¿QUIÉN ES EL ENEMIGO? ALGUNAS NOTAS SOBRE SEGURIDAD Y DEFENSA EN LA RED

 "En esta era será posible hackear a humanos"  
Yuval Noah Harari 

En los últimos años, y gracias al imparable avance tecnológico, la sociedad ha logrado importantes avances en la mejora de la calidad de vida de sus integrantes. Hoy todo ocurre muy rápido y es posible acceder a información y suplir necesidades con sólo tener un celular. De hecho, ese equipo móvil se ha vuelto prácticamente en una extensión del ser humano, pues es difícil imaginar (y, más aún, tener) una vida sin él. Sin embargo, como contrapartida a esa mejora, surgen también nuevas preocupaciones que van creciendo de manera paralela. Una de las más importantes está relacionada a la seguridad y la defensa que, en el plano digital, se encuentra representada en las denominadas “ciberseguridad” y “ciberdefensa”.

Partamos por diferenciar ambos conceptos. Así, según ISACA,[1] la “ciberseguridad” se puede entender como la “protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados”.

De otro lado, la “ciberdefensa” se “orienta a las acciones de un Estado para proteger y controlar las amenazas, peligros o riesgos de naturaleza cibernética, con el fin de permitir el uso del ciberespacio con normalidad, bajo la protección de los derechos, libertades y garantías de los ciudadanos, en apoyo a la defensa de la soberanía y la integridad territorial”.[2] Cabe precisar que esta defensa la realiza en dos planos: (i) entre Estados; o, (ii) entre un Estado y agentes particulares.

En este ensayo vamos a comentar cómo es que ambos conceptos, que afrontan potenciales amenazas en el mismo ámbito (la red), son objeto de preocupación y análisis en distintos ámbitos.

Debemos ser conscientes que la seguridad que debería existir en el mundo virtual se ve amenazada de distintas maneras, pero lo peor de todo es que estamos ante la imposibilidad de, en muchos casos, identificar quién es el agresor. Los ataques han ido creciendo en número e importancia, y es sumamente difícil detectar quién es el enemigo. Desde cuentas de correo electrónico hackeadas, hasta verdaderas bombas digitales, los ataques que se están produciendo en el ciberespacio están creciendo de manera alarmante.

Así, uno de los casos más sonados (catalogado como “el primer ataque cibernético que consiguió dañar la infraestructura del mundo real”), se produjo en enero del año 2010. Los principales diarios[3] del mundo dieron cuenta de ese grave hecho, ya que “los inspectores de la Agencia Internacional de Energía Atómica que visitaban una planta nuclear en Natanz, Irán, notaron con desconcierto que las centrifugadoras usadas para enriquecer uranio estaban fallando, por lo que se empezó a reemplazar dichas máquinas. El fenómeno se repitió cinco meses después, pero esta vez los expertos pudieron detectar la causa: un malicioso virus informático. El ‘gusano’ (ahora conocido como Stuxnet) tomó el control de mil máquinas que participaban en la producción de materiales nucleares y les dio instrucciones de autodestruirse. Durante el análisis del ‘gusano’, los analistas hicieron un descubrimiento sorprendente, pues el código altamente avanzado de Stuxnet había sido diseñado con una mentalidad bélica”.

A partir de ese hecho, que marcó un hito en la existencia de ataques cibernéticos, se empezó a tomar verdadera consciencia de los peligros que se pueden originar gracias al desarrollo tecnológico, pues la guerra empezó a tomar caminos distintos a los que ya conocíamos e inició su mudanza del mundo real al mundo ciberespacial.

En el plano jurídico, y a una escala global, se han destacado dos posturas que tratan de dar solución a la problemática relacionada a la ciberdefensa. Así, “algunos autores dicen que se necesitaría un marco legal específico para hacerle frente, pero otros opinan que todas las normas del Derecho Internacional Humanitario que rigen la conducción de las hostilidades serían adaptables y aplicables durante un conflicto armado cibernético, ya que tienen por objetivo proteger a la población y a los bienes civiles contra los efectos de las hostilidades bélicas, por ello es que se puede incluir en él a los ataques cibernéticos”.[4]

Como se aprecia, el debate en torno a cómo debe enfrentar el Derecho esta amenaza resulta imprescindible, pues es a través de él que se podrá dar solución a este problema que ya deja de ser local y pasa a tener un alcance mundial. No se debe olvidar que toda respuesta (informática o, incluso, por la vía de los hechos) tiene que respetar a la ley, pero ¿qué hacer cuando surge un problema (como el de los ciberataques) que no se había previsto en la normativa nacional e internacional? ¿Cómo hacer frente a estas amenazas si no tenemos un camino legal que nos permita actuar? ¿Cómo castigar a los responsables si en muchos casos no los podemos identificar? ¿Qué medidas se pueden tomar para mitigar los cuantiosos daños que se pueden originar?

Debido a todas las interrogantes y preocupaciones, en el año 2013, un grupo de expertos en materia de defensa publicó un cuerpo normativo que, sin dejar de ser soft law, otorga una serie de lineamientos para afrontar situaciones que se puedan producir en el ciberespacio. Dicho documento lleva por nombre “Tallinn Manual on the International Law Applicable to Cyber Warfare[5], pero se le conoce comúnmente como el “Manual de Tallin”. Su contenido se creó por expresa solicitud del Centro de Excelencia en la Defensa Cooperativa Cibernética de la OTAN.

Así, dicho Manual “se centró en las operaciones cibernéticas más severas, aquellas que violan la prohibición del uso de la fuerza en las relaciones internacionales, dan derecho a los Estados a ejercer el derecho de legítima defensa. El Manual agrega un análisis legal de los incidentes cibernéticos más comunes que los Estados enfrentan en el día a día y que caen por debajo de los umbrales del uso de la fuerza o los conflictos armados. La edición de 2017 cubre un espectro completo de derecho internacional aplicable a las operaciones cibernéticas que van desde los regímenes legales en tiempos de paz hasta el derecho de los conflictos armados, y abarca una amplia gama de principios y regímenes de derecho internacional que regulan los eventos en el ciberespacio. Algunos pertenecen al derecho internacional general, como el principio de soberanía y las diversas bases para el ejercicio de la jurisdicción. (…) Además, se examinan numerosos regímenes especializados de derecho internacional, incluidos el derecho de los derechos humanos, el derecho aéreo y espacial, el derecho del mar y el derecho diplomático y consular, en el contexto de las operaciones cibernéticas”.[6]

Esta problemática también ha sido abordada por los Estados, quienes poco a poco han ido tomando consciencia del potencial peligro que puede existir si es que no se toman las medidas adecuadas para frenar las amenazas y enfrentar los ataques. El mundo real está siendo desplazado por el mundo cibernético y los Estados deben actuar, ya sea de manera individual o de forma conjunta.

Un ejemplo concreto de ese actuar coordinado entre distintos Estados se aprecia en la Unión Europea que, a través de la Comisión de Asuntos Exteriores de su Parlamento, emitió con fecha 25 de mayo de 2018, el “Informe A8-0189/2018”[7] sobre ciberdefensa.

En dicho documento (de contenido verdaderamente valioso por todos los principios y lineamientos que contiene y que, sin duda alguna, sirven para encaminar la discusión y el planteo de soluciones eficaces para esta problemática), la Unión Europea “confirma su pleno compromiso con un ciberespacio abierto, libre, estable y seguro, que respete los valores fundamentales de la democracia, los derechos humanos y el Estado de Derecho, y en el que las controversias internacionales se resuelvan por medios pacíficos, sobre la base de la Carta de las Naciones Unidas y de los principios del Derecho internacional”.

Asimismo, en dicho informe se “pide a los Estados miembros que fomenten una mayor aplicación del enfoque común y global de la Unión en materia de ciberdiplomacia y de las normas existentes en relación con el ciberespacio, y que elaboren, junto con la OTAN, criterios y definiciones a escala de la Unión de lo que constituye un ciberataque, a fin de aumentar la capacidad de la Unión para adoptar rápidamente una posición común tras un acto ilícito de alcance internacional en forma de ciberataque”. (El resaltado es mío).

Con tal objetivo, se “apoya firmemente la aplicación de las normas voluntarias y no vinculantes sobre la conducta responsable de los Estados en el ciberespacio (…) que comprenden el respeto de la intimidad y de los derechos fundamentales de los ciudadanos, así como la adopción de medidas regionales de fomento de la confianza; apoya, en este contexto, la labor de la Comisión Mundial sobre la Estabilidad en el Ciberespacio en el desarrollo de propuestas de normas y políticas que mejoren la seguridad y la estabilidad internacionales y guíen la conducta responsable en el ciberespacio tanto de los Estados como de actores no estatales”.

Como se aprecia, existen ya importantes documentos que reflejan una preocupación y compromiso que asumen en conjunto actores sociales y algunos gobiernos, los mismos que encuentran eco y recepción en las legislaciones de países latinoamericanos, pues éstos también han ido tomando consciencia sobre la importancia de la seguridad en el mundo digital, ya sea interno o externo.

En efecto, el 28 de abril del 2016, el Gobierno Nacional de Colombia emitió el “CONPES 3854 – Política Nacional de Seguridad Digital” (relacionado a la ciberseguridad). Ello, con el fin de otorgar una serie de lineamientos sobre los riesgos y las amenazas digitales. De esa forma, se intentó mitigar los daños y otorgar mayores herramientas para un adecuado plan de seguridad digital que busque fortalecer las capacidades para identificar, gestionar y mitigar los riesgos de seguridad en el entorno digital.

A su turno, con fecha 9 de marzo de 2018, se publicó en el Diario Oficial de la República de Chile, la “Política de ciberdefensa”, la cual “forma parte de un sistema nacional de políticas digitales, que incluye la Agenda Digital 2020, la Política Nacional de Ciberseguridad y la Política Internacional para el Ciberespacio. La Política de Ciberdefensa complementa a la de Ciberseguridad en aquellos aspectos relacionados directamente con la defensa de la soberanía del país a través de las redes digitales, con la protección de infraestructura crítica de información, y con la protección de los derechos humanos de todas las personas que habitan en su territorio. Asimismo, fija los objetivos a ser cumplidos gradualmente hasta el año 2022, y requiere que las instituciones de la Defensa Nacional avancen en su implementación, incluyendo actividades en su planificación de corto, mediano y largo plazo”.[8]

Por su parte, cabe anotar que el Perú no ha sido ajeno a la adopción de estas medidas. Así, a fines de agosto de 2019, se publicó la Ley N° 30999, “Ley de Ciberdefensa”, la misma que tiene por objeto “establecer el marco normativo en materia de ciberdefensa del Estado peruano, regulando las operaciones militares en y mediante el ciberespacio a cargo de los órganos ejecutores del Ministerio de Defensa dentro de su ámbito de competencia, conforme a ley”.

En ese marco, la principal finalidad de dicha norma es la de “defender y proteger la soberanía, los intereses nacionales, los activos críticos nacionales y recursos claves para mantener las capacidades nacionales frente a amenazas o ataques en y mediante el ciberespacio, cuando estos afecten la seguridad nacional”.

Otra característica de esta norma es que otorga plenas facultades para ejecutar medidas destinadas a implementar mecanismos de ciberdefensa a las Fuerzas Armadas (constituidas por el Ejército, la Marina de Guerra y la Fuerza Aérea, y el Comando Conjunto de las Fuerzas Armadas).

Sin embargo, considero que debe ponerse en contexto y enfocarse este problema de seguridad desde un ámbito que no sólo pertenezca al Estado, sino también a la sociedad civil. Ello, debido a que, de la lectura de la norma peruana, se tiene que no se hace mención de manera clara al rol activo que deben tener los ciudadanos en el entendimiento, prevención y lucha contra estas potenciales y verdaderas amenazas digitales, sino que únicamente menciona la labor que tienen que cumplir las Fuerzas Armadas. Por ejemplo, se tiene que:

  • Se busca un eficiente y eficaz empleo de las capacidades de ciberdefensa por parte de los órganos ejecutores del Ministerio de Defensa, de acuerdo a sus funciones y en el ámbito de sus respectivas competencias, contra las amenazas o los ataques en y mediante el ciberespacio, cuando estos afecten la seguridad nacional (artículo 7 de la ley).
  • Se establece una planificación y ejecución de las operaciones de ciberdefensa a cargo del Comando Conjunto de las Fuerzas Armadas (artículo 8 de la ley).
  • La ley indica que el uso de la fuerza por la Fuerzas Armadas en y mediante el ciberespacio se sujeta a las disposiciones contenidas en el artículo 51 de la Carta de las Naciones Unidas y dicho dispositivo legal, y está regido por las normas del Derecho Internacional de los Derechos Humanos y del Derecho Internacional Humanitario que sean aplicables (artículo 9 de la ley).
  • El Comando Conjunto de las Fuerzas Armadas está a cargo de la ciberdefensa de los activos críticos nacionales y recursos claves (artículo 12 de la ley).

Como se aprecia, todo el peso del manejo de este problema se encausa en la labor que tienen que realizar las Fuerzas Armadas, cuando el enfoque debería ser más completo e incluir a todos los actores sociales, tal como lo hacen los distintos documentos que hemos citado en este trabajo.

Sin perjuicio de ello, aún está pendiente que se emita el reglamento de esta ley[1] y en él se espera que se plasme un adecuado entendimiento de esta realidad y se incluya en el trabajo para contrarrestarla no sólo a las Fuerzas Armadas, sino también a todos los actores sociales que, sin duda alguna, pueden dar grandes aportes para hacer frente a estos peligros que la era cibernética está desarrollando.

En ese sentido, es fundamental que el reglamento que se vaya a emitir desarrolle de manera más detallada lo establecido en la Cuarta Disposición Complementaria Final de la ley, pues allí se señala que “la Presidencia del Consejo de Ministros coordina con el Ministerio de Defensa y el Ministerio de Educación la pertinencia del desarrollo de contenidos especializados en materia de seguridad digital, que incluye la ciberdefensa, en las instituciones de educación superior universitaria y tecnológica, a nivel de pregrado y postgrado. Para ello, establece instrumentos de cooperación interinstitucional con entidades del sector privado, la academia, la sociedad civil y la comunidad técnica.” (El resaltado es mío).

Ello, debido a que debemos ser conscientes del importante rol que pueden jugar en este asunto las universidades, los institutos, los organismos no gubernamentales, las asociaciones civiles, etc., pues ellos pueden aportar conocimiento y una serie de propuestas de mejora del sistema de ciberdefensa nacional.

Tarea aparte es la referida a implementar un documento que pueda ser aprobado en el marco comunitario regional para, al igual que la Unión Europea, tener lineamientos generales que permitan lograr un sistema de ciberdefensa conjunto que responda a las realidades y necesidades de América Latina.

Con todo, se debe tener claro que este asunto incumbe a todos, pues en mayor o menor medida la tecnología está en nuestro día a día. Así, nuestra ciberseguridad y la ciberdefensa en general dependen de las acciones que vayamos a tomar para enfrentar a un enemigo sin rostro y que, al parecer, tiene el don de la ubicuidad. El Estado no es el único llamado a proponer soluciones, sino también la sociedad en su conjunto tiene la obligación de actuar.


[1] Ver: https://www.isaca.org/Pages/default.aspx

[2]Cfr. Vargas Borbúa, Robert. Ciberdefensa y ciberseguridad, más allá del mundo virtual: modelo ecuatoriano de gobernanza en ciberdefensa. En https://www.redalyc.org/jatsRepo/5526/552656641013/html/index.html

[3] Ver, entre otros, https://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnologia_virus_stuxnet; https://www.elmundo.es/elmundo/2010/11/23/navegante/1290510462.html; https://actualidad.rt.com/actualidad/view/111953-stuxnet-virus-iran

[4] Fonseca, Claudia y otros. El Manual de Tallin y la Aplicabilidad del Derecho Internacional a la Ciberguerra. En http://www.cefadigital.edu.ar/bitstream/123456789/993/1/Revista%20ESG%20no.588-2014_Fonseca_172.pdf

[5] Se puede descargar el texto completo de dicho documento en el siguiente enlace: http://csef.ru/media/articles/3990/3990.pdf

[6]Cfr. https://ccdcoe.org/research/tallinn-manual/

[7] El documento completo de dicho informe se encuentra en el siguiente enlace: http://www.europarl.europa.eu/doceo/document/A-8-2018-0189_ES.html

[8] Ver: https://www.diariooficial.interior.gob.cl/publicaciones/2018/03/09/42003/01/1363153.pdf

[9] Ver la nota titulada: “Perú da luz verde a la elaboración del reglamento de la Ley de Ciberdefensa”. En https://www.infodefensa.com/latam/2019/09/07/noticia-verde-elaboracion-reglamento-ciberdefensa.html?utm_source=twitter&utm_medium=referral&utm_campaign=tt-comp

- Aviso Publicitario-
Jhoel Chipanahttps://works.bepress.com/jhoel-chipanacatalan/
Jhoel Chipana Catalán es abogado por la Pontificia Universidad Católica del Perú y ha seguido estudios de postgrado en Derecho Digital y Nuevas Tecnologías en la Universidad del Pacífico. Sus áreas de especialización son el Derecho de Contratos y Responsabilidad Civil, Contrataciones del Estado, Arbitraje y Resolución de Conflictos, y Derecho y Tecnologías. Es árbitro y profesor universitario. Ha publicado siete libros y más de cincuenta artículos en materia jurídica; y es miembro fundador de Arbitration360°, asociación civil sin fines de lucro dedicada a la difusión del arbitraje.

Similares

es Spanish
X