Socio Director de S2 Grupo 

Hace ya seis años, se produjo una serie de ‘ciberataques’, por agresores no identificados, contra los sistemas de información de Estonia, que dejó paralizada a gran parte de la administración pública del país durante varios días.

Aunque inicialmente el ministro de Asuntos Exteriores de Estonia acusó al Kremlin de estar tras el ataque, posteriormente, el de Defensa tuvo que reconocer que carecía de evidencias que justificaran tales afirmaciones.

Una de las consecuencias positivas de este ataque fue el establecimiento de un Centro Operativo de Excelencia certificado por la OTAN en su capital, Tallin (NATO Cooperative Cyber Defense Centre of Excellence).

Una de las iniciativas de este centro fue la convocatoria de un equipo internacional de expertos en defensa, ‘ciberseguridad’ y derecho internacional, para que trabajaran en lo que podríamos llamar el equivalente cibernético de la Convención de Ginebra.

Es decir, un futuro acuerdo para que las ‘ciberguerras’ se desarrollen cumpliendo unas determinadas reglas de comportamiento. El documento, disponible públicamente, es el “Tallinn Manual on The International Law Applicable to Cyber Warfare” o ‘Manual Tallin’.

Por poner un ejemplo de la importancia que se da entre las grandes potencias a este tipo de conflictos, podemos citar el caso de Reino Unido, que en su documento sobre estrategia nacional de seguridad de 2010, sitúa “el ciberataque, incluso por parte de otros estados”, como uno de las cuatro amenazas de nivel uno (tier one), junto con el terrorismo internacional, las crisis militares internacionales entre Estados, y los grandes accidentes o catástrofes naturales.

O el de EEUU, que en un documento análogo, cita las amenazas cibernéticas como “uno de los retos más serios de seguridad nacional, pública y económica, a los que nos enfrentamos como nación”.

Podemos argüir que la propia Convención de Ginebra, suscrita hoy por 194 países, no sirve para mucho, ya que, en caso de conflicto, los contendientes se la saltan a la torera. Y aunque esto es bastante cierto, como lo demuestran muchos de los recientes conflictos militares o algunas actuaciones en la lucha contra el terrorismo, también lo es que, al menos, establece unas ‘líneas rojas’ que alertan a la opinión pública.

Funcionan, de algún modo, como moderadoras de las actuaciones de los Gobiernos y, en definitiva, sirven para establecer un marco legal en el que pedir responsabilidades después de las actuaciones ilegales.

Por otra parte, este documento es todavía un borrador y no está suscrito aún por ningún país, pero es de esperar que lo firmen los promotores, entre los que se encuentran la mayor parte de las grandes potencias militares y económicas del mundo.

REGLAS DE LA «CIBERGUERRA»

Entre los aspectos más interesantes recogidos en el manual, se encuentran, por ejemplo, las reglas para determinar qué acciones hostiles constituyen una causa válida para que un Estado inicie una ‘ciberguerra’, o cuál debe ser el comportamiento de los contendientes durante el desarrollo del conflicto.

Hay curiosas consideraciones sobre la soberanía nacional, que resulta mucho más difícil de definir en un mundo virtual, siendo un concepto normalmente ligado al territorio físico.

Por ejemplo, se plantea que un Estado puede considerar como infraestructura propia cualquier conjunto de sistemas de información que esté físicamente en su territorio y actuar en consecuencia, lo que abre el camino a interesantes reflexiones sobre la propiedad de la información en la nube.

Regula también la legitimidad de los ataques contra infraestructuras críticas de otro Estado y contra los centros de mando y control militares o civiles. Por lo tanto, de manera implícita se admite que este tipo de ataques es realizable e incluso es legítimo, lo que no debería constituir, a estas alturas, una sorpresa para nadie.

Sin entrar en detalle en aspectos técnicos, que exceden mis conocimientos del mundo de la legislación en el área de los conflictos internacionales, el punto a destacar es que, si ya estamos en el momento en el que un grupo de expertos internacionales convocados por la OTAN se dedica a definir las reglas de comportamiento ante una ‘ciberguerra’, es porque ésta es una auténtica y real amenaza, percibida por los Gobiernos de los países más importantes del mundo, que están tomando posiciones para poder actuar en consecuencia.

‘CIBERDELINCUENTES’

Las mismas armas que se utilizan o podrían utilizarse en la ‘ciberguerra’ están, al menos de momento, en manos de los criminales. Quizás en el futuro los Gobiernos dispongan de medios que sólo ellos se puedan permitir, pero, por ahora, el mismo tipo de ataques podría ser empleado por grupos terroristas o delincuentes, aunque con distintos objetivos: en el caso de los delincuentes su motivación será económica y sus víctimas, las organizaciones civiles, las empresas y los ciudadanos.

Como decíamos en un artículo anterior en ECONOMÍA 3, nuestras empresas no están exentas de riesgo, aunque muchas veces no nos demos cuenta, ya que al delincuente le interesa más ser discreto y dejar la puerta abierta para poder acceder en cualquier momento a información interesante, que ponerse en evidencia y ‘levantar la liebre’ para que las víctimas tomen las medidas oportunas para proteger sus activos.

Como decía un experto en seguridad del CNI, hay dos tipos de organizaciones: las que han sufrido e identificado un ‘ciberataque’ y las que aún no se han enterado de que lo han sufrido. En cualquier caso, el primer paso es aumentar nuestro nivel de conciencia de la situación y, con este artículo, esperamos contribuir, en la medida de lo posible, a este objetivo. 

www.s2grupo.es