La ciberdefensa y el artículo 5 del Tratado de Washington

Para comprender la importancia estratégica que tiene la dimensión cibernética para la Alianza Atlántica debemos retrotraernos a los meses de Abril y Mayo de 2007, cuando muchos de los servicios online proporcionados por actores públicos y privados estonios quedaron parcial o totalmente interrumpidos debido a un conjunto de ciberataques supuestamente respaldados por el Kremlin. Éstos, no solo supusieron una seria llamada de atención para la OTAN en materia de Ciberdefensa sino que, además, ponían sobre la mesa el debate acerca de si un ataque cibernético entraba en el supuesto contemplado por el Artículo 5 del Tratado de Washington, aquel por el que en caso de un ataque armado contra el territorio de uno de los miembros de la OTAN, el resto de los miembros debería responder de forma colectiva.

Hace varios años que la OTAN emprendió la construcción de su Ciberdefensa partiendo de la premisa de que el ciberespacio es considerado como la quinta dimensión del entorno operativo después de la tierra, el mar, el aire y el espacio. En este sentido, Bruselas ha realizado varios pasos significativos: en su Concepto Estratégico de Lisboa (2010) propuso el desarrollo de capacidades específicas para garantizar su defensa en el ciberespacio e integró esta dimensión en su proceso de planeamiento de la defensa. En junio de 2011, los ministros de Defensa aprobaron la nueva política de Ciberdefensa aliada, que marcaba los objetivos y prioridades de la organización en esta materia, respaldada por un ambicioso plan de acción. Posteriormente, en la Cumbre de Chicago (2012) la ciberdefensa se integró en la iniciativa de Defensa Inteligente (Smart Defence) para proceder al desarrollo combinado de cibercapacidades. En octubre de 2013, durante la reunión de los ministros de defensa se instó a que los países aliados desarrollaran sus propias capacidades de Ciberdefensa. Y a finales de año, la OTAN alcanzó una capacidad operativa inicial con cibercapacidades de última generación.

Consecuentemente con todo ello, la Alianza sigue trabajando para definir el concepto de ciberataque y determinar el umbral a partir del cual éste debería ser calificado como una agresión contra un estado miembro y, por tanto, un supuesto contemplado por el Artículo 5. Y es que no es equiparable dejar sin servicio el sitio web de la OTAN con ejecutar un ciberataque contra una infraestructura crítica cuyo resultado final sea la pérdida de vidas humanas. Además, la OTAN trabaja para determinar cuáles deben ser las opciones de respuesta ante un ciberataque enemigo: cibernética, convencional o la combinación de ambas. Pero sin duda, la determinación de la atribución de un ataque cibernético continúa siendo el mayor escollo con el que se encuentra la Alianza en este ámbito, puesto que hoy en día no es posible, desde el punto de vista tecnológico, determinar con absoluta certeza el autor material de un ciberataque. Ello hace necesario un enfoque más amplio que añada variables relacionadas con la geopolítica del conflicto al problema de la atribución.

Igualmente, algunos aliados como Estados Unidos, Reino Unido o Canadá son reticentes a revelar sus cibercapacidades, máxime cuando éstas son sensiblemente superiores a las del resto de miembros de la Alianza. Por lo tanto, la OTAN se enfrenta a dos grandes retos: por un lado homogeneizar las capacidades de Ciberdefensa de sus miembros, para lo cual será necesario algo más que ciberjercicios, adiestramiento y colaboración entre los aliados; y por el otro definir los límites del Artículo 5 en materia de ciberataques así como lograr que todos los miembros posean una visión común del problema.

Aunque el Artículo 5 constituye el elemento clave del Tratado del Atlántico Norte, el fundamento de la cohesión de la OTAN nunca ha residido en este artículo, sino en la voluntad de sus miembros para responder colectivamente ante una amenaza común.

Autor: Enrique Fojón Chamorro, sub-director de THIBER, the cybersecurity think tank.