El pasado 4 de abril, se celebró el 70º aniversario de la firma del Tratado del Atlántico Norte. Aunque fue un aniversario deslucido, marcado por las ya tradicionales acusaciones del presidente Trump a sus socios europeos sobre su falta de compromiso con la seguridad euro-atlántica, no puede negarse que tanto el tratado como la organización creada para implementarlo han sabido reinventarse. La progresiva integración del entorno cibernético en la defensa aliada son un buen ejemplo de ello.Desde los primeros ciber-ataques –defeacements y ataques de denegación de servicio– contra los sitios web de la OTAN coincidiendo con la operación Fuerza Aliada en Kosovo (1999) hasta la publicación de su primera doctrina de ciber-operaciones a lo largo de 2019 habrán pasado dos décadas. Durante este tiempo, la OTAN y sus miembros han tomado conciencia de la utilidad del ciberespacio para paralizar un país (Estonia, 2007), la integración del elemento cibernético en las operaciones militares (Georgia, 2008), la militarización de la información y las redes sociales (Crimea, 2013), la combinación del vector cibernético, informativo y electromagnético (Ucrania, 2014) o la posibilidad de emplear el ciberespacio para realizar actividades de desestabilización, subversión e influencia política (Estados Unidos, 2016). Sin embargo, quizás la lección que mejor han aprendido es que la limitada regulación, la anonimidad, la apertura, la libertad de acción o la asimetría típicas de este entorno permiten a muchos actores proyectar su poder e influencia enmascarando sus actividades, dificultando la atribución de sus acciones y burlando cualquier hipotética respuesta aliada. Y es que, hoy por hoy, estas actividades tienden a realizarse en la ‘zona gris’ situada por debajo del umbral del conflicto armado.
La progresiva configuración de este entorno de ciber-amenazas motivó que la Alianza Atlántica inicialmente planteara un enfoque reactivo. Fundamentándose en su mandato defensivo, éste priorizaba la protección, defensa y resiliencia sus propias redes y sistemas mientras asignaba a cada país la responsabilidad de mejorar sus propias ciber-defensas, posibilitaba la defensa colectiva si se producía un ciber-ataque relevante e integraba el ciberespacio como dominio de las operaciones aliadas.
Sin embargo, las limitaciones de este enfoque, basado en una concepción tecnocéntrica del ciberespacio, fueron observándose a medida que la red también permitía realizar operaciones informativas contra el conjunto de la sociedad y las ciber-actividades ilícitas se integraban en cosas híbridas y se empleaban en la zona gris por debajo del umbral del conflicto. Estos elementos pusieron de manifiesto las limitaciones de un enfoque basado en la ciber-defensa y ciber-resiliencia y la extrema necesidad de hallar una aproximación a la disuasión más activa, creíble y modulada al actual entorno de riesgos y amenazas procedentes del ciberespacio. En este sentido, aunque es probable que en la Cumbre de Bruselas del pasado verano se haya dado un nuevo impulso –quizás el definitivo– en el desarrollo de la ciber-defensa aliada, quedan dos importantes asuntos pendientes.
Por un lado, homogeneizar las ciber-capacidades de los estados miembros. Desde la firma del Compromiso de Ciber-defensa (2016), los aliados han acelerado el desarrollo de sus propias ciber-capacidades, mejorado la resiliencia de sus redes, establecido modelos de gobernanza de la ciber-seguridad o reforzado la colaboración público-privada en esta materia. Teniendo en cuenta que la ciber-seguridad de cualquier organización se mide por el eslabón más débil de la cadena, estas acciones han redundado en la ciber-defensa aliada.
Sin embargo, el nivel de madurez tecnológica, doctrinal u organizativa de los Veintinueve en esta materia continúa siendo muy desigual. Esta misma heterogeneidad –que también se extiende a la metodología utilizada para cuantificar y caracterizar los ciber-incidentes– ha motivado toques de atención por parte de la Alianza Atlántica al recordar que sus capacidades de ciber-defensa cubren las necesidades operativas del cuartel general, la estructura de mandos y sus organismos asociados y que, en línea con el Artículo 3 del Tratado de Washington, cada país es responsable de generar sus propias capacidades.
También ha provocado que varias potencias cibernéticas se muestren reticentes a intercambiar información de amenazas, cooperar en el desarrollo de capacidades, desvelar su arsenal cibernético o proporcionar ciberefectos soberanos si ello implica poner la ciber-arma, el proceso de selección del objetivo, el personal implicado o el mando y control de la operación bajo mando aliado.
Por otro lado, consolidar la integración del vector ciber en el planeamiento y conducción de las operaciones aliadas. Aunque la consideración del ciberespacio como dominio operativo, la aprobación de la primera ciber-doctrina y la creación de un mando de ciber-operaciones son pasos positivos, continúan quedando varios asuntos pendientes. Éstos comprenden desde la armonización de la atribución de autorías, la provisión de ciberefectos nacionales en las misiones aliadas, la simplificación y racionalización de los procesos de toma de decisiones, su integración en todo el espectro operativo y su empleo en apoyo a las actividades cinéticas (incluyendo el eventual uso de ciber-operaciones ofensivas en el marco del mandato defensivo), hasta la clarificación de las provisiones de la defensa colectiva, la definición de umbrales más precisos sobre los ciber-ataques que podrían activarla y, sobre todo, fijar opciones de respuesta proporcionadas, efectivas y disuasorias para las actividades informativas en la zona gris.
El enfoque defensivo y la calculada ambigüedad utilizada por la Alianza para no definir qué podría constituir un ciber-ataque ni determinar el umbral a partir del cual uno de estas características podría motivar una respuesta colectiva –y, por lo tanto, la activación del artículo 5 del Tratado– está obsoleto. La explotación del ciberespacio para apoyar tácticas híbridas que combinan actividades convencionales e irregulares, las operaciones informativas en la zona gris o las actividades maliciosas realizadas por actores estatales en el ciberespacio bajo el umbral del conflicto están obligando a que la Alianza Atlántica clarifique su estrategia y refuerce su disuasión y capacidad de operar en el ciberespacio, tal y como lo hace en tierra, en el mar o en el aire. Y para ello, será vital que los miembros tomen conciencia de que el Tratado de Washington no es el mismo que se firmó hace 70 años y que la defensa hace mucho tiempo que dejó de ser analógica.
Fuente: EL PAÍS
Autor: Guillem Colom , Director de THIBER
Comments are closed.