El “salvaje oeste cibernético» demanda regulación
El entorno digital se ha convertido en un campo de batalla potencial para la mayoría de gobiernos y fuerzas armadas en todo el mundo. Sin embargo, este nuevo escenario de conflicto posee unas características muy particulares y lleva aparejadas una serie de limitaciones éticas y legales que condicionan los modos en que los diferentes actores interactúan dentro de este espacio virtual.
Se ha demostrado que las consecuencias de los ataques cibernéticos podrían llegar a ser tanto o más desastrosas que aquellas asociadas tradicionalmente al campo de batalla convencional. Cada día aparecen nuevas tipos de malware y formas de accesos clandestinos a información sensible en todos los ámbitos. Esta panoplia cada vez mayor de «armamento no convencional» ha pasado a formar parte de los arsenales con los que cuentan los diferentes países a la hora de alcanzar sus objetivos, potenciando por ejemplo sus operaciones de información.
Por cada incidente conocido se suceden incontables ataques encubiertos o no detectados y a medida que aumentan las tensiones a nivel global y evoluciona a su vez el armamento cibernético, parece más claro que estas escaramuzas digitales se recrudecen al amparo de una legislación internacional pobre o incluso inexistente según que casos, incrementando a su vez los niveles de incertidumbre y el riesgo potencial asociado a este tipo de agresiones.
A pesar de que el dominio cibernético es reconocido como un escenario de batalla por la mayoría de países y organizaciones internacionales, sus características particulares dificultan enormemente alcanzar fácilmente consensos que aporten algo de equilibrio. En la guerra convencional por ejemplo, algo tan aparentemente sencillo como pueda ser la distinción entre infraestructuras civiles y militares resulta a priori más fácil. En el caso de la ciberguerra hablamos de algo más complejo en la medida en que tanto civiles como militares a menudo emplean tecnologías e infraestructuras muy similares.
La dificultad a la hora de atribuir el ataque es otra de las características que complica aún más las tensiones geopolíticas existentes. Un actor externo podría llevar a cabo una operación de «bandera falsa» con el fin de elevar las tensiones existentes entre diferentes adversarios o provocar una escalada del conflicto. La evolución tecnológica y sus implicaciones no hacen más que incrementar día a día tanto las posibilidades como los modos de ataque. Pensemos por ejemplo en el controvertido «5G» y las repercusiones que podría llevar aparejado en cuanto a riesgos, escala y alcance de los ciberataques.
Se trata de una problemática reconocida por la mayoría de países y organizaciones internacionales desde el momento en que la esfera digital ha sido entendida como un escenario de guerra más. Tanto es así que el Foro Económico Mundial llegó a considerar los ciberataques como la mayor amenaza para la humanidad sin tener en cuenta las amenazas ambientales. En la misma línea se pronunciaba el Informe sobre Riesgos Globales de 2018 al advertir que el uso de ataques cibernéticos para afectar infraestructuras críticas y sectores industriales estratégicos podría desencadenar un fallo sistémico que afectaría al funcionamiento mismo de la sociedad», advertencia que reiteraron en los informes sucesivos tanto en 2019 como en 2020.
Atendiendo a la naturaleza impredecible y difusa de este tipo de amenazas y a la vista de sus singulares características, es fácil comprobar cómo los paradigmas defensivos tradicionales han quedado prácticamente obsoletos. Según los expertos, a pesar del amplio reconocimiento del mundo ciber como un dominio potencial de la guerra, todavía no contamos con la regulación adecuada, y la existente no ha dejado de ser problemática.
A pesar del consenso más o menos generalizado sobre la equivalencia que existiría entre una agresión convencional y aquellos ciberataques en los cuales el dominio cibernético pudiera ser empleado para ocasionar daños físicos, aplicándose en este supuesto las regulaciones propias del Derecho Internacional Humanitario y la legislación que regula los conflictos armados, la mayoría de agresiones virtuales tendrían más que ver con la interrupción de un servicio o estarían estrechamente relacionadas con datos intangibles y el entorno de la información. De ahí que la necesidad de una regulación y una normativa reconocida a nivel internacional sea cada vez más importante a medida que las naciones adoptan un enfoque más agresivo en el campo ciber.
Este cambio hacia un enfoque más reactivo ha sido lento pero ya es compartido por multitud de países y administraciones que ven en la «defensa activa» la mejor respuesta ante este tipo de amenazas. Esto se traduciría en un análisis de los ataques y el desarrollo de las correspondientes represalias. Un planteamiento que podría no ir desencaminado, siempre y cuando venga acompañado por la regulación correspondiente que aleje los fantasmas de un «salvaje oeste cibernético».
En esta línea habría que extremar las precauciones y no caer en el error de definir los conflictos cibernéticos tomando como referencia los mismos parámetros que han regido los conflictos convencionales y el equilibrio de poder tradicionalmente. El equivalente digital al número de unidades, a los diferentes sistemas de armas y a la capacidad para proyectarlos «sobre el terreno», resultarán fundamentales, pero no tan decisivos como una adecuada superioridad defensiva y la resistencia de las infraestructuras críticas ante este tipo de ataques.
Por otra parte, los modelos futuros en materia de ciberseguridad deberán girar en torno a un centro de gravedad defensivo, que se traducirá en una mayor comprensión del entorno digital y por lo tanto en una mejora en su capacidad para identificar áreas críticas en la propia red, en lugar de gastar tiempo y recursos en tratar de adivinar de dónde vendrá el golpe. Así mismo, también es ampliamente reconocida la necesidad de implementar tecnologías emergentes, como por ejemplo la Inteligencia Artificial, teniendo en cuenta la creciente complejidad que plantean los ecosistemas digitales nacionales e internacionales, así como la proliferación de los ataques cibernéticos.
Para los expertos, las ciberdefensas del futuro que incorporen inteligencias artificiales jugaran con ventaja en los conflictos digitales que se avecinan. En este tipo de escenarios el principio de destrucción mutua asegurada perderá su sentido si se logra alcanzar una situación en la que la incapacidad para realizar operaciones cibernéticas exitosas contra el oponente se convierta en el factor principal a la hora de evitar la escalada en los ciber-conflictos.