El 28 de noviembre pasado, en las postrimerías del gobierno anterior, el titular de la cartera de Defensa inauguró el Centro Nacional de Ciberdefensa. Allí se llevarán a cabo las tareas vinculadas con la protección y utilización soberanas de las cuotas de ciberespacio esenciales para el adecuado funcionamiento del instrumento militar y, de manera más amplia, los componentes del sistema de la Defensa. Exactamente dos semanas más tarde, en ocasión del cambio de titularidad del Poder Ejecutivo como consecuencia del resultado de las elecciones celebradas, el flamante Presidente de la Nación jerarquizó en su discurso la ciberdefensa, considerando que podría constituir uno de los vectores del desarrollo nacional.
Ambos hechos, protagonizados por distintas administraciones con diferente signo ideológico, confirman la importancia que adquirieron aquellas ciberamenazas que, de acuerdo a la discriminación propuesta por Arquilla y Ronfeldt hace un cuarto de siglo, cuando comenzaban los estudios en este campo, se despliegan en un ámbito de aplicación militar. Cabe recordar que estos analistas de Rand Corporation emplearon el concepto ciberguerra (cyberwar) para referirse a la conducción de operaciones militares según principios relacionados con la información; es decir, en esos conflictos las tecnologías de la información y las comunicaciones (TICs, según la denominación usual) serían la principal arma y a la vez el campo de batalla. Así, a través de la ciberguerra se pretende alterar en favor propio el balance respecto a información y conocimiento disponible, a través de dos vías esenciales: en primer lugar, mediante la intercepción o destrucción de sistemas de información y comunicaciones enemigos; en segundo término, obteniendo de ese enemigo la mayor parte de su información, mientras se protege la información propia. Esta forma de combate, señalaban Arquilla y Ronfeldt, involucra diferentes tecnologías vinculadas al comando y control, a la recolección y procesamiento de datos (inteligencia), a las comunicaciones, al posicionamiento, a los sistemas IFF (identificación amigo-enemigo) y al empleo de las llamadas “armas inteligentes”.
Elaboraciones ulteriores de la ciberguerra la definieron de manera simplificada como “cualquier conflicto bélico en el cual el ciberespacio y las TICs son el escenario principal”, agregando que implica cuatro cambios respecto a los conflictos armados tradicionales: (i) como se dijo, el campo de batalla principal es el ciberespacio; (ii) podría adoptar el formato de una “guerra en red”, en referencia tanto a una forma de actuar como de organizarse, aprovechando los recursos tecnológicos disponibles; (iii) el protagonismo no se limita a los Estados Naciones, pudiendo ser actores no estatales e incluso compañías privadas; (iv) por último, entre los blancos, adquieren relevancia las infraestructuras críticas. Básicamente, la idea de infraestructuras críticas refiere a sistemas, máquinas, edificios o instalaciones relacionados con la prestación de servicios esenciales a la población. Esas infraestructuras incluyen los sistemas de procesamiento de información y telecomunicaciones, el software que permite operarlos, y el personal que maneja los sistemas y emplea el software.
Desde nuestro punto de vista personal, la segunda de las novedades consignadas es especialmente destacable en el contexto del presente trabajo, pues hace trascender a la ciberguerra más allá del ámbito militar. En efecto, la referencia a la guerra en red (netwar) remite a conflictos que tienen lugar entre Estados, o al interior de sociedades, protagonizados por actores organizados en redes flexibles y descentralizadas, altamente adaptables y con un manejo optimizado de la información en los procesos de tomas de decisiones. En ese sentido, la guerra en red puede ser entendida como “el uso de formas de red de organización, doctrina, estrategia y tecnología de acuerdo a la Era de la Información”. Empero, un dato central es que en estos conflictos el objetivo de las acciones puede apuntar más a la desorientación y manipulación del oponente que a su sometimiento, bloqueando o dañando la información que maneja; de esta manera se afecta lo que conoce (o cree conocer) sobre sí mismo, sus adversarios y su entorno. Y la población, en todo o en parte, puede ser el blanco de esas acciones.
A través de su componente de guerra en red, y de la incorporación de población como blanco, la ciberguerra incursiona en el ámbito civil. Como hemos detallado en un trabajo reciente, diferentes conceptos dan cuenta de este punto, entre ellos el de guerras (o conflictos) de cuarta generación, y las teorizaciones más avanzadas sobre los llamados conflictos híbridos; en este último caso, no sólo en sus lecturas occidentales, sino también en versiones alternativas como la guerra no lineal rusa, también llamada Doctrina Guerasimov en referencia a su mentor, o la guerra irrestricta china (Bartolomé, 2019).
Existen visiones exageradas según las cuales la guerra del futuro ya no será una operación de tropas aerotransportadas ni contendrá desembarcos de infantes de marina, sino que se limitará a acciones ofensivas de naturaleza electrónica destinadas a dañar al enemigo (Borja, 2020). Pero esta es una apreciación equivocada. En cualquier caso, la ciberguerra no erradicará a las formas tradicionales de empleo de la fuerza armada, ni el dominio cibernético suplantará por completo a los otros cuatro (terrestre, aéreo, marítimo y ahora también espacial). Como indicó recientemente Heli Tiirmaa-Klaar, la mentora de la ciberestrategia de seguridad desarrollada por Estonia tras los ataques de 2007, en caso de estallar un conflicto armado de magnitud éste no será una ciberguerra, sino que se desenvolverá en el mundo físico y seguramente tendrá una faceta ciber (Pérez Colomé, 2020).
En los últimos tiempos, las manifestaciones de ciberguerra que tomaron estado público han sido numerosas y, al mismo tiempo, heterogéneas entre sí, demostrando su naturaleza multiforme. Muchos de estos casos han tenido lugar en el contexto de la volátil relación entre Irán y Estados Unidos, cuya postura estratégica acepta que la disuasión no puede seguir siendo el elemento central de respuesta, siendo necesario contar con medidas ofensivas para evitar que una postura exclusivamente defensiva incentive los ciberataques. Así, fuentes primarias indican que a mediados del año pasado, tras el derribo iraní de un vehículo aéreo no tripulado estadounidense de vigilancia, en una acción que no provocó bajas, la superpotencia respondió con un ciberataque que destruyó una base de datos clave del Cuerpo de la Guardia Revolucionaria del oponente, afectando sistemas de lanzamiento de misiles y de monitoreo del tráfico naval en la zona de Ormuz. Tres meses más tarde, pocos después del ataque con drones y misiles de crucero perpetrada por milicias yemeníes contra instalaciones petroleras de Arabia Saudita, por el cual Washington y Riad responsabilizaron a Teherán, Estados Unidos habría lanzado un ciberataque contra el aparato de propaganda iraní que podría haber incluido infraestructura física, sobre el cual no se proporcionaron mayores detalles.
Este puñado de casos, aunque metodológicamente dista de ser una muestra representativa, permite obtener una serie de conclusiones preliminares. En primer lugar, sugiere que en el contexto de un conflicto interestatal agudo, acciones de ciberguerra pueden ser consideradas menos provocativas que actos militares convencionales, reduciéndose de este modo los riesgos de escalada. El gradualismo que se le puede imprimir a las acciones de ciberguerra, sobre todo en materia de generación de víctimas fatales, constituye un elemento central en este sentido. Segundo, aunque relacionado con lo anterior, si bien las acciones de ciberguerra habrían sido respuesta a ataques convencionales previos, persisten los debates en cuanto a la forma de establecer la “simetría” entre acción y reacción. Incluso, cabría preguntarse si una reacción de ciberguerra simétrica a la acción convencional previa de la contraparte no pierde efecto disuasorio, de cara a otras agresiones futuras. Al respecto, especialistas como Joseph Nye o Félix Arteaga, del Real Instituto Elcano, han indicado que no existen consensos en cuanto a la gradación de los conflictos cibernéticos, ni su relación con medidas militares tradicionales; además, persiste la falta de regulación del derecho a la legítima ciberdefensa.
Por cierto, la cuestión de la simetría entre acción y reacción en el contexto de un conflicto interestatal agudo, donde aún no se ha dado paso a las hostilidades armadas abiertas, es más difícil de determinar cuando la primera es un acto de ciberguerra y la contraparte no quiere (o no puede) responder de la misma manera. Sobre este punto, Kissinger ha demandado la elaboración de un nuevo cuerpo teórico y doctrinario abocado a la forma y el grado de las respuestas “cinéticas” a agresiones cibernéticas. En este campo, ha pasado prácticamente desapercibido que en mayo de 2019 las fuerzas de defensa israelíes respondieron a un ciberataque perpetrado por la organización terrorista Hamas con un bombardeo a las instalaciones que albergaban los centros de ciberguerra de ese grupo, en la Franja de Gaza).
De acuerdo a algunas visiones, ese nuevo cuerpo doctrinario podría lograrse, parcial o totalmente, con el llamado Manual de Tallinn. Con ese nombre se conoce el texto referencial sobre el marco legal aplicable a ciberataques, elaborado por un grupo de expertos convocados por el Centro de Excelencia Cooperativa de Ciberseguridad, instalado en esa ciudad báltica por la OTAN tras los ciberataques que sufrió Estonia en el año 2007. El Manual constituye hasta el presente el documento más avanzado en esa materia: a lo largo de dos partes, siete capítulos y casi un centenar de reglas de conducta, la obra aborda la interacción entre el ciberespacio y el Estado Nación, respecto al uso de la fuerza; sin embargo, más allá de su indudable valor, constituye un compendio de buenas prácticas que carece del estatus de una Convención, que es lo que algunos especialistas demandan.
En suma, a través de este breve repaso se constata que en el campo de la Seguridad Internacional registra un importante dinamismo la cuestión de la ciberguerra, ese aspecto de la ciberseguridad que se expresa en el ámbito militar. Las autoridades y los especialistas de nuestro país, donde se encuadra este tema dentro de los límites de la ciberdefensa, debe seguir con atención las novedades que se registren, evaluando su compatibilidad con el marco normativo y las doctrinas locales vigentes.
Bibliografía:
Bartolomé, M. (2019) Amenazas y conflictos híbridos: características distintivas, evolución en el tiempo y manifestaciones preponderantes. Urvio Revista Latinoamericana de Estudios de Seguridad, 25, 8-23
Borja, R. (2020) Terrorismo Informático. El Comercio, 19 de enero
Pérez Colomé, J. (2020) No habrá ninguna ciberguerra. Habrá una guerra real con una faceta ciber. El País, 1 de enero
Muy interesante y amena esta introducción a la ciberdefensa del distinguido colega uruguayo.