13 Oct Resolución del Parlamento Europeo sobre la situación de las capacidades de ciberdefensa de la UE
(Texto elaborado por Enrique Cubeiro Cabello, Jefe del Área de Ciberdefensa de la DGAM del Ministerio de Defensa, y Vocal de la Junta Directiva de Arco Atlántico de Ciberseguridad y Entorno Digital).
El pasado 7 de octubre se hacía pública la Resolución del Parlamento Europeo sobre la situación de las capacidades de ciberdefensa de la UE (2020/2256(INI)). Siguiendo su habitual formato de larga sucesión de “vistos” y “considerandos”, el documento viene a desarrollar un “punto de situación” de la ciberdefensa en la UE, seguido de unas líneas estratégicas maestras y recomendaciones.
Lo primero que habría que destacar es la muy heterogénea relación de actividades hostiles o maliciosas con las que se vincula en el documento a la “ciberdefensa”, y que abarcan la desinformación, la propaganda, los ciberataques a infraestructuras críticas, el ciberespionaje y la vigilancia masiva de ciudadanos de la Unión.
Ello lleva a pensar (habida cuenta de la ausencia de una definición del término por parte de la UE) que, al menos en el contexto de este documento, “ciberdefensa” ha de entenderse como sinónimo de “defensa del ciberespacio”, interpretación muy diferente a la que se maneja en el ámbito militar. Lo más parecido a una definición aparece en el primer párrafo del epígrafe Situación de las capacidades de ciberdefensa de la UE, en el que se señala que “ciberdefensa se refiere a acciones, instrumentos y procesos que son proporcionados y están en consonancia con el Derecho Internacional, que incluyen elementos tanto militares como civiles, y cuyo objetivo es proteger, entre otras cosas, las redes de comunicación e información de la PCSD[1], así como las misiones y operaciones de la PCSD”. Nótese la enorme diferencia respecto a la definición contenida en el “Concepto de Ciberdefensa” del Jefe del Estado Mayor de la Defensa (JEMAD) de septiembre de 2018: “conjunto de capacidades de defensa, explotación y ataque que permiten llevar a cabo operaciones en el ciberespacio, con la finalidad de preservar o ganar la libertad de acción en el ciberespacio de interés militar, impedir o dificultar su uso por parte del adversario, y contribuir a alcanzar la superioridad en el enfrentamiento en el resto de ámbitos físicos y cognitivo”.
Precisamente, uno de los problemas identificados por el grupo de trabajo que elaboró el “Concepto de Ciberdefensa del JEMAD” fue la falta de unidad a la hora de definir los conceptos básicos. Si no hablamos un idioma común, difícilmente podremos ser coherentes en su desarrollo.
Ello da lugar a que el documento, mucho más que a las capacidades militares, que apenas se mencionan, se enfoque a un amplísimo espectro de asuntos, que abarcan, entre otros, la gobernanza del ciberespacio, la cooperación (entre Estados, entre UE y OTAN, entre el ámbito civil y militar), la criptografía, la formación, la concienciación, la coordinación, la investigación o el fortalecimiento y creación de agencias especializadas.
Es indudable que avanzar en todos esos temas contribuirá a mejorar la situación, siendo conscientes de que cada campo de los mencionados plantea enormes problemas y está salpicado de obstáculos. Así, por ejemplo, la necesidad de incrementar la cooperación a todos los niveles es algo en lo que se viene insistiendo desde hace muchos años. Teniendo en cuenta que, en muchos casos, la amenaza es compartida, parece evidente que compartir información sobre inteligencia de ciberamenazas e investigación de incidentes, así como cooperar en el desarrollo de capacidades y tecnologías, resulta primordial; sin embargo, en la práctica, la cooperación consume ingentes recursos, lo que es el principal obstáculo, sumado al de la desconfianza (entre Estados, entre organizaciones, entre agencias), que dificulta los avances.
También se dedica algún párrafo a la necesidad de mejorar las capacidades de atribución, como paso necesario a cualquier respuesta. Desde mi punto de vista, este es el quid de la cuestión, algo que el documento no llega a transmitir. Por mucho que en los últimos años se hayan producido señalamientos públicos (lo que se conoce como “atribución política”) no debidamente sustentados por una atribución técnica o forense, los efectos prácticos de estas actuaciones son escasos. Tanto EEUU, como la OTAN y la UE han acusado, en distintos documentos y declaraciones (la UE no lo hace en éste, pero sí en algunas de las referencias), a Rusia, China o Corea del Norte de estar detrás de determinadas campañas, sin que los señalados hayan hecho otra cosa que ofenderse por las “falsas acusaciones”, no variando ni un ápice su actitud. Difícilmente podrán adoptarse sanciones u otras medidas coercitivas o de represalia sin un informe técnico que respalde debidamente tales acusaciones.
El ciberespacio otorga enormes facilidades para la suplantación de identidad, el anonimato, los ataques de falsa bandera y el uso de infraestructuras de terceros para ejecutar acciones maliciosas. Ésta es la gran y casi única razón por la que el ciberespacio es lo más parecido al Far West y lo que le otorga la etiqueta de único espacio en el que la disuasión, elemento básico de cualquier sistema de seguridad, no funciona (o lo haga de forma muy rudimentaria). Habida cuenta del número y heterogeneidad de los actores maliciosos, sus muy variadas formas de actuación y de la dificultad de recopilar evidencias, la atribución de una acción maliciosa a un Estado a un actor concreto resulta casi una utopía en cuanto el atacante reúna una cierta capacitación técnica y unos medios (infraestructura, equipamiento) aceptables.
Es por ello que, desde mi modesto punto de vista, los mayores esfuerzos deberían centrarse en potenciar aquellas capacidades que permitan la atribución forense o, cuando menos, la técnica. Ello implica, como mínimo, personal en cantidad y calidad (especialistas en análisis forense digital, en ingeniería inversa de malware, analistas de ciberamenazas, …), medios tecnológicos e infraestructuras adecuadas, y prioridad absoluta en la asignación de recursos de investigación y desarrollo.
En lo que sí hace énfasis el documento es en dos aspectos diferentes, que considera elementos fundamentales para la ciberdisuasión: la importancia de una respuesta común (pero que casi exclusivamente encuadra en el marco de eso que se da en llamar “ciberdiplomacia”, muy relacionado con el párrafo anterior) y la ciber-resiliencia.
La disuasión se fundamenta en tres condiciones simultáneas: la capacidad de responder, la posibilidad de responder y la voluntad de responder. Desde mi punto de vista, el documento pasa casi de puntillas por todo aquello que posibilitaría el refuerzo de las dos primeras condiciones y se centra en la tercera, que encomienda principalmente a la ciberdiplomacia, lo cual se ha demostrado hasta ahora claramente insuficiente (a los hechos me remito).
La disuasión tiene dos dimensiones, la disuasión por negación y la disuasión por represalia. La primera, en el ciberespacio, se traduciría por todo aquello que contribuya a dificultar el éxito del atacante: fundamentalmente, medidas de ciberseguridad y potenciación de la resiliencia. La disuasión por represalia se sustenta en el temor a que las acciones maliciosas puedan tener un castigo. Da la impresión de que la UE dirige casi todos sus esfuerzos a lo primero y que fía en exceso la disuasión por represalia a una ciberdiplomacia que, por lo general, lo único que puede blandir son atribuciones escasamente sustentadas.
En ninguna parte del documento se hace referencia al desarrollo de capacidades ofensivas, ni a su posible empleo. Tiene su explicación. Por una parte, tal mención sería para muchos poco coherente y difícil de casar con la persecución de lo que es un objetivo estratégico de la UE de primer orden: alcanzar un ciberespacio global, abierto, libre, estable y seguro. Por otra, porque a día de hoy la aproximación a las capacidades ofensivas en el ciberespacio resulta muy desigual entre los Estados de la UE, a lo que se suma que, mientras existe cierta compartición de información en el plano defensivo de la ciberdefensa, la opacidad es absoluta en lo relativo a las capacidades de ataque. Se trata, por tanto, de un tema tabú.
En conclusión, el documento hace un análisis un tanto desordenado del qué nos amenaza, de lo que tenemos y de lo que nos hace falta para disfrutar de un ciberespacio más seguro. No resulta muy novedoso, en tanto incide, una vez más, en lo ya muy conocido: gobernanza, cooperación, coordinación, investigación y desarrollo, resiliencia, formación, …, apuntando líneas de acción tan lógicas como complejas de ejecutar en su mayoría.
Como pero, y en mi humilde opinión, trata bajo el prisma de la ciberdefensa asuntos que no son de este campo, tal y como yo lo entiendo (es el caso de la desinformación, la propaganda o el ciberdelito), se enfoca, en consecuencia, más al ámbito civil que al militar, y pasa casi de puntillas por los aspectos que en mayor medida podrían contribuir a la disuasión por represalia.
En cualquier caso, demuestra el enorme interés que para la UE representa el ciberespacio y es una clara llamada de atención a los Estados para que presten la debida atención a este problema y dediquen a él esfuerzos y recursos con la debida y necesaria prioridad.
[1] Política Común de Seguridad y Defensa.
Sin comentarios