Ciberseguridad y Disuasión: Una estrategia inadecuada para el ciberespacio.
Por Valentina Torres - Estudiante del segundo año de Estudios Internacionales UCV
El ciberespacio se ha convertido en una manera distinta de ver al mundo, una visión más compleja en la que los Estados (representados directa o indirectamente por cada computadora que tenga acceso a internet) coexisten con otros actores distintos a los entes gubernamentales, que varían desde empresas e individuos, hasta hacker-activistas y grupos terroristas como el Estado Islámico. Allí, no existe una distinción clara entre su población y cada uno de los que hacen vida en el mismo, son vulnerables a recibir ataques del resto, y a su vez, cualquiera puede ejecutar un ataque. La única diferencia es que mantenerse seguro en el ciberespacio, requiere de la creación de una estrategia de seguridad capaz de adaptarse a la realidad cibernética, eso incluye conocer los tipos de ataques, cómo se desarrollan, qué tan vulnerable es la tecnología utilizada y, sobre todo, cómo proteger todos estos aspectos, este es el rol de la ciberseguridad.
En la actualidad, no existe una definición universal para la palabra “Ciberseguridad”, pero se puede asumir que hace referencia a la protección a todo lo relacionado con el internet, los softwares, es decir, los programas informáticos y la infraestructura que hace posible la conexión a internet, el almacenamiento de la información, etc. El Tribunal de Cuentas Europeo (2019) la define como “todas las salvaguardias y medidas adoptadas para defender los sistemas de información y sus accesos, ataques y daños no autorizados para garantizar la confidencialidad, integridad y disponibilidad de datos.” (pág. 6)
Sin embargo, hay enfoques que indican que la ciberseguridad no es sólo defender sino atacar, como es el caso de Stevens (2018) quien establece que es “un medio no sólo de proteger y defender infraestructuras de información esenciales, pero también una forma de políticas internacionales a través de los medios tecnológicos de la información” (pág. 2). Entonces, se puede decir que, si bien es necesario que los Estados tomen en cuenta su protección a la hora de generar una estrategia de ciberseguridad, parte de esta estrategia debe consistir en poder atacar para lograr una mayor seguridad, ya que esto permite generar un efecto político frente a los posibles adversarios. La ciberseguridad no es sólo resistir y recuperarse, también es defenderse, porque ningún Estado está exento de ser atacado y estas ofensivas no necesariamente provienen de otros gobiernos, sino también de grupos extremistas, empresas espías y hackers que buscan algún tipo de beneficio.
Los incidentes relacionados a la ciberseguridad han ido aumentando progresivamente en el transcurso de las últimas dos décadas, una evidencia de ello podemos encontrarla en cómo la palabra “ciber” ha obtenido un rol cada vez más relevante en las “Evaluaciones de Amenazas Mundiales” que realiza el director de la Inteligencia Nacional de Estados Unidos cada año. En el 2000, nada relacionado con el internet fue mencionado en este informe. Cuatro años después, se mencionó brevemente dentro de la categoría “terrorismo”, la preocupación del Estado por las ciberamenazas. Para el año 2008, los ciberataques a la infraestructura de información de Estados Unidos ya se encontraban entre las cinco (5) amenazas principales del país, y en el 2012 era la tercera amenaza más importante. Finalmente, en el 2013 la palabra “ciber” fue utilizada para enunciar la amenaza principal a la Seguridad Nacional de Estados Unidos y se ha mantenido de esa forma durante todas las ediciones publicadas hasta el presente año.
Tal ascenso de la temática de la ciberseguridad en las Relaciones Internacionales, ha logrado otorgarle un rol protagónico en las agendas de los Estados para generar acuerdos de cooperación, pues si bien se contempla como un asunto de seguridad nacional, los ciberataques se caracterizan por tener una amplitud global (sin que esto descarte ataques particulares no solo a instituciones gubernamentales sino a empresas e individuos). Ante esta realidad, surge una urgencia por la creación de acuerdos entre Estados para mitigar en conjunto, amenazas como ataques a su estructura crítica, ciberespionaje, cibercrimen, que se traducen en altos costos económicos y sociales (Cherkenko, Demidov, Lukyanov, 2018).
La cooperación en materia de seguridad cibernética responde a las consecuencias que los resultados de un ciberataque pueden tener en amplias dimensiones, tomando en cuenta además, todos los espectros en los que se pueden ver reflejados, por ello se han generado múltiples acuerdos de cooperación que reúnen percepciones distintas para generar una respuesta adecuada. Entre los casos más resaltantes de cooperación en el campo de la ciberseguridad está la estrategia conjunta de la Organización del Tratado del Atlántico Norte (OTAN) o la alianza de inteligencia “Five Eyes” integrada por Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, ya que de acuerdo con la Oficina de Naciones Unidas contra la Droga y el Delito (2019) un pilar fundamental dentro de una buena estrategia de cooperación en ciberseguridad ha de ser el intercambio de información y vigilancia conjunta. También destacan otros acuerdos elaborados por la Unión Africana, la Unión Europea y la Liga de los Estados Árabes sobre seguridad cibernética, protección de la información, entre otros.
Ahora bien, en este contexto de tal relevancia a nivel internacional, es necesario comprender que cualquier computadora conectada al internet es vulnerable y por lo tanto, corre el riesgo de recibir un ciberataque, a pesar de eso, los Estados reconocen la dependencia que poseen del uso del mismo para el buen funcionamiento de sus instituciones, sus sistemas de telecomunicación y a su vez, la necesidad de acceso por parte de sus ciudadanos. Este último caso es más común en países desarrollados, en los que la población requiere de conexión a la red para que sus dispositivos funcionen, debido a lo que conocemos como el Internet de las Cosas (IoT). Ante esta situación, todos los Estados deben generar una estrategia de seguridad que les permita mantenerse conectados a internet para garantizar el ejercicio de sus actividades con estabilidad y a su vez, no ser muy vulnerables ante ataques externos.
Dicha dependencia de los sistemas cibernéticos, juega un rol determinante en el acercamiento que poseen los Estados ante los temas circunscritos en el espectro de la ciberseguridad, y por consiguiente en la estrategia que este implementará. Existe una creencia muy común en materia de seguridad cibernética que consiste en una visión bajo la cual, al ser un nuevo campo de batalla en las Relaciones Internacionales que no amerita grandes cantidades de recursos para tener un desempeño óptimo, los Estados se encuentran en una situación de igualdad de capacidades para su desarrollo tanto ofensivo como defensivo.
Lo anterior expuesto, en teoría consta de argumentos suficientes para ser una afirmación correcta, en la que incluso los Estados pequeños como Corea del Norte tienen la oportunidad de hacerle frente a las amenazas provenientes de otros países considerados superiores en otros campos como lo es Estados Unidos. Sin embargo, de acuerdo con el Índice Global de Ciberseguridad elaborado por la Unión Internacional de Telecomunicaciones (2018) los Estados que poseen mayor compromiso con la generación de capacidades de ofensivas y defensivas de ciberseguridad, siguen siendo los “Estados poderosos” como Reino Unido, Estados Unidos y Francia.
Cabe destacar que, tanto la República Popular Democrática de Corea, la Federación Rusa y la República Popular China son considerados como Estados con grandes capacidades defensivas y por tanto, con poder cibernético (Blasco, L. 2017) pero esto no necesariamente quiere decir que tengan una capacidad ofensiva y defensiva comparable con los Estados mencionados anteriormente, sino que al ser Estados con gobiernos que poseen un gran control del internet, han creado una cortina de hierro virtual que los hace estar menos expuestos a ciberataques, a diferencia de Estados hiperconectados como los países de occidente. Por esta razón, el presente artículo contempla una crítica a la estrategia empleada por aquellos países que no poseen tal barrera, y que por el contrario, se encuentran expuestos en el ciberespacio, estando obligados a desarrollar capacidades ofensivas y defensivas.
En esta situación, ha existido una tendencia por parte de los Estados a extrapolar su estrategia de seguridad desde otras áreas de defensa hasta su ciberseguridad, como ha sido el caso de la disuasión. Un ejemplo de ello fue el gobierno de George W. Bush, cuya estrategia según la Estrategia Nacional para Asegurar el Ciberespacio o NSSC (2003) consistía en que “el desarrollo de capacidades que no existen hoy en día, se deben reducir las vulnerabilidades y disuadir a aquellos con las capacidades y la intención de dañar nuestras infraestructuras críticas” (pág.6). Posteriormente, menciona que su estrategia no es eliminar todas las vulnerabilidades y disuadir todas las amenazas, en cambio resalta que parte vital será “reducir las amenazas y disuadir a los actores a través de programas eficaces para identificarlos y castigarlos” (NSSC, p.28)
Ahora bien, la disuasión consiste en intentar cambiar el posible curso de acción de otro Estado, mediante la amenaza del uso de la fuerza con el fin de causar daños difícilmente asumibles, para evitar un ataque (Sodupe, 2011, pág.55) por lo tanto, es necesario saber quién es el enemigo y que este haya manifestado lo que planea hacer. Además, dicha amenaza debe de tener credibilidad, es decir, que el Estado tenga la capacidad de detectar un ataque, determinar la fuente de la amenaza e infligir un costo inaceptable en respuesta (Harknett, Callaghan, Kauffman, 2010, pág. 9).
La disuasión se emplea entre Estados, quienes amenazan con el uso de la fuerza para evitar una guerra. Esta estrategia tuvo su nacimiento durante la Guerra Fría, en la que Estados Unidos y la Unión Soviética no podían arremeter uno contra el otro, siendo que ambos poseían en su arsenal armas de destrucción masiva, transformando el empleo de las mismas en un costo que ninguno de los dos Estados podía asumir, debido a que la consecuencia sería la destrucción mutua.
Entonces es posible afirmar que la disuasión es una estrategia viable en la seguridad de un Estado, especialmente en el caso del uso de armas nucleares, pero su uso en el ciberespacio presenta muchas fallas en su efectividad, específicamente si esa es la estrategia de ciberseguridad. En principio, en el ciberespacio las identidades no siempre son reveladas, hay muchas formas de mantener el anonimato al realizar un ataque, por lo tanto si el agresor no revela su identidad, un gobierno no tendría un enemigo a quién realizar la amenaza del uso de la fuerza y de poder hacerlo, sería una pérdida de tiempo que se podría invertir en asegurar sus equipos, verificar qué área fue atacada y si fue sustraída o modificada información vital, para así restaurarla; en ese caso el daño está hecho. Por otro lado, hay que tomar en consideración que las amenazas directas no suelen ser comunes cuando se planea un ataque en anonimato a un Estado.
Asimismo, un contexto en el que la aplicación de la disuasión con la amenaza del uso de la fuerza es poco efectiva, es en el ciberespacio, ya que los actores detrás de un ataque no son únicamente Estados, pueden ser grupos extremistas, black hat hackers, empresas o incluso un individuo curioso. En este mismo orden de ideas, no es viable amenazar con usar la fuerza cuando arremetes contra grupos dispuestos a asumir esos costos por su causa, como es el caso de un extremista, ni tampoco contra un humano porque sería una violación de sus derechos. Los actores en el ciberespacio tienden a ser disuadidos solo cuando sienten que no pueden alcanzar sus objetivos en estas circunstancias o porque realmente el costo que se requiere para realizar dicha acción es muy alto (Harknett et al, p.3).
Los Estados, conscientes de la diversidad de actores en el ciberespacio, han utilizado diversas formas de amenazarlos, como es el caso de Estados Unidos cuando establece, “respondemos a los ataques cibernéticos en el momento, la forma y el lugar que elijamos”. (Valeriano y Maness, 2017, p. 265). Sin embargo, una amenaza tan amplia no es suficiente pues compromete su credibilidad, el atacante en esa situación no sabe a lo que se enfrenta, pero a su vez, se da a entender que el Estado que amenaza no sabe realmente qué acciones tomar. Esto se debe a la falta de información que existe y que no hay manera de verificar qué tan ciertas son las intenciones de los posibles atacantes, lo que termina de jugar en contra de la credibilidad del Estado que desea disuadir.
Finalmente, la disuasión no puede ser usada si no se conoce al enemigo, sus intenciones, hasta donde está dispuesto a llegar, cuál es su objetivo y sus razones para atacar, ya que no habría manera de generar credibilidad en las amenazas, ni se puede garantizar una respuesta apropiada que influya en las acciones del atacante. Cuando el campo de batalla es el ciberespacio, un Estado debe saber defender y atacar por los mismos medios y en las mismas condiciones.
Por Valentina Torres – Estudiante del segundo año de Estudios Internacionales UCV
Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor y no necesariamente la organización comparte lo expresado.
Referencias Bibliográficas
Blasco, L. (2017, 31 de julio) ¿Cuáles son los países que tienen más armas cibernéticas? BBC. Recuperado de: https://www.bbc.com/mundo/noticias-40631138
Chernenko, E., Demidov, O., Lukyanov, F. (2018, 23 de febrero) Increasing International Cooperation in Cybersecurity and Adapting Cyber Norms. Council on Foreign Relations. Recuperado de: https://www.cfr.org/report/increasing-international-cooperation-cybersecurity-and-adapting-cyber-norms
European Court of Auditors (2019) Challenges To Effective EU cybersecurity policy. Recuperado de: https://www.eca.europa.eu/Lists/ECADocuments/BRP_CYBERSECURITY/BRP_CYBERSECURITY_EN.pdf
Harknett, R. J., Callaghan, J. P. y Kauffman, R. (2010) Leaving Deterrence Behind: War-Fighting and National Cybersecurity. Journal of Homeland Security and Emergency Management. 7 (1), 22. Recuperado de doi:10.2202/1547-7355.1636
Nye, J. S. (2011). Nuclear Lessons for Cyber Security? Recuperado de: https://citizenlab.ca/cybernorms2012/nuclearlessons.pdf
International Telecommunication Union (2018) Studies and Research: Global Cybersecurity Index (GCI) 2018. Recuperado de: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf
Office of the Director of National Intelligence (2013) Statement for the record on the worldwide threat assessment of the Us intelligence community, Senate Select Committee on Intelligence. Recuperado de: https://www.dni.gov/files/documents/Intelligence%20Reports/UNCLASS_2013%20ATA%20SFR%20FINAL%20for%20SASC%2018%20Apr%202013.pdf
______ (2012) Statement for the record on the worldwide threat assessment of the Us intelligence community, Senate Select Committee on Intelligence. Recuperado de: https://www.dni.gov/files/documents/Newsroom/Testimonies/20120131_testimony_ata.pdf
______ (2008) Statement for the record on the worldwide threat assessment of the Us intelligence community, Senate Select Committee on Intelligence. Recuperado de: https://www.dni.gov/files/documents/Newsroom/Testimonies/20080227_testimony.pdf
______ (2004) Statement for the record on the worldwide threat assessment of the Us intelligence community, Senate Select Committee on Intelligence. Recuperado de: https://www.cia.gov/newsinformation/speechestestimony/2004/dci_speech_02142004.html
Oficina de Naciones Unidas contra la Droga y el Delito (2019) International cooperation on cybersecurity matters. Education for Justice. Recuperado de: https://www.unodc.org/e4j/en/cybercrime/module-8/key-issues/international-cooperation-on-cybersecurity-matters.html
Sodupe, P. M. (1991) La Teoría De La Disuasión: Un Análisis De Las Debilidades Del Paradigma Estatocéntrico. Afers Internacionals, 22, 53-79. Recuperado de: https://www.raco.cat/index.php/RevistaCIDOB/article/view/27870/57242
The United States Government (2003) The National Strategy To Secure Cyberspace. Recuperado de: https://www.energy.gov/sites/prod/files/National%20Strategy%20to%20Secure%20Cyberspace.pdf
Valeriano, B. y Maness, R. C. (2018) International Relations Theory and Cyber Security: Threat, Conflict, and Ethics in an Emergent Domain. En Brown, C y Eckersley, R. The Oxford Handbook of International Political Theory (pp. 259-272). Recuperado de doi: 10.1093/oxfordhb/9780198746928.001.0001