El ciberespacio es un entorno global en constante evolución, donde los riesgos, las amenazas y las oportunidades son cada vez más activos y sofisticados (actores estatales, terroristas, criminales, campañas de desinformación, etc.). Estas amenazas pueden poner en riesgo no solo redes y sistemas de información, sistemas de operación y telecomunicaciones de organismos públicos, sino también las infraestructuras críticas y servicios esenciales de los Estados, atentando a la propia estabilidad nacional.
Así se contempla ya desde España y algunos países de nuestro entorno. Además, desde diversas organizaciones internacionales están implementando estrategias de ciberdefensa, adoptando incluso medidas ofensivas para disuadir a los países y grupos que realizan ciberataques.
Legítima defensa
El término hack back (devolver el hackeo) es un método de defensa que consiste en la devolución de un ciberataque con el objetivo de contener el daño. Dicho contrataque debe estar contextualizado en un escenario de legítima defensa.
Pero, ¿qué es la legítima defensa y cómo se puede aplicar al escenario cibernético? Según el Derecho Internacional Público, la legítima defensa es el uso de la fuerza de un Estado frente a un ataque armado. Para poder reconocer un «ataque armado» en el ciberespacio, se estima que el ataque debe afectar a una infraestructura crítica, y los efectos causados deben ser equiparables a un ataque armado mediante fuerzas cinéticas.
Para que esta acción esté legitimada y conforme a derecho, se exigen una serie de requisitos: el agresor deber ser un Estado y la acción de respuesta ha de ser proporcional y necesaria, además de inmediata y ante un riesgo inminente.
Estos requisitos resultan de aplicación problemática en el ámbito cibernético, principalmente por la dificultad de identificar a los atacantes (atribución) y por la falta de regulación del derecho a la legítima ciberdefensa que establezca los principios de proporcionalidad y necesidad. Y todo ello, con la dificultad que supone definir el concepto de inmediatez; cuando en un ciberataque hay una alta probabilidad de que la detección sea posterior a cuando este se produjo o se inició.
En este sentido, la literatura ha pretendido diferenciar entre legítima defensa anticipada y preventiva, con lo que la diferencia entre ellas se resume en la inminencia del riesgo. En este contexto, y según el Manual Tallin, para poder ejercer la legítima defensa anticipada se deben disponer de hechos objetivos sobre la realidad de un ataque. En caso de que solo exista una mera potencialidad, estaríamos ante una legítima defensa preventiva, y, por lo tanto, ya no estaría amparado ante el Derecho Internacional Público.
Como vemos, a pesar de que la legítima defensa es un recurso innegable al que los diferentes Estados pueden recurrir en caso de amenaza inminente, el Derecho Internacional Público sigue muy encajado en los parámetros tradicionales de hacer la guerra. Por consiguiente, la cuestión principal sería plantear dónde están los límites de la legítima defensa cuando hablamos del ciberespacio. Es decir, dónde se ampara la responsabilidad cuando se actúa en un domino ilimitado, interconectado, difuso y deslocalizado.
Intensidad de riesgo
Es bien sabido que el mejor ataque es una buena defensa, y esta premisa también se puede trasladar a las ciberamenazas. Factores como la prevención, una buena capacidad de detección, la ciberdiplomacia e incluso la conocida como «ciberdisuasión» son elementos que disminuyen la intensidad de riesgo si se cuenta con una fuerza e infraestructura técnica capaz. Sin embargo, si este primer frente cede, cabe la posibilidad de aplicar medidas de neutralización de la amenaza.
Así, aplicar técnicas de hack back es una posibilidad que desde hace unos años se comenzó a plantear en los diferentes organismos de ciberdefensa. El último ejemplo de esta iniciativa lo encontramos en Reino Unido, con el proyecto de un centro de ciberdefensa preparado para efectuar ataques ofensivos.
Ahora bien, la cuestión principal es plantear qué ocurriría si alguno de los pilares de la legítima defensa no se cumple y se procede a un ataque ofensivo contra un actor equivocado o no estatal, de forma desproporcionada o con una distensión temporal no reconocida por el Derecho Internacional Público.
El contexto en España de la ciberdefensa
En el marco español, es en el año 2000, con la divulgación de Libro Blanco de la Defensa, cuando se empieza a considerar el entorno cibernético como un escenario estratégico para la defensa nacional.
Pese a los avances a partir de esa fecha, en 2011 se publica la Estrategia de Seguridad Nacional, donde no solo se incluyen las ciberamenazas como una de las principales amenazas de la seguridad nacional, sino que, además, se prevé la creación de un Consejo Español de Seguridad, dependiente de la presidencia del Gobierno, para abordar el reto.
No es hasta el año 2013 cuando se marca un hito en la regulación del ciberespacio en España, cuando se fijan por primera vez una serie de objetivos estratégicos y unas líneas de acción orientadas a la consecución de los objetivos establecidos. Así, se desarrolla una estructura orgánica de la ciberseguridad, bajo la dirección del presidente del Gobierno, compuesta por tres órganos: el ya existente Consejo de Seguridad Nacional y los nuevos Comité Especializado de Ciberseguridad y el Comité Especializado de Situación.
En este punto, la seguridad en el ciberespacio va adquiriendo una importancia cada vez mayor conforme pasan los años. Los avances implementados por la Estrategia de Seguridad Nacional de 2013 y la Estrategia Nacional de Ciberseguridad del mismo año se consolidan mediante la Estrategia de Seguridad Nacional de 2017, la cual fija como objetivos y líneas de acción orientar la acción del Estado a un modelo integral de gestión de crisis. Todo ello con la intención de promover una cultura de seguridad nacional, de favorecer el buen uso de los espacios comunes y globales para impulsar la dimensión de la seguridad en el desarrollo tecnológico y de fortalecer la proyección internacional de España.
Finalmente, estas previsiones son desarrolladas más extensamente en la última Estrategia Nacional de Ciberseguridad, aprobada en 2019, donde se establece como marco de referencia un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en colaboración con instituciones y empresas privadas, y con la participación de la ciudadanía.
Además, cabe señalar que es a partir de esta última Estrategia Nacional de Ciberseguridad cuando, por primera vez, se apuesta por la transición hacia un esquema más global y disuasorio. Por eso se aconseja un refuerzo de la ciberinteligencia y una mayor integración de esta en el esquema conjunto de la ciberseguridad, suponiendo un método para atajar la rápida evolución de las ciberamenazas y un factor clave para aumentar la capacidad de gestionar las alertas de forma temprana. De esta forma se permite la anticipación del Estado frente a las acciones de potenciales adversarios en el dominio cibernético.
Por último, en esta última Estrategia Nacional destaca la integración de las comunidades autónomas y las entidades locales y privadas mediante la introducción de los diferentes equipos de ciberseguridad y gestión de incidentes (CSIRT) como recursos útiles en la pronta respuesta ante ciberamenazas.
Conclusiones
Las capacidades ofensivas en el ciberespacio han llegado para quedarse. Su empleo para respaldar la disuasión tiene abiertos varios frentes de debate. El primero surge de la tensión entre su legalidad y su eficacia ante los riesgos que supone. A diferencia de otros dominios, el uso de la guerra en el ciberespacio carece, por el momento, de una regulación internacional.
Para poder garantizar un marco legítimo en el uso de medios defensivos contra una amenaza, hay que garantizar que se dispone de la capacidad técnica necesaria para su correcta detección, identificación y neutralización en un margen de tiempo reducido.
Se corre el riesgo de que las capacidades ofensivas se empleen de forma sesgada o automática. Es importante que el desarrollo conceptual y doctrinal de la defensa activa no quede exclusivamente en manos de sus usuarios finales, y que exista una coherencia con el Derecho Internacional.
Es una realidad presente la necesidad de promover la cooperación pública-privada, la coordinación y búsqueda de sinergias entre los diferentes actores implicados. Y es clave mejorar y fomentar la capacitación y adiestramiento de los profesionales de ciberseguridad, ciberinteligencia y ciberdefensa con el fin de disponer de una ciberdefensa y ciber-reservistas que permitan establecer las medidas de seguridad apropiadas en el ciberespacio nacional.
En definitiva, para construir un sistema de ciberdefensa nacional será necesario algo más que el nombre. Estas acciones deberán ir acompañadas de la implicación total del Estado. Se trata de concretar una definición clara de las competencias en materia de ciberseguridad dejando a un lado las desavenencias propias de la convivencia de distintos organismos de ciberseguridad y de los actores nacionales implicados. También hay que impulsar el desarrollo de capacidades de ciberseguridad, ciberinteligencia y ciberdefensa operativa con un plan práctico y coherente.
No solo España, todos los países tienen un extraordinario reto.