunscrito a intercambio de información, a convocatorias masivas y a ciberataques menores. 

El sexto y último sería el ciberataque de un Estado a una empresa o grupo de empresas de otro Estado. Este segundo podría entender la agresión como un acto de guerra y responder a la misma. Son conocidos los casos de China y los ataques a empresas norteamericanas que provocaron una seria amenaza de represalias por parte de los Estado Unidos.

¿Occidente está menos preparado que Rusia y China?
Pareciera que Rusia y China están detrás de casi todos los ciberconflictos, incluso, en el caso del ataque a la multinacional Sony parece que los chinos prestaron alguna clase de ayuda si hemos de hacer caso a algún medio de la prensa internacional. Rusia tiene fama desde los años ’90 de tener a “hackers” muy competentes en sus malas artes y tiene fama de ser un país sin ley en todos estos aspectos. La fama de piratas de los chinos no le va a la zaga, aunque existe una visión más estatal de las actividades del gigante de Oriente. En cualquier caso, existe la imagen en Occidente de que los rusos y los chinos están por encima en tecnología, inversión y conocimientos.

De todas formas yo no estoy tan seguro de ello, como dice Thomas Rid (3), la realidad parece diferente. Por ejemplo el ciberataque más sofisticado registrado hasta el momento, Stuxnet , parece que fue una operación norteamericana e israelí. En opinión de Rid, China y Rusia han demostrado una significativa capacidad en técnicas de ciberinteligencia pero no así en ciberarmamento, cuya capacidad ha sido sobrevalorada. En lo que se refiere a ciberataques de carácter militar, Estados Unidos e Israel, parecen estar en una posición privilegiada.

En lo que Rusia y China están por encima de las democracias occidentales es en la ciberseguridad. Ambos Estados no le tienen mucho amor a la libertad de expresión y han desarrollado sistemas de vigilancia y control de la red por temor a sus propios ciudadanos, sobre todo en el caso chino. Como dice Rid, el peor escenario posible para ellos no es tanto que se colapse una planta de producción de energía como que se colapse el sistema político. Por lo tanto están más desarrollados que los Estados Unidos en la ciberseguridad entendida como la lucha contra comportamientos subversivos pues es el escenario de ciberguerra en el que han estado trabajando más tiempo y con más recursos.

Ventajas y desventajas de un ciberataque
Para un Estado agresor con muy malas intenciones un ciberconflicto ofrece numerosas ventajas. En primer lugar porque se trata de un tipo de ataque relativamente barato, la ciberguerra es en gran parte asimétrica, no supone ningún equilibrio de fuerzas, potencias relativamente pequeñas podrían desarrollar medios eficientes de ataque. 

Un ciberataque – una vez diseñado y codificado -  puede prepararse en segundos, sin necesidad de planificación a gran escala y de manera oculta a los enemigos, incluso se puede contar con organizaciones mercenarias que lo potencien sin que aparezca implicado el atacante. Desde luego de manera mucho menos costosa que movilizar a una división aerotransportada. Recordemos los preparativos de Estados Unidos para atacar un país de una geografía tan poco accesible en todos los sentidos como Afganistán, claro que este Estado es prácticamente inmune a un ciberataque dado su grado de desarrollo.

Por otra parte un ciberataque tiene la ventaja de que no se producen bajas en la parte atacante. Además la autoría, en el estado actual de la tecnología, es fácil de ocultar. Con lo que se pueden evitar represalias inmediatas.

En cambio, el principal problema en un ciberataque es medir sus consecuencias, dado el grado de interconexión digital de que disfrutamos o padecemos, los efectos en cascada no se pueden calcular ya que se pueden extender a través de las redes nacionales a las redes internacionales y producir problemas en sitios que no eran objetivo inicial de los ataques. Incluso puede salirle al atacante el tiro por la culata pues al pasar el software malicioso a las redes mundiales, sus efectos pueden llegar en efecto bumerán hasta el nervio vital de propio agresor.

En esta línea un potencial agresor digital debe tener en cuenta sobre todo sus propias dependencias, ya que cuanto más dotado esté un Estado de capacidad tecnológica y – por tanto en principio dispone de un mayor potencial ofensivo – más vulnerable es debido a la mayor interconexión entre sus sistemas. Toda una paradoja. Siguiendo esta línea de pensamiento, los Estados Unidos tienen un gran potencial ofensivo pero, al mismo tiempo, son muy vulnerables. Corea del Norte, en cambio, puede que tenga un potencial ofensivo limitado, sin embargo, su mínimo grado de interconexión la convierte en poco vulnerable. Richard Clarke y Robert Knake (4) han establecido una tabla en la que evalúan el grado de preparación ofensiva, el grado de capacidad defensiva y el grado de dependencia de las estructuras digitales de los distintos países. Han llegado a la conclusión que para potencias muy fuertes en el mundo digital su vulnerabilidad no puede subsanarse con un aumento de la capacidad ofensiva.

No todos los autores piensan de igual modo. Thomas Rid piensa que un ciberataque presenta tres desventajas adicionales. En primer lugar que el coste de desarrollo del mismo es muy alto en tiempo, conocimientos e inteligencia previa y esto no está al alcance de todo el mundo. Este razonamiento choca en principio con el pensamiento generalizado de la asimetría en ciberguerra, es decir, que con pocos medios se puede hacer mucho daño. En segundo lugar, debido a este coste tan alto sólo son interesantes un número limitado de objetivos y, por último, las armas informáticas tienen un tiempo de vida limitado porque las ciberdefensas se desarrollan rápidamente. 

Wegener señala un último inconveniente para comenzar un ciberconflicto, lo que él denomina la trampa terminológica. La militarización de la planificación para una ciberguerra conduce a la militarización del pensamiento operativo, lo que puede llevar a analogías erróneas y peligrosas que desemboquen en un lenguaje militarista. Esto puede provocar una escalada del conflicto considerando un ciberataque como lo mismo que un ataque armado. Imaginad que un Estado desarrolla un troyano (5) para atacar a otro y éste responde con un ataque aéreo. Para Wegener el mismo término ciberguerra tiene su peligro y es más apropiado hablar de ciberconflicto.

¿Cómo evitar una ciberguerra?
En este caso, el sentido común aconseja  darle la vuelta al célebre adagio, “la mejor defensa es un buen ataque”, primando a la segunda sobre la primera. Quizás lo mejor sea apostar por una estrategia que lleve a una mejora de la capacidad defensiva más que dedicarse a extraer recursos para aumentar la capacidad ofensiva. Se trataría de apostar por doctrinas estratégicas preventivas, fortalecer la colaboración internacional y desarrollar redes más robustas tanto evitando los ataques como en su capacidad de recuperación ante los daños infringidos. Y ésta es precisamente la filosofía que parece descansar en la Estrategia Nacional de Ciberseguridad española.

Fortalecer la colaboración internacional a partir del reforzamiento del derecho internacional, le parece al diplomático Henning Wegener, una dimensión esencial para la prevención de los ciberconflictos. Empezando por no considerar de manera automática a los ciberataques como ataques armados, tal y como ha hecho la OTAN, que prefiere apoyarse en el mecanismo de consulta del artículo 4º del Tratado de Washington que en el artículo 5º - mucho más expeditivo - (6) y evitar una escalada ante un conflicto que empiece con un troyano y termine con el envío de la sexta flota. 

En este sentido hay que recurrir a la diplomacia, a la ciberdiplomacia si seguimos con el juego del prefijo “ciber”, cuya idea esencial sería deslegitimar tanto como sea posible la ciberguerra y dejar libre de ataques el espacio digital, dando prioridad a la protección, la ciberdefensa y la contención sobre el ataque. 

Ahora bien, ¿cómo se pone en marcha estas buenas intenciones?. Muchos autores reclaman un cibertratado global (“Global Cyber Treaty”) que bajo el Derecho Internacional y de manera vinculante, limite y sancione el uso militar del espacio digital. 

Para Wegener la elaboración de un tratado como éste ofrece muchas dudas, aunque el objetivo sea loable. La preparación, elaboración, aceptación y ratificación de un tratado mundial sería una tarea demasiado complicada,  larga en el tiempo, incierta y, puede que incluso, irreal.

Para Thomas Rid un acuerdo internacional de este tipo presenta tres tipos de problemas. En primer lugar, es muy difícil distinguir entre el cibercrimen, el activismo político y los ciberconflictos, por lo tanto, sería complicado no sólo llegar a acuerdos para la elaboración del tratado sino que, una vez aprobado, tipificar los casos reales que se produzcan dentro las categorías definidas en un hipotético acuerdo internacional sería una labor ímproba.

En segundo término, otra labor ímproba sería la verificación del control del armamento informático, a ver quién es el guapo que controla armas virtuales en un espacio virtual.

Y, en tercer lugar, Rid señala el ya conocido interés de los agresores en evitar su identidad y, lo que es peor, la capacidad real que existe para enmascarar la identidad, es decir, quieren y pueden ocultarse, así que, a ver contra quién se tomarían medidas en caso de agresión.

Para Wegener y otros autores, el debate se dirige cada vez más a la idea más práctica de crear un paquete de medidas de confianza y un código de conducta, no excluyendo tratados parciales, que permitan un tratamiento del problema más dinámico y con mayores posibilidades de conseguir un consenso más amplio entre los actores. El código debería contemplar normas de comportamiento en el espacio digital que vinculen a dichos actores, que no son sólo los Estados, también habría que implicar a las industrias tecnológicas y organizaciones internacionales. 

En este sentido ha trabajado un grupo de expertos creado por la Asamblea General de la ONU que ha planteado medidas de confianza y unos principios básicos a seguir por los Estados como son, la obligación a no usar ciberarmas en tanto dicho Estado no haya sido atacado con armas convencionales o considerar un ciberataque como una lesión al Derecho Internacional Público (7).

Este camino de medidas básicas parece más sensato pero necesitaría de un mayor impulso y de un lugar donde celebrar el proceso de negociación. Se proponen tres escenarios. En primer lugar la creación de una conferencia autónoma de Estados que crearan un observatorio para los países firmantes que controlara las infracciones contra el código en la medida de lo posible claro está, ya hemos hablado de los límites de la tecnología. Otra alternativa sería elegir como foro de trabajo a la organización internacional de las telecomunicaciones y de seguridad de la información, la UIT (8). Y por último se señala a la Conferencia de Desarme de Ginebra, con reconocida experiencia en acuerdos de seguridad internacional.

En conclusión
En estos dos artículos hemos podido comprobar que la ciberguerra es posible, es un fenómeno real que todavía no ha provocado daños personales, por eso me he permitido el lujo darle el nombre de Guerra Gélida, pero que tiene capacidad potencial para dar el salto cualitativo en cualquier momento. Hemos examinado los distintos escenarios en los que se puede producir un ciberconflicto entre Estados y hemos visto lo que autores como Wegener y  Rid proponen para evitar estas situaciones, constatando que hay mucho por hacer dentro de la ciberdiplomacia teniendo en cuenta que ya de por sí el fenómeno es muy difícil de prevenir y controlar. Como diría mi madre, “Dios nos pille confesados”.

Juan Carlos Barajas Martínez
Sociólogo e informático

Notas:

  1. Henning Wagener, que fuera embajador de Alemania en España y secretario de asuntos políticos de la OTAN, preside el Observatorio Permanente para la Ciberseguridad de la Federación Mundial de Científicos.
  2.  Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y se usan para diversas actividades criminales. 
  3. Thomas Rid es profesor de estudios sobre la guerra del King’s College de Londres
  4.  Richard Alan Clarke era el encargado de la oficina antiterrorista de los Estados Unidos durante los Atentados del 11 de septiembre de 2001. Fue funcionario en este país durante 30 años, de 1973 a 2003, en puestos de diversa responsabilidad. RobertKnake es un especialista norteamericano en seguridad. Ambos han escrito “Guerra en la red. Los nuevos campos de batalla” editado en castellano en Ariel en 2010.
  5. Se denomina caballo de Troya, o troyano, a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero.
  6. Artículo 4 del Tratado de Washington dice lo siguiente: “Las partes se consultarán cuando, a juicio de cualquiera de ellas, la integridad territorial, la independencia política o la seguridad de. cualquiera de las partes fuere amenazada”. En cambio el artículo 5º dice: “Las partes convienen en que un ataque armado contra una o contra varias de ellas, acaecido en Europa o en América del Norte, se considerará como un ataque dirigido contra todas ellas y, en consecuencia, acuerdan que si tal ataque se produce, cada una de ellas, en ejercicio del derecho de legítima defensa individual o colectiva, reconocido por el artículo 51 de la Carta de las Naciones Unidas, asistirá a la parte o partes así atacadas, adoptando seguidamente, individualmente y de acuerdo con las otras partes, las medidas que juzgue necesarias, incluso el empleo de la fuerza armada, para restablecer y mantener la seguridad en la región del Atlántico Norte. Todo ataque armado de esta naturaleza y toda medida adoptada en consecuencia se pondrán, inmediatamente, en conocimiento del Consejo de Seguridad. Estas medidas cesarán cuando el Consejo de Seguridad haya tomado las medidas necesarias para restablecer y mantener la paz y la seguridad internacionales”.
  7.  El grupo de trabajo de expertos de la ONU fue creado por la resolución  A/66/24 de 13 de diciembre de 2011 de la Asamblea General. Este grupo ha proporcionado una lista de necesidades de regulación y los puntos que un código internacional futuro debe desarrollar, entre los que destacan:
a.       El ataque informático contra un Estado, directamente o a través de agentes interpuestos, es una lesión la Derecho Internacional Público.
b.      Obligación de cada Estado a no realizar uso de ciberarmas contra otro Estado, en tanto no haya sido atacado con armas convencionales
c.       Política de prevención de ciberconflcitos con prioridad de la defensa cibernética y asegurar con la industria sus sistemas y redes a través de una máxima robustez, defensa y capacidad de residtencia a los ataques.
d.      Los Estados se orientarán en caso de ataque hacía una restauración, tan pronto como sea posible, de las redes y de un sistema eficiente, estable y pacífico de comunicación
e.  Los Estados estarán obligados a proteger en su territorio las infraestructuras críticas (energía, sistema sanitario y otros sistemas humanitarios, sistema bancario y demás estructuras digitales básicas). Cualquier ataque a este tipo de infraestructuras está prohibido.
f.  Obligación para todos los Estados de aunar intereses en la creación de un Derecho Internacional armonizado y la creación de un Derecho Penal para la persecución de ciberdelitos.
g.     Obligación de todos los Estados a proteger a sus ciudadanos en el espacio digital.
h. Todos los Estados están obligados  a perseguir legalmente a los ciberterroristas o ciberdelincuentes que operen en su territorio.
i.        No pueden realizarse ataques cibernéticos a través de redes de países neutrales
j.      Los Estados se asocian a los sistemas de información internacional y los sistemas de alerta temprana
k.  Aparte de los convenios multilaterales, los Estados fomentarán acuerdos bilaterales, con compromisos recíprocos de no agresión, de defensa común ante un cibertaque y apoyo mutuo en caso de daños.

8. La UniónInternacional de Telecomunicaciones (UIT) es el organismo especializado entelecomunicaciones de la Organización de las Naciones Unidas (ONU), encargado de regular las telecomunicaciones a nivel internacional entre las distintas administraciones y empresas operadoras.


Bibliografía:

Hennign Wegener
La “ciberguerra” se puede evitar
Revista de Política Exterior
Madrid marzo/abril 2012

Thomas Rid
Think again: Cyberwar
Foreign Policy
Febrero 2012

Nathalie Caplan
Cyberwar: the Challenge to National Security
Global Security Studies Volume 4. Issue 1
University of North Carolina 2013

Lawrence Krauss
Inteligencia artificial: ¿Por qué preocuparse?
Cultura 3.0
www.terceracultura.net

Enrique Fojón Chamorro
La transversalidad del campo de batalla cibernético
Blogs del Real Instituto Elcano
http://www.blog.rielcano.org/la-transversalidad-del-campo-de-batalla-cibernetico/

Enrique Fojón Chamorro
Año 1 de la Estrategia Nacional de Ciberseguridad
Blogs del Real Instituto Elcano
http://www.blog.rielcano.org/ano-de-la-estrategia-de-ciberseguridad-nacional/

Carlo Ratti y Mathew Claudel
Piratería informática a favor de la humanidad
El País 21 de febrero 2015

Corea amenaza a EE UU si no acepta investigar juntos el ciberataque
El País 14 de diciembre de 2014

Estados Unidos y China, ante la primera ciberguerra fría
EL País 18 de febrero de 2013

Rosa Jimenez Cano
Nadie está a salvo de esta ciberguerra
El País 10 de diciembre de 2010

Wikipedia
http://es.wikipedia.org
http://en.wikipedia.org

viernes, 20 de marzo de 2015

La Guerra Gélida

Máquina de Turing para descifrar Enigma Foto:Magnus Manske  licencia al final del texto



Don´t fear the digital bogeyman.
Virtual conflict is still more hype than reality
No temáis al hombre del saco digital.
Los conflictos virtuales son todavía más mito que realidad
Thomas Rid
Profesor de Estudios sobre la guerra en el Kings College de Londres

Cyberwar is just as critical to military operations
 as land, sea, air, and space
La ciberguerra es tan crítica para las operaciones militares como
la tierra, el mar, el aire y el espacio
William J. Lynn III
Vicesecretario de Defensa de los EEUU (2012)

Ciberataque en tercera persona
Juan Español llegó aquel día al trabajo a las nueve de la mañana como hacía todos los días con una precisión mecánica, ni un minuto más ni un minuto menos. Su oficina estaba en uno de los edificios que su empresa, una multinacional española, tenía en el centro de Madrid y que albergaba a la división a la que Juan pertenecía, dedicada a la gestión de sus sucursales en el extranjero. Al entrar el vigilante de seguridad le dijo que tenía que subir andando hasta la tercera planta, que es donde tenía el despacho, porque se había ido la luz y el ascensor no funcionaba.  Era extraño porque parecía que todo el barrio disponía de ella.

Una vez en el despacho comprobó que no tenía luz, que no tenía teléfono y que su ordenador era un instrumento inservible sin el fluido que le da la vida. Decidió adelantar trabajo con el único instrumento que funcionaba, su pluma Montblanc que un día le regalara su mujer – entonces novia – cuando terminó allá en sus años jóvenes la carrera de Derecho. Del patio interior al que daba su ventana, abierta ahora para que entrara el fresco mañanero de primavera, se oyeron los gritos del director de la división echando pestes del departamento de informática. Juan no comprendía qué culpa tenían los de informática de un apagón de luz.

Al poco se enteró de que otras dependencias de la empresa tampoco tenían luz. Llamó a otros colegas y pudo comprobar que el rumor era cierto, nadie disponía de fluido eléctrico en unos cuantos edificios dispersos por el área metropolitana de Madrid. La sede de Barcelona tampoco tenía. ¿Alguien se habría olvidado de pagar el recibo?.

En su sede, sólo la sexagenaria Jacinta, la archivera de la segunda planta, la más obstinada y resistente al uso de los ordenadores, hacía escritos urgentes para el director con su máquina de escribir Olivetti qué tantas veces habían intentado quitársela en aras del progreso. Los demás apenas trabajaban y las tertulias y corrillos se formaban espontáneamente por los pasillos.

Juan llamó a un amigo del departamento de informática y, un tanto esquivo, le dijo que tampoco tenían luz, que todos los servidores estaban parados y que no sabía qué pasaba.

A las diez y media volvió la luz. Encendió el ordenador y no tenía acceso a la red, sólo podía trabajar en modo local. A las doce se recuperó la red corporativa, a las doce y media el teléfono se recuperó también pues era “IP” algo que Juan no sabía muy bien qué era, el correo electrónico tardó dos días en funcionar y algunas aplicaciones sectoriales todavía más. Se tardó una semana en funcionar de nuevo de manera completa.

En los días siguientes empezaron a llegar rumores de un ataque informático aunque nadie decía nada de manera oficial. Las pérdidas fueron millonarias y la inversión en seguridad creció exponencialmente los años siguientes y con ella los controles, las restricciones y las incomodidades que la seguridad conlleva.

¿Realmente existen las ciberguerras?
Todo esto pasó, más o menos novelado, en una empresa de Madrid hace unos pocos años. Esta empresa recibió un ciberataque, que extrajo información valiosa, se llevó programas y datos y bloqueó el trabajo normal durante días lo que fue aprovechado por la competencia.

Está claro que se trató de un ciberataque, pero, ¿y si se hubiera tratado de un organismo gubernamental?, ¿y si el agresor hubiera sido un Estado extranjero?, ¿habría sido un acto delictivo  o un acto de guerra?, ¿podríamos hablar de un caso de ciberguerra?.

Pero, ¿qué es la ciberguerra?, ¿cuáles son sus límites?, por un lado, ¿a partir de qué momento un ciberataque de un Estado a otro puede ser considerado como acto de guerra?, ¿cuándo se roba información, cuándo se producen daños económicos, o bien,  cuando se produzcan pérdidas de vidas?. Por otro lado, ¿cuál es el campo de batalla?, ¿la utilización de la tecnología digital para uso militar o sólo el ataque a redes digitales de comunicaciones y ordenadores?.

Pues no tengo respuestas satisfactorias a todas estas preguntas, ciberataques claro que hay, pero, ¿hemos de subirlo a categoría de guerra?, el derecho internacional apenas empieza a rozar el asunto por lo que no hay definiciones legales y, dependiendo del autor del artículo o de la autoridad que realiza una declaración, del medio de prensa o de la publicación especializada de que se trate  y de su sensacionalismo o mayor rigurosidad tendremos distintas respuestas a estas preguntas.

Enrique Fojón (1), del Real Instituto Elcano (2), nos habla de campo de batalla cibernético-electromagnético que incluiría las operaciones de ciberguerra, la guerra electrónica y el control del espacio electromagnético. Y la gran mayoría de los autores circunscriben la ciberguerra a las operaciones militares sobre redes de ordenadores – “computer networks electronics operations CNEO” dicen algunos-. Otros autores como, Henning Wagener (3) – diplomático alemán especializado en ciberseguridad -, aún coincidiendo en los términos generales, prefiere hablar de ciberconflicto porque ciberguerra es elevar el listón semántico y, ya se sabe, a la semántica la carga el diablo. Y otros como el anterior Secretario de Defensa de los Estados Unidos, Leon Panetta, cree que es una realidad inminente y espera el Pearl Habor o el 11 S digital. En cambio, Thomas Rid (4) del Kings College (5), en el actual estado de las cosas nos dice que hay más mito que realidad en todo esto.

Así que no es de extrañar que el ciudadano medio dude sobre si todo esto se trata de un juego de palabras, una especie de “Scrabble”, que consiste en añadir el prefijo “ciber”(6) a una palabra conocida, o bien, si no será un modo de rellenar periódicos los días en que no hay muchas noticias o si se tratará de un bluf al estilo del efecto 2000 (7) , o una manera de engordar presupuestos militares y de paso aumentar los ingresos de las industrias del ramo, o bien, se trata de un peligro real para el que hay que estar preparados.

El mundo en que vivimos
Para dilucidar todas estas cuestiones sería bueno que nos paráramos un momento a contemplar cómo es el mundo actual. Además del clásico ordenador conectado a Internet que todos conocemos, con la llegada de los dispositivos móviles – teléfonos inteligentes y tabletas fundamentalmente pero también múltiples dispositivos móviles que usan desde los operarios a los ejecutivos de las empresas en las visitas a sus clientes -; con los millones de sistemas embebidos o empotrados (“embedded systems”) (8) dentro de productos tecnológicos como sistemas de control o sensores en las industrias; con la aplicación del concepto de “internet de las cosas” (9) con millones de objetos cotidianos interconectados con la posibilidad de ser manipulados a distancia desde calefacciones y aires acondicionados hasta lavadoras, automóviles o aparatos médicos; con los sistemas de salud, suministros de agua potable, electricidad y otros servicios de energía, todos ellos tan esenciales; con el sistema financiero y bancario tan dependiente de las telecomunicaciones. Con todo este parque de soportes digitales interconectados que algunos dicen que en esta década llegarán a 20.000 millones, casi tres veces la población mundial, y otros comentan que esta enorme galaxia en red podría alcanzar los 50.000 millones en los próximos años. Y todos ellos en potencia tan vulnerables como los ordenadores clásicos.  Con un mundo así, ¿cómo no preocuparse?.

En el artículo, “La Conexión Permanente”, comentaba que yo me sentía viviendo en dos mundos paralelos, el mundo real y el virtual que supone Internet,  pero cada vez más los autores hablan de convergencia entre ambos mundos. Carlo Ratti y Matthew Claudel del MIT(10) exponen que la información ya no está secuestrada en una esfera virtual sino que inunda el ambiente en el que vivimos, Los mundos físico, biológico y digital han empezado a converger en lo que ellos denominan “sistemas ciberfísicos”.

Así que, como mínimo, somos vulnerables porque dependemos en exceso de sistemas automáticos interconectados y esto hace que si un Estado quisiera atacar a otro no podría descartar al ciberespacio como un campo de batalla más. 

Por tierra, mar, aire y…
Cuando yo era un niño, había un programa en la televisión - cuyo objetivo era hacer propaganda del ejército – que se llamaba “Por tierra, mar y aire”, hoy en día, un programa equivalente debería llamarse “Por tierra, mar, aire, espacio y ciberespacio”, si hemos de hacer caso al anterior Vicesecretario de Defensa de los Estados Unidos, William Lynn, que en un famoso artículo escribió: “La ciberguerra es tan crítica para las operaciones militares como la tierra, el mar, el aire y el espacio exterior”. Desde entonces, en casi toda la literatura especializada, el ciberespacio se ha convertido en el quinto escenario territorial de una guerra.

Ciberataques famosos
¿Y qué tipo de ataques se han realizado hasta el momento que justifiquen toda esta prevención?. ¿Se han producido víctimas mortales?. Bueno pues hasta el momento la mayoría de los autores coinciden en que no se han producido víctimas humanas, aunque en la literatura ad hoc se habla de dos posibles ataques con resultados funestos, pero no está nada claro que su origen fuera un ciberataque. En primer lugar la explosión de un oleoducto en la antigua Unión Soviética en 1982, que según la CIA alcanzó una energía de 3 kilotones, debido a una bomba lógica (11) que saboteó el software canadiense que gestionaba el sistema. Las autoridades rusas siempre han negado el incidente.
El segundo caso se habría producido también en Rusia en 2009 con un accidente en una turbina de una central hidroeléctrica que podría haber sido causado por un ciberataque  aunque no está confirmado. Se provocó una explosión que produjo la muerte a 75 personas y que tuvo importantes consecuencias económicas para  Rusia (12).

Uno de los ciberataques con intención militar más famosos  fue el provocado por el virus Stuxnet que se supone desarrollado por los israelíes y norteamericanos que afecta a programas de monitorización y control industrial y que se supone que paró las centrifugadoras que enriquecían el uranio para el programa de desarrollo de armas nucleares de Irán (13). Otro fue el ataque a Estonia por en abril de 2007 que se produjo en respuesta a la polémica reubicación de un monumento de guerra soviético, evidentemente Estonia culpó a Rusia. Fue un enorme ataque de denegación de servicio que provino de más de 85.000 ordenadores pirateados y duró tres semanas. El peor día fue el 9 de mayo cuando 58 sitios web estonios fueron atacados a la vez tirando por tierra todos los servicios en línea del sistema bancario. 

Otros ataques registrados son el de China a Taiwan en 2003, los ciberataques rusos contra Georgia en la guerra por Osetia del Sur en 2008,  los ciberataques de China a Canadá en 2011, de China a varios medios de la prensa norteamericana en 2013 que provocaron la firma por el presidente Obama de un decreto de poderes especiales para responder a este tipo de agresiones, el famoso ataque a la multinacional Sony por parte de Corea del Norte por el estreno de la película “La Entrevista” que se toma a chunga al régimen coreano.

¿Y España ha quedado al margen de estos vaivenes?. Pues parece ser que no. En un artículo de El País de 14 de diciembre de 2014, se informaba de que se habían recibido ciberataques desde Rusia y China en la Presidencia del Gobierno y los ministerios de Asuntos Exteriores, Defensa e Interior. Así que parece que incluso nuestro pequeño país no está al margen de  esta tendencia.

De todo esto que estamos analizando podemos concluir que, cada vez más, los Estados se ven implicados como agresores, como agredidos – por otros Estados o por organizaciones de diversos tipos - o en ambos papeles. Por otra parte hemos visto la fuerte dependencia de nuestro modo de vida de los sistemas automáticos conectados a la red y cómo los fallos en este tipo de dispositivos puede crear desde inconvenientes molestos a la pérdida de servicios esenciales, incluso aunque todavía oficialmente hayan sido conflictos sin víctimas, en algún momento puede llegar a atacarse sistemas que afectan directamente a la vida de las personas.

Ciberdefensa
Por consiguiente los Estados cada vez se preparan más para esta situación tanto de manera ofensiva como defensiva. Por ahí andan artículos que hablan de las legendarias unidades militares dedicadas a la ciberguerra como la división 61398 del Ejército Chino (14) o la unidad 8200 de las Fuerzas de Defensa de Israel (15) o el más que real Cibercomando de los Estados Unidos que, a su vez, agrupa distintas unidades de ciberguerra de cada uno de los cuerpos militares de los Estados Unidos con un presupuesto superior a 3.000 millones de dólares (16). España, mucho más modesta y en mi opinión más sensata acorde con nuestras posibilidades, plantea una estrategia defensiva con la “Estrategia Nacional de Ciberseguridad” cuyo objetivo principal es “Lograr que España haga un uso seguro de los Sistemas de Información y Telecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección, y respuesta a los ciberataques” (17)

En cualquier caso, todos los Estados están, en función de sus riesgos y sus recursos, preparándose para este tipo de recursos. Es de destacar que en estos conflictos, según algunos autores, la posibilidad de atacar no es ningún privilegio exclusivo de las grandes potencias y se es más vulnerable cuanta más dependencia haya de las redes de comunicaciones y de los sistemas automáticos. También los Estados más modestos pueden sacar provecho del efecto asimétrico de la tecnología digital y construir con medios relativamente limitados un potencial ofensivo notable. Allá donde no llegan los recursos puede llegar la creatividad y destruir la integridad de sistemas es más fácil que construirla y además Windows, si lo contemplamos históricamente, lo ha venido poniendo bastante fácil.
En conclusión
Los ciberconflictos o ciberguerras están aquí. Existen. No estoy de acuerdo con  Rid en que son más mito que realidad, como mucho, puedo admitir que todavía están en un estado embrionario, en sus comienzos y, por tanto, hay problemas para encontrar una definición legal y establecer sus límites para distinguirlos de otros tipos de conflictos que tienen como base las redes de ordenadores. 

Hay una fuerte dependencia en nuestras sociedades de sistemas automáticos vulnerables, al tiempo que existen formas de modificar su comportamiento con fines destructivos –  los ciberataques con lo que algunos llaman ciberarmamento o armamento cibernético (18) -, y los Estados se están tomando en serio la amenaza. 

Quizás estos conflictos no se hayan generalizado más y sean más destructivos porque, gracias a Dios,  llevamos varias décadas sin un conflicto mundial generalizado desde la Segunda Guerra Mundial. Después de esta gran conflagración, las potencias rivales usaron conflictos indirectos, guerras no declaradas, guerras de terceros en el tercer mundo, espionaje y contraespionaje, pero no llegaron a la confrontación directa ante el temor a una guerra nuclear y se le llamó guerra fría. Quizás se trate tan sólo por ahora de una guerra gélida, sin muertos. Esperemos que no se caliente.

Juan Carlos Barajas Martínez
Sociólogo e informático

Continuará…
Este artículo se continúa en “La Guerra Gélida II”, de próxima publicación, en el que se examinan los distintos escenarios de un posible ciberguerra, las ventajas y desventajas de los ciberconflictos para una potencia con malas intenciones y las estrategias preventivas para evitar este tipo de conflictos.

Notas:

  1. Enrique Fojón Chamorro es ingeniero en Informática. Subdirector de THIBER, the cybersecurity think tank, adscrito al Instituto de Ciencias Forenses y Seguridad (ICFS - Universidad Autónoma de Madrid). Miembro del ISMS Forum Spain.@EFOJONC
  2. El Real Instituto Elcano de Estudios Internacionales y Estratégicos es un centro de pensamiento (think tank) creado en 2001 en España, cuyo objetivo es analizar la política internacional desde una perspectiva española, europea y global, además de servir como foro de diálogo y discusión. Con sede en Madrid, se constituyó bajo la presidencia de honor del Príncipe de Asturias el 27 de diciembre de dicho año.
  3.  Henning Wagener, que fuera embajador de Alemania en España y secretario de asuntos políticos de la OTAN, preside el Observatorio Permanente para la Ciberseguridad de la Federación Mundial de Científicos.
  4. Thomas Rid es profesor de estudios sobre la guerra del King’s College de Londres
  5. El Kings' College de Londres (informalmente conocido como King's o KCL) es una universidad pública de investigación y “college” constituido de la Universidad de Londres. El King's es la cuarta universidad más antigua de Inglaterra, fundada por el rey Jorge IV y el duque de Wellington en 1829. En 1836, el King's se convirtió en uno de los dos “colleges” fundadores de la Universidad de Londres.
  6. El prefijo “ciber”, según el diccionario de la Real Academia, es un elemento compositivo que indica relación con redes informáticas como ocurre con las palabras ciberespacio o cibernauta y tantas otras de las que hemos abusado en este artículo. Deriva de la palabra “cibernética”.
  7. En general la gente piensa que el efecto 2000 fue un “bluff”, pero yo tuve que trabajar bastante para corregir los proyectos informáticos que dirigía en aquel momento, de no haberlos corregido habrían tenido un funcionamiento defectuoso, calculando edades centenarias para recién nacidos por ejemplo. El problema es que se exageró mucho, el día 1 de enero de 2000 nada iba a funcionar, los ascensores, los vídeos, los aviones… fue un milenarismo tecnológico.
  8.  Un sistema embebido (anglicismo "embedded") o empotrado (integrado, incrustado) es un sistema de computación diseñado para realizar una o algunas pocas funciones dedicadas, frecuentemente en un sistema de computación en tiempo real. Al contrario de lo que ocurre con los ordenadores de propósito general (como por ejemplo una computadora personal o PC) que están diseñados para cubrir un amplio rango de necesidades, los sistemas embebidos se diseñan para cubrir necesidades específicas.
  9. Internet de las cosas (IoT, por su siglas en inglés) es un concepto que se refiere a la interconexión digital de objetos cotidianos con Internet. Alternativamente, Internet de las cosas es el punto en el tiempo en el que se conectarían a Internet más “cosas u objetos” que personas. También suele referirse como el Internet de todas las cosas o Internet en las cosas. Si los objetos de la vida cotidiana tuvieran incorporadas etiquetas de radio, podrían ser identificados y gestionados por otros equipos, de la misma manera que si lo fuesen por seres humanos. El concepto de Internet de las cosas fue propuesto por Kevin Ashton en el Auto-ID Center del MIT en 1999, donde se realizaban investigaciones en el campo de la identificación por radiofrecuencia en red (RFID) y tecnologías de sensores.
  10. El Instituto Tecnológico de Massachusetts (MIT por las iniciales de su nombre en idioma inglés, Massachusetts Institute of Technology) es una universidad privada de gran prestigio localizada en Cambridge, Massachusetts (Estados Unidos).
  11. Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos (“trigger”) que se dispare al cambiar la condición de trabajador activo del programador).
  12. En concreto subieron los costes de la energía y la reconstrucción de la planta costó 1.300 millones de dólares.
  13. Ha habido múltiples teorías sobre el uso de stuxnet contra el programa nuclear iraní. Symantec, desarrolladora de los productos de seguridad Norton,  afirmó que la mayor parte de los equipos infectados estaban en Irán, lo que ha dado pie a especulaciones de que el objetivo del ataque eran infraestructuras "de alto valor" en ese país, incluyendo la Central Nuclear de Bushehr o el Complejo Nuclear de Natanz. Ralph Langner, un investigador alemán de seguridad informática, cree que Stuxnet es un arma diseñada "para disparar un solo tiro" y que el objetivo deseado por sus creadores fue probablemente alcanzado, aunque ha admitido que esto son solo especulaciones. Bruce Schneier, otro investigador en seguridad, ha calificado estas teorías como interesantes, si bien señala que existen pocos datos objetivos para fundamentarlas. Algunos especialistas señalaban a Israel como principal sospechoso, y en concreto a la Unidad 8200 de las Fuerzas de Defensa de Israel. Finalmente el New York Times eliminó todo rumor o especulación confirmando que se trata de un troyano desarrollado y financiado por Israel y Estados Unidos con el fin de atacar las centrales nucleares iraníes.
  14. La División 61398 es, al parecer, una unidad del Ejército Popular chino especializada en operaciones de ciberguerra
  15. La Unidad 8200 (léase como ocho doscientos, o יחידה 8200 (en hebreo: shmone matayim) es una unidad perteneciente a los Cuerpos de Inteligencia de las Fuerzas de Defensa de Israel cuya misión es la captación de señales de inteligencia y descifrado de códigos.
  16. El Cibercomando de Estados Unidos, también conocido por las siglas USCC (del inglés United States Cyber Command), es un comando subunificado de las Fuerzas Armadas de Estados Unidos bajo el mando del Comando Estratégico de Estados Unidos. Fue creado en 2010. Su misión es el uso de técnicas informáticas con el objetivo de velar por los intereses de Estados Unidos o sus aliados. Esto incluye la protección directa de sistemas informáticos, actuaciones de respuesta rápida frente a ataques o incluso ejecutar ataques para proteger sus intereses. El Cibercomando trabaja en estrecha colaboración con la NSA. Ambos tienen su sede en el mismo sitio, Fort Meade, Maryland. Desde su fundación el director del cibercomando ha sido a la vez director de la NSA
  17. Para descargarse el documento de la Estrategia Nacional de Ciberseguridad desde el sitio web de La Moncloa, pulse aquí
  18. El ciberarmamento, armamento cibernético o armas cibernéticas es código malicioso diseñado para cumplir objetivos militares, paramilitares o de inteligencia.



Bibliografía:

Hennign Wegener
La “ciberguerra” se puede evitar
Revista de Política Exterior
Madrid marzo/abril 2012

Thomas Rid
Think again: Cyberwar
Foreign Policy
Febrero 2012

Nathalie Caplan
Cyberwar: the Challenge to National Security
Global Security Studies Volume 4. Issue 1
University of North Carolina 2013

Lawrence Krauss
Inteligencia artificial: ¿Por qué preocuparse?
Cultura 3.0

Enrique Fojón Chamorro
La transversalidad del campo de batalla cibernético
Blogs del Real Instituto Elcano

Enrique Fojón Chamorro
Año 1 de la Estrategia Nacional de Ciberseguridad
Blogs del Real Instituto Elcano

Carlo Ratti y Mathew Claudel
Piratería informática a favor de la humanidad
El País 21 de febrero 2015

Corea amenaza a EE UU si no acepta investigar juntos el ciberataque
El País 14 de diciembre de 2014

Estados Unidos y China, ante la primera ciberguerra fría
EL País 18 de febrero de 2013

Rosa Jimenez Cano
Nadie está a salvo de esta ciberguerra
El País 10 de diciembre de 2010

Wikipedia