Análisis de la evolución del concepto de guerra y su traslación al ciberespacio: retos para la seguridad nacional y el papel de la Policía Nacional en el contexto de la guerra híbrida
January 29, 2024 | Author: Anonymous | Category: N/A
Short Description
Download Análisis de la evolución del concepto de guerra y su traslación al ciberespacio: retos para la seguridad nacion...
Description
ESCUELA NACIONAL DE POLICÍA (ÁVILA)
TRABAJO FIN DE MÁSTER Departamento de Ciencia y Técnica Policial
RIESGOS Y AMENAZAS EN EL CIBERESPACIO: EL PAPEL DE LA POLICÍA NACIONAL EN EL CONTEXTO DE LA GUERRA HÍBRIDA
Mayo Mª GRAU DOMÉNECH Junio 2019
ESCUELA NACIONAL DE POLICÍA (ÁVILA)
Autorizo la presentación del trabajo RIESGOS Y AMENAZAS EN EL CIBERESPACIO: EL PAPEL DE LA POLICÍA NACIONAL EN EL CONTEXTO DE LA GUERRA HÍBRIDA
Realizado por Mayo Mª GRAU DOMÉNECH
Dirigido por Inspector D. Casimiro NEVADO SANTANO
Junio 2019
RESUMEN Y PALABRAS CLAVES La guerra ha sido una constante en la historia de la humanidad. Pese a la hipótesis del “Fin de la historia” de Fukuyama, el análisis geopolítico del escenario mundial actual evidencia que la “evolución de la humanidad” no ha significado (por ahora al menos) el fin de “la guerra” sino una evolución de su concepto en la que la Policía Nacional tiene que ejercer un papel de primer orden. Pocas palabras habrán alcanzado más relevancia mediática a lo largo de los últimos años como “ciberguerra”, “ciber ataque”, “ciberseguridad”, “ciberdelicuencia”, etc. Ese prefijo, lo “ciber”, rediseña la forma de relacionarse entre pares y con los objetos; en definitiva, reconfigura la concepción del mundo, la situación del individuo, las relaciones de poder, la sociología, la política…y dice Clausewitz: «La guerra es la continuación de la política por otros medios». A lo largo del trabajo de investigación se va a hacer un análisis del devenir conceptual de guerra. Para ello se llevará a cabo un recorrido histórico de su fenomenología, de la mano de su evolución conceptual desde puntos de vista sociológico, político y militar. Se hará asimismo una comparación de las diferentes corrientes de pensamiento en cuanto al concepto de guerra centrándonos, por un lado, en países occidentales como EEUU, y por otro, en Rusia y China. Dicho ejercicio de análisis pondrá de manifiesto que los avances tecnológicos son el motor evolutivo del tema de estudio, por lo que será ineludible detenernos en las nuevas tecnologías disruptivas y en el concepto de “ciberespacio”, bautizado ya como quinto dominio. Se procederá a realizar un análisis jurídico del tratamiento de dichos fenómenos, destacando los diferentes enfoques, nuevamente, entre países. Así como de lo complejo del consenso internacional a la hora de dotar de un Derecho Internacional Humanitario relativo a la ciberguerra. De todo lo expuesto se podrá perfilar el estado de la cuestión; es decir, una visión del state of the art con las implicaciones que supone para la seguridad nacional, el declive que, para la democracia, derechos políticos y libertades civiles, se ha puesto de manifiesto con crudeza este año 2018 con las actividades de desinformación y desestabilización. Y derivado de lo anterior, las exigencias para las FFCCSE que dimanan del nuevo concepto I
de inseguridad, de guerra híbrida o guerra irrestricta. Lejos ha quedado la época en la que dichas cuestiones se trataban como monopolio del Ministerio de Defensa. Superada, la teoría clásica de Guerra Total, así como la de guerra asimétrica. Para finalizar, se analizará el porqué de la necesidad de la implicación de todos los actores, FFAA y FFCCSE, en la misión que les son propias. En qué medida la Policía se debe implicar en esta respuesta que se adelanta, asimismo, como híbrida. Así como, de qué forma se debería actuar, con qué recursos técnicos. Adelantando la propuesta del análisis de redes sociales y las técnicas de la teoría de grafos por especialistas de la Policía Nacional, con herramientas como Gephi, Elastic Stack y Cygraph: Graph-Based Analytics and Visualization for Cybersecurity.
Palabras clave: Guerra híbrida, ciberguerra, guerra asimétrica, guerra irrestricta, zona gris, ciberespacio, ciberataque, ciberseguridad, seguridad digital, tecnologías disruptivas, desinformación, fake news, infraestructuras críticas, análisis de redes, teoría de grafos.
II
ABSTRACT AND KEYWORDS War has been a constant through the history of mankind. In spite of Fukuyama's “End of History” hypothesis, a geopolitical analysis of the current world scenario evidences that the “evolution of mankind” has not meant (at least not yet) the end of “war”, but rather an evolution of its conceptualisation – one in which Policía Nacional must play a decisive role. Over the last years, few words have gained more relevance in the media than “cyberwarfare”, “cyberattack”, “cybersecurity”, “cybercrime”, etc. This prefix, “cyber”, redefines relationships between peers as well as with objects; in sum, it configures a new conception of our world, the situation of individuals, power relations, sociology, politics... as Clausewitz states: “War is the continuation of policy by other means”. Throughout this research paper, we will tackle a conceptual analysis of what war is becoming. To this end, we will review the historical evolution of its phenomenology, as well as its conceptual evolution from a sociological, political and militarily point of view. At the same time, we will compare different schools of thoughts and its approaches to the concept of war – focusing, on one hand, on Western states such as the USA, and on the other, Russia and China. This analytical endeavour will bring to light that technological progress is the evolutionary engine behind our subject of study; consequently, it will be necessary for us to refer to the new and disruptive technologies, and the concept of “cyberspace” - dubbed by some as the “fifth domain”. We will carry out a legal analysis of the understanding of these phenomena, highlighting the different approaches of different states and the complexity of reaching an international consensus with regards to an International Humanitarian Law within the field of cyberwar. Based on these key characteristics of the issue, we will be able to provide a description of the state of the art, the implications for national security, the negative impact on democracy, political rights and civil liberties - as evidenced by the activities of misinformation and destabilisation observed over the course of 2018. And, directly related from this, the growing demands for the FFCCSE derived from novel concepts such as insecurity, hybrid war and unrestricted war. Left behind is the era in which these
III
issues were a monopoly of Defense Ministries, as well as the classic theory of Total War and that of asymmetric war. Lastly, we will analyse why it is necessary to involve all relevant actors, Armed Forces and FFCCSE, towards the mission at their very core. To which extent must Police involve itself in this reaction which - we can already anticipate – must be hybrid in nature, as well as how it should act and through which technical resources. Finally, we will bring forward a proposal for network analysis and graph theory by specialists from Policia Nacional, using tools such as Gephi, Elastic Stack y Cygraph: Graph-Based Analytics and Visualization for Cybersecurity.
Key words: Hybrid warfare, cyber warfare, asymmetric warfare, unrestricted warfare, gray area, cyberspace, cyberattack, cybersecurity, digital security, disruptive technologies, disinformation, fake news, critical infrastructures, network analysis, graph theory.
IV
ÍNDICE RESUMEN Y PALABRAS CLAVES .............................................................................. I ABSTRACT AND KEYWORDS .................................................................................. III ÍNDICE.............................................................................................................................V 1.
Introducción .............................................................................................................. 1 1.1.
Justificación y objetivos ..................................................................................... 1
1.1.1.
Relevancia social del tema elegido............................................................. 2
1.1.2.
Importancia gubernamental, política y jurídica .......................................... 3
1.1.3.
Importancia del tema para la Policía Nacional ........................................... 4
1.1.4.
Objetivo del trabajo y preguntas investigativas .......................................... 6
1.2.
Metodología ....................................................................................................... 7
1.3.
Técnicas de obtención y análisis en fuentes abiertas ......................................... 7
1.3.1. 2.
MARCO TEÓRICO .................................................................................................. 9 2.1.
El devenir conceptual del fenómeno cambiante de guerra ................................ 9
2.2.
Corrientes de pensamiento no occidentales respecto al concepto. .................. 12
2.3.
Conceptos ciber................................................................................................ 15
2.3.1.
Término ciber ........................................................................................... 15
2.3.2.
Ciberseguridad .......................................................................................... 16
2.3.3.
Cyber warfare ........................................................................................... 17
2.4. 3.
Dificultades................................................................................................. 8
Características de la ciberguerra ...................................................................... 17
STATU QUO. LAS NUEVAS TECNOLOGÍAS DISRUPTIVAS. AMENAZAS 19 3.1.
Statu quo. ......................................................................................................... 19
3.2.
Tecnologías disruptivas. .................................................................................. 21
3.3.
Amenazas ......................................................................................................... 23
3.3.1.
Sucinta cronología de ciberataques .......................................................... 24
3.3.2.
Herramientas ............................................................................................. 26
3.3.3.
Conceptos ................................................................................................. 30
3.4.
Actores ............................................................................................................. 32
3.4.1.
Estados ...................................................................................................... 33
3.4.2.
Amenaza Persistente Avanzada ................................................................ 48
3.4.3.
Crimen organizado ................................................................................... 48 V
4.
5.
3.4.4.
Insider o amenaza interna ......................................................................... 49
3.4.5.
Hacktivistas .............................................................................................. 49
3.4.6.
Script Kiddies / Noobs.............................................................................. 49
ANÁLISIS JURÍDICO ........................................................................................... 51 4.1.
Necesidad de un Derecho del Ciberespacio ..................................................... 53
4.2.
Leyes cibernéticas internacionales emergentes ............................................... 54
4.3.
Leyes cibernéticas internacionales vigentes .................................................... 58
4.4.
Caso práctico: Rusia 2016 elección de los Estados Unidos............................. 62
4.5.
El derecho a responder de los Estados ............................................................. 64
4.6.
Conclusión. ...................................................................................................... 65
IMPLICACIONES PARA LA SEGURIDAD NACIONAL .................................. 67 5.1.
Ciberseguridad y gestión del riesgo ................................................................. 67
5.2.
Infraestructuras críticas .................................................................................... 70
5.3.
Respuestas a las ciberamenazas ....................................................................... 75
5.3.1.
Principales actividades de ciberdefensa en el ámbito de la OTAN .......... 76
5.3.2.
Estrategias regionales ............................................................................... 77
5.3.3.
Estrategia española ................................................................................... 78
5.4.
5.4.1.
Confidencialidad, Integridad y disponibilidad ......................................... 81
5.4.2.
Autenticación, autorización y auditoría .................................................... 82
5.4.3.
Conciencia y formación cibernética. ........................................................ 83
5.5.
6.
¿Cuál es el objeto directo de la protección?..................................................... 80
Defensa contra los ciberataques ....................................................................... 85
5.5.1.
Política y cumplimiento ............................................................................ 86
5.5.2.
Detección y prevención de intrusiones ..................................................... 86
5.5.3.
Evaluación de vulnerabilidad y pruebas de penetración .......................... 87
5.5.4.
Planificación de la recuperación de desastres........................................... 88
5.5.5.
Defensa en profundidad ............................................................................ 88
EXIGENCIAS PARA LAS FFCCSE. EL PAPEL DE LA POLICÍA NACIONA 89 6.1.
Necesidad de un cambio de paradigma ............................................................ 89
6.2. Sistemas, modelos, técnicas y tácticas para el análisis y detección de las ciberamenazas a desarrollar por la Policía Nacional .................................................. 91 7.
CONCLUSIONES .................................................................................................. 95 7.1.
Respuesta a la hipótesis planteada ................................................................... 95
7.2.
Nuevas líneas de investigación ...................................................................... 100 VI
8.
LISTADO DE ABREVIATURAS Y SIGLAS ..................................................... 101
9.
AUTORIZACIÓN PARA USO DOCENTE ........................................................ 105
10.
BIBLIOGRAFÍA ............................................................................................... 107
11.
ÍNDICE DE ILUSTRACIONES Y TABLAS .................................................. 125
11.1.
Ilustraciones ............................................................................................... 125
11.2.
Tablas ......................................................................................................... 125
VII
VIII
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
1
1. INTRODUCCIÓN 1.1. Justificación y objetivos “No hay nada más difícil de emprender, ni más peligroso de llevar a cabo, ni más incierto de hacer triunfar, que tomar la iniciativa en la introducción de un nuevo orden de cosas” (Maquiavelo, 2012). Ya en 2012, en un editorial del Wall Street Journal, el por entonces presidente de EEUU advertía de la ciberamenaza como uno de los mayores y más graves desafíos a los que nos enfrentamos (Obama, 2012). Pero no ha sido hasta la proliferación de titulares sobre robo de información, campañas de influencia en procesos electorales, ciberespionaje y filtraciones dirigidas como una forma de guerra híbrida, que no se empieza a asumir el verdadero paradigma. El mayor riesgo para la seguridad en internet no son ya los delincuentes informáticos, que es donde hasta ahora se ha puesto el acento desde la Dirección General de la Policía. Dicha atención brindada al delito informático, como adaptación al cambio tecnológico de los grupos criminales, terroristas e individuos aislados, se ha explicitado a nivel estructural con la creación de una Unidad Central de Ciberinteligencia y a nivel formativo, con la inclusión de la metodología de investigación del ciberdelito dentro del plan formativo de la Escuela Nacional de Policía. Sin embargo, en la actualidad el Centro Criptológico Nacional pone de manifiesto que “la mayor amenaza para la ciberseguridad nacional la constituyen las acciones dirigidas por los Estados” (Quintana, 2018). Es flagrante que no se están adoptando los pasos ni medidas necesarias a nivel internacional, nacional, ni desde el ámbito competencial que nos ocupa, el de la DGP, para prevenir lo que algunos denominan un potencial “apocalipsis virtual” (Crosston, 2012). Sin necesidad de caer en tales tremendismos, el objetivo del presente trabajo se centra en destacar el papel que la Policía Nacional ha de asumir en la respuesta a la guerra económica, informacional, cibernética, en definitiva, en la guerra híbrida en la que estamos inmersos. Por lo tanto, sea cual sea la visión que se abrace, la más holística o más restrictiva, un análisis de la amenaza, realista y comprometido con nuestra misión constitucional conduce irremediablemente a asumir la necesidad de tomar las medidas necesarias para estar a la altura de los requerimientos que se nos plantea como agencia de seguridad.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
2
Desde las Fuerzas y Cuerpos de Seguridad del Estado, y concretamente desde la Policía Nacional, se ha de tomar el pulso al reto que las ciberamenazas suponen para la Seguridad Nacional. La complejidad del tema a analizar es evidente, tanto desde el punto de vista técnico como estratégico; no obstante, se tratará de salvar los escollos técnicos para llegar a lo esencial: -
tomar conciencia de que, hasta el presente, el recurso a la guerra era la última ratio. Ahora ha quedado difuminado el límite entre guerra y paz, instaurándose lo que se denomina “zona gris” (Michael Green, 2017) o una “nueva normalidad basada en conflictos híbridos” en palabras del Informe Anual de Seguridad Nacional (Presidencia del Gobierno, 2018),
-
de las amenazas y activos implicados y
-
del papel de la Policía Nacional en la salvaguarda de estas agresiones que violentan los marcos de convivencia, derechos fundamentales y servicios esenciales. 1.1.1. Relevancia social del tema elegido
La problemática y tratamiento del presente trabajo, deriva de la democratización y disrupción tecnológica en la que estamos inmersos a todos los niveles, social, político, económico, civil y militar. Los hábitos digitales nos abocan hacia una vulnerabilidad hasta ahora desconocida. No sólo la dependencia tecnológica es absoluta, sino que centramos nuestra actividad en dispositivos (como los smartphones), en plataformas (el Internet de las Cosas) o en aplicaciones sobre los que no tenemos ningún control y cuya seguridad es casi nula, bien por negligencia, bien por las presiones de algunos Estados para que estas vulnerabilidades se mantengan y obtener así una ventaja que puedan explotar (Quintana, 2018). Se evidencia así el necesario debate que se abre en cuanto al impacto de los derechos y libertades fundamentales. Lo que hasta ahora se concebía como inviolable, tras décadas de lucha en pro de la conquista de derechos y libertades individuales, empieza a perfilarse de nuevo como una utopía.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
3
Programas de vigilancia masiva de las agencias de inteligencia punteras de los principales actores estatales violan sin restricción la privacidad del individuo, el secreto de sus comunicaciones y el derecho a no ser investigado preventivamente. Las potencialidades de influencia del individuo con plataformas amplificadoras de noticias, la desigualdad tecnológica, la pobre gestión y regulación de la información, así como el fenómeno de la desinformación y las fake news. La inexistente gobernanza tecnológica, la crisis de confianza institucional. Todos estos aspectos ponen de manifiesto la necesidad de que la sociedad tome conciencia del alcance de estas ciberamenazas y de los riesgos de vendernos convirtiéndonos en los productos de esas supuestas aplicaciones gratuitas, que se nutren con nuestras informaciones más íntimas. Precisamente se va a ir evidenciando cómo el tratamiento de una política de ciberseguridad efectiva pasa por una labor de sensibilización ciudadana, como destaca el Informe Anual de Seguridad Nacional de 2018 (Presidencia del Gobierno, 2018). 1.1.2. Importancia gubernamental, política y jurídica Hace tiempo que se advierte sobre un “ciber-Pearl Harbor”, un ataque digital masivo que podría paralizar la infraestructura crítica del país sin que se dispare una sola bala. En EEUU las comisiones presidenciales, los informes del Departamento de Defensa y las investigaciones del Congreso han estado llamando la atención sobre ese riesgo durante décadas. En 1984, la administración Reagan advirtió de los “importantes desafíos de seguridad” de la próxima era de la información. En verano de 2018, Dan Coats, director de inteligencia nacional, dijo de tales amenazas, “las luces parpadean en rojo” (Miller, 2018). En marzo de este año El País publicaba “El Ministerio de Defensa atribuye a una potencia extranjera el ciberataque contra su red interna descubierto a primeros de marzo. Los responsables de la investigación se basan en la complejidad del ciberataque para descartar la autoría de hackers o ciberactivistas y sostener que hay un Estado detrás” (González M. , 2019). El ciberespacio no es, como a menudo se piensa, simplemente parte de los bienes comunes globales en la forma en que lo es el aire o el mar. Los Estados afirman su jurisdicción y las compañías reclaman la propiedad de la infraestructura física que compone Internet y los datos que la atraviesan. Los Estados y las empresas construyeron Internet, y ambos son responsables de mantenerlo. Las acciones tomadas en el sector
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
4
público afectan al sector privado, y viceversa. De esta manera, Internet siempre ha sido de naturaleza híbrida. Es necesaria una ciberdoctrina nacional. Es el enlace entre estrategia y la ejecución de las misiones del sector de seguridad nacional. La doctrina puede ser tradicionalmente una noción militar, pero a todos los niveles se reconoce la sabiduría de establecer principios de guía. Una ciberdoctrina nacional puede ser un vehículo para definir las funciones de los departamentos y las agencias para todo el gobierno. Al contrario que una orden ejecutiva presidencial o una directiva del Consejo de Seguridad Nacional, una doctrina se desarrolla de una forma abiertamente en colaboración (Young, 2010). La inercia de la vida política e institucional y la rigidez conceptual y doctrinal están derivando en escollos que impiden la reforma de la política en general, de la ciberseguridad y la aparición de nuevas ideas. Se pretende con el presente trabajo abrir un espacio de reflexión y debate desde nuestra área de influencia, el Ministerio del Interior. 1.1.3. Importancia del tema para la Policía Nacional La Estrategia de Seguridad Nacional de 2017 destaca la ciberseguridad como objetivo general dentro de las dinámicas transformativas de la seguridad, tanto a escala global como doméstica. En el marco de esta última actualización de la ESN, se ha acordado en 2018 un Acuerdo para redacción de una nueva Estrategia de Ciberseguridad. Y así como la ciberseguridad se incardina en la visión global de Seguridad Nacional, del mismo modo, la ciberdefensa no puede concebirse y menos ejecutarse como un compartimento estanco. La ciberdefensa debe incardinarse en la Defensa Nacional, entendiendo por tal, tanto la Defensa Militar, la Defensa Civil, la protección de las infraestructuras críticas y la lucha contra las organizaciones criminales y terroristas (Feliu L. , 2012). Puede ser tentador, precisamente desde nuestra corporación, el restarle trascendencia práctica al tema objeto de este TFM por el sutil rechazo que supone la complejidad inherente del manejo de las nuevas tecnologías, no obstante, no es preciso detenerse en exceso en estadísticas e informes para irremediablemente asumir las cifras que encarna la ciberdelincuencia y el ciberespionaje. Datos que indican que “es sólo cuestión de tiempo el enfrentarse a ciberataques serios contra las Infraestructuras Críticas (IC)” (Caro, 2011).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
5
Dos cuestiones han de quedar claras. En primer lugar, la Guerra Híbrida, o ciberguerra,
en
sus
diversas
dimensiones, se configura como una guerra que se libra en las ciudades. En segundo lugar, tiene como principales activos, 1 Incidentes gestionados por el CCN-CERT 2012-2018
el
ciudadano
y
las
infraestructuras críticas. Y siendo los
tres elementos competencia exclusiva de la Policía Nacional, una aproximación al tema que trate de percibirlo en toda su complejidad es crucial para la realización de la misión que constitucionalmente se le ha otorgado a la Policía Nacional como garante, no ya de los derechos y libertades del ciudadano y de la seguridad nacional en abstracto, sino también de las IC. No en vano, el salto evolutivo en el tipo de amenaza a la ciberseguridad lo supuso un gusano informático, un malware bautizado como Stuxnet, que atacó con éxito un equipo industrial. “Stuxnet básicamente cambia la naturaleza de la ciberguerra” (Shakarian, 2012). Así, cuando en 2012 Obama alertaba sobre las ciberamenazas, el espectro de analistas de ciberseguridad evidenciaba que tras el virus Stuxnet (el primer malware con potencialidad real de afectar físicamente una IC, y que destruyó 1.000 centrifugadoras en 2010 en la central nuclear de Natanz, Irán) operaban servicios de inteligencia de EEUU e Israel. “Tras cumplir su objetivo, Stuxnet continuó propagándose de forma incontrolada” (Quintana, 2018). El Centro Criptológico Nacional (CCN) gestionó en 2018 exactamente 38.192 ciberataques, de los cuales el 57% contra redes de las administraciones públicas. El Instituto Nacional de Ciberseguridad (Incibe) hizo frente, por su parte, a 111.519 incidentes. 722 5 Tipología de incidentes en 2018
afectaron a operadores estratégicos
críticos, los cuales no son otra cosa que gestores de servicios esenciales. En los últimos cinco años, estos operadores críticos han sido diana de más de 2.300 ataques. “Los sectores financiero, energético y de transportes suman más de la mitad de los casos” (González M. , 2019).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
6
Las amenazas a las IC en tiempos de contienda no es un fenómeno nuevo; no obstante, el estado de la cuestión actual se configura como aquel en el que las amenazas se erigen, igualmente, en tiempos de paz. Para ser más precisos, diremos en este pretendido estado de paz, que está lejos de ser la realidad del escenario internacional. La propia ESN de 2017 destaca cómo los límites entre guerra y paz han quedado difuminados (Presidencia del Gobierno, 2017). Vamos siendo testigos impertérritos de cibersabotajes o ciberataques que llenan las páginas táctiles de nuestros diarios digitales. Ataques sustancialmente más fáciles y baratos que los ataques físicos. Ante tal estado de cosas Feliu propone que “más que intentar una protección total, cosa muy difícil, lo que debe preverse es una buena gestión de crisis” (Feliu L. , 2012). Por ello y por la improcedencia de concebir la ciberdefensa como un ámbito aislado, el desarrollo del presente trabajo nos va a ir conduciendo a la idea de que la Policía Nacional ha de empoderarse asumiendo la responsabilidad que le corresponde en el actual escenario. Ante una situación de guerra híbrida, las respuestas han de ser igualmente híbridas, debiendo superarse el monopolio del Ministerio de Defensa en cuanto a la ciberdefensa nacional. 1.1.4. Objetivo del trabajo y preguntas investigativas El objetivo genérico que se ha pretendido abordar con la elección del tema de estudio del presente trabajo es la comprensión, evaluación y análisis de la compleja realidad que nos ocupa. Como objetivo específico lo que se pretende es dar respuesta a la pregunta que enuncia el título del trabajo: ¿Cuál es el papel de la Policía Nacional en el contexto de la Guerra Híbrida, también llamada Ciberguerra o Guerra Asimétrica? Dicha cuestión obliga a plantearnos una serie de sub-preguntas previas que se irán abordando a lo largo del trabajo. -
¿Son las definiciones tradicionales sobre el concepto de guerra aplicable a lo que está pasando en Internet en el presente? ¿Pueden los conceptos históricos ser aplicados al mundo virtual?
-
¿La perspectiva militar sigue siendo la adecuada para enfrentarnos al nuevo statu quo? ¿Estamos realmente ante un nuevo escenario, o la forma de los enfrentamientos no es lo que ha evolucionado, sino la forma en la que los vivimos?
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
-
7
¿Es suficiente la adaptación a la nueva realidad del marco regulatorio existente o necesitamos nuevas normas internacionales para los nuevos retos globales? ¿Se puede considerar legitimación suficiente un ciberataque para el uso de la fuerza conforme a la carta de Naciones Unidas? ¿Tenemos respuestas ante los nuevos retos?
-
¿Cuál es el papel de la Policía Nacional en este nuevo escenario? ¿Qué respuestas y medidas han de adoptarse desde la Policía Nacional?
1.2. Metodología Los métodos de investigación implementados para la realización del presente trabajo son fundamentalmente de carácter cualitativo dada la naturaleza de la problemática objeto de estudio y la hipótesis que se pretende responder, que no se ajusta a formulaciones matemáticas, ni siquiera estadísticas. Futuras líneas investigativas, pueden ser susceptibles de métodos de investigación de carácter cuantitativo; no obstante, esta primera aproximación a la guerra híbrida y al papel a desarrollar en la misma por parte de la Policía Nacional, demanda un análisis holístico, detallado, comparado y no generalizable de los distintos escenarios y dinámicas. La aproximación científica a una investigación de tal carácter puede llevarse a cabo desde un punto de vista descriptivo, interpretativo o prescriptivo, siguiendo la teoría del Data Analytics. La voluntad puesta en el diseño del trabajo ha sido la de aunar las tres visiones. En primer lugar, se ha tratado de ofrecer un entendimiento del state of the art del objeto de estudio; en segundo lugar, una interpretación de tal realidad desde el punto de vista de los agentes de seguridad; y finalmente, analizada la necesidad de aprovechar la realidad descrita como una oportunidad futura para la PN, una propuesta de respuesta estratégica. 1.3. Técnicas de obtención y análisis en fuentes abiertas Fundamentalmente la elaboración de este trabajo se ha basado en el análisis de fuentes abiertas. Para adquirir conocimiento en un tema desconocido, pero del que la cantidad de datos e información disponible es abrumadora por ser un tema de actualidad, se consideró necesario la planificación de un método de trabajo para la gestión y tratamiento de tal volumen de información. Se decidió acudir a la metodología que se sigue en el mundo de la inteligencia, en la fase de obtención de información. En primer lugar, se debía plantear la pregunta adecuada, eje de la investigación del trabajo. Para ello se siguió la técnica de la tormenta de ideas, útil en el proceso de comprensión de las distintas aristas del
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
8
problema para poder así proceder a centrarlo. En segundo lugar, se procedió a la preparación de la obtención de información, creando una base de datos con fuentes solventes a las que acudir, así como a la gestión documental, diseñando un método de recopilación de la información por materias que permitiese la posterior consulta y manejo. Tras esta preparación de la obtención, se procedió a la lectura y estudio de diversas fuentes relacionadas con el tema de estudio: historia, guerra híbrida, ciberguerra, ciberinteligencia, análisis de redes sociales, técnicas OSINT, actualidad geopolítica, informática, etc. Se ha acudido a la lectura de libros especializados, revistas académicas y científicas, especialmente el Real Instituto Elcano, el Instituto Español de Estudios Estratégicos, el Grupo de Estudios de Seguridad Internacional, Monografías de la Escuela de Altos Estudios de la Defensa, así como publicaciones gubernamentales e informes de organismos públicos nacionales e internacionales y consultoras privadas. También se ha consultado publicaciones de diversos think-tanks en la materia como Thiber, medios de comunicación, páginas webs, blogs y la asistencia a jornadas y cursos tanto on line, a través de la plataforma Coursera, como presenciales. 1.3.1. Dificultades Como se apuntaba, la cantidad de información de la materia es casi inmanejable. Ha resultado complicado llegar a una comprensión aceptable de una realidad marcada por su complejidad, por su grandilocuencia periodística que dificulta llegar a la profundidad de la cuestión, por su dinamismo y por su carácter vivo, dado que diariamente las noticias abruman con información sobre ciberataques, fake news y operaciones de influencia. Por otro lado, hay que señalar que la evaluación, por supuesto, se basa únicamente en ataques conocidos. Existe oscurantismo en la materia: Estados que realizan operaciones encubiertas y secretas, empresas que no informan de que han sido atacadas, malware cuyos efectos no se manifiestan hasta pasados años, etc. Por otro lado, se da el problema de que la atribución es a menudo difícil, lo que dificulta el análisis del escenario geopolítico. Desde el punto de vista forense, es difícil distinguir los ataques de los estados nacionales de los de los grupos independientes, incluso más cuando China y Rusia utilizan piratas informáticos estatales y también pagan freelancers cuando obtienen acceso a sistemas útiles. Todo ello supone un gran escollo para la investigación de una realidad política, geoestratégica, social y económica de la que sólo alcanzamos a ver la punta del iceberg, en medio de una intriga y misterio casi literarios.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
9
2. MARCO TEÓRICO Nos encontramos ante una realidad en estado de ebullición que dificulta enormemente la tarea, por otro lado, crucial, de lograr una definición precisa de Ciberguerra. De hecho, permanece abierto el debate sobre los dos conceptos que forman el presente neologismo. En este capítulo trataremos de exponer cómo el concepto de guerra está cambiando, haciendo un recorrido por la evolución del mismo. 2.1. El devenir conceptual del fenómeno cambiante de guerra “El que sabe hacer la guerra, vence al enemigo sin luchar, conquista ciudades sin batallar y debela reinos sin alargar operaciones”. (Sun Tzu, 140 a.c.) “The surest way to prevent war is to be prepared to win one”. (U.S. Secretary of Defense Jim Mattis, 2017) (Foster, 2019) No se puede entender la historia de la humanidad sin asumir como consustancial al ser humano la guerra o conflicto armado. De hecho, el conflicto per se ha llegado a ser considerado por filósofos como Kant, Marx y Hegel como el motor del progreso. Dada la variedad de definiciones de tal concepto, nos ceñiremos a la más sencilla; es decir, conflicto como lucha de intereses. Dicha violencia ejercida, para imponer voluntades o resolver disparidades, se irá tecnificando y colectivizando hasta dar lugar a combates y conflictos, en primer lugar, en espacios terrestres, luego navales, para seguir los combates en el ámbito aéreo y posteriormente en el espacio. A estos cuatro dominios tradicionales, en los que el ser humano ha luchado por poseer, monopolizar y beneficiarse, se ha añadido un quinto dominio, el ciberespacio. Las contiendas, además de evolucionar en cuanto al medio físico donde tienen lugar, lo han hecho en cuanto al modo, a la técnica y participantes. El militar e historiador alemán Cari von Clausewitz destaca el carácter cambiante, incluso camaleónico, de dicho fenómeno cuya evolución queda atestiguada por varios acontecimientos: -
Con el término guerra ya formalmente en uso, la Paz de Westfalia (1648) impuso la obligación de que los conflictos armados sólo pudiesen librarse entre Estados, o derivados de un Estado que contase con los elementos que le configuran como tal, previa la pertinente declaración de guerra.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
-
10
Un concepto importante presente desde la Grecia clásica, pero que emergerá con el nacimiento del Derecho Internacional, es el de guerra justa (ius ad bellum). Concepto teológico-político que, si bien ya está presente en la obra de Cicerón, desarrollarán San Agustín y Tomás de Aquino hasta configurarse como una premisa fundamental de la realpolitik de Clausewitz. Supondrá un hito su afirmación de la guerra como continuación de la política por otros medios (De la Guerra, 1832).
-
El nacimiento del Derecho Internacional Público moderno, con los Convenios de Ginebra (1864-1949) y las Conferencias de La Haya (1899 y 1907), supuso la reglamentación de la guerra, a un cierto nivel, así como la protección de los prisioneros de guerra, heridos y población civil. Lo que hoy conocemos como Derecho Internacional Humanitario y Derecho Internacional del conflicto Armado (Feliu L. , 2012).
No obstante, tras la Segunda Guerra Mundial, vía la Carta de Naciones Unidas, los países firmantes renuncian a la guerra, salvaguardando, pese a ello, el derecho a la legítima defensa y a las medidas necesarias para mantener y restablecer la paz de la mano de la Organización de Naciones Unidas (ONU). A raíz de un artículo firmado por William Lind en 1989 titulado “The Changing Face of War: Into the Fourth Generation”, surge la teoría de las cuatro generaciones de guerra. -
Las guerras de Primera Generación surgen con la aparición de las armas de fuego y tienen como piedra angular las guerras napoleónicas. La característica de esta tipología inicial consiste en formaciones lineales, contienda entre masas de hombres y orden en el campo de batalla.
-
La Segunda Generación resulta de la Revolución Industrial con lo que supuso de avance técnico en los medios empleados en el campo de batalla. Se empleaban ingentes recursos por las potencias en contienda, tanto en cuanto a la movilización de masas de hombres como desde el punto de vista armamentístico como se observa en la Primera Guerra Mundial, contienda que caracteriza dicha etapa.
-
La Tercera Generación supone una guerra de maniobra, en la que la estrategia se basa en el aprovechamiento de las debilidades del dispositivo antagonista para anular su capacidad operativa sin necesidad de destruirlo físicamente, siendo paradigmático la técnica de blitzkrieg desarrollada durante la Segunda Guerra
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
11
Mundial, la descentralización de las acciones tácticas y las órdenes tipo misión que supuso el fin de ese cierto orden en el campo de batalla de las generaciones anteriores. -
La Cuarta Generación supone el clímax de lo que ya se fue gestando en esa evolución del fenómeno, la expansión del campo de batalla. La contienda va a alcanzar a la totalidad de la sociedad, su base cultural y opinión pública, operando desde el punto de vista táctico mediante ágiles actuaciones llevadas a cabo por elementos de pequeña entidad. Se llega así a una situación en la que los límites entre guerra y paz, entre civiles y militares, entre frentes, se difumina. En esta Cuarta Generación los avances tecnológicos se caracterizan por el desarrollo de las tecnologías de la información y por el empleo de nuevas formas de energía, apareciendo la asimetría como su característica definitoria y “la llave de judo” como modus operandi, con el aprovechamiento de las fortalezas del oponente en beneficio propio (Fojón, 2005).
Así, en las últimas décadas somos testigos de una nueva tipología de conflictos armados, la denominada guerra asimétrica. Si bien desde tiempos bíblicos el débil se ha valido de artificios para enfrentarse a su Goliat, mediante la guerra de guerrillas, por ejemplo, en la actualidad se está imponiendo este tipo de conflictos asimétricos en el que una de las partes contendiente supera en poderío tecnológico a la parte atacante, que pese a estar en inferioridad de condiciones, le mantiene en jaque. Siendo capaz de ocasionarle graves pérdidas e incluso imponerle sus objetivos estratégicos, al lograr alargar los conflictos indefinidamente, “minando la voluntad de seguir luchando en el seno de las sociedades y entre las élites políticas de los Estados occidentales” como viene ocurriendo (Baqués, 2015). La Doctrina de Empleo de Fuerzas Terrestres define la guerra asimétrica como aquella que “se produce entre varios contendientes de capacidades militares normalmente distintas y con diferencias básicas en su modelo estratégico” (Ramírez, 2012). Así pues, en estas guerras, la misma naturaleza de guerra difiere para las partes contendientes. Los medios, tamaño, el mero hecho de la identificación del adversario, los métodos no convencionales de hacer la guerra e incluso las reglas bélicas y la existencia o ausencia de sometimiento a normas tanto nacionales como internacionales por las diferentes partes. Se emplea, asimismo, desde la tesina de Robert Walker en 1998, el término “guerra híbrida” señalando que en esta tipología se desdibuja la distinción entre guerra, el crimen
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
12
organizado y las violaciones masivas de los derechos humanos (López-Jacoiste, 2015). La idea que subyace es el concepto inglés de blurring, traducible como difuminación entre guerras convencionales y guerras irregulares (Baqués, 2015). Dice Herfried Munkler (2003): Las guerras del siglo XXI no se librarán, en la mayor parte de los casos, con una potencia de fuego masiva y enormes recursos militares. Tenderán a seguir librándose a fuego lento, sin principio o final claro, mientras que la línea divisoria entre las partes beligerantes, por un lado, y el crimen organizado, por otro, será cada vez más difusa. Hay que destacar asimismo otro factor crucial y definitorio de los conflictos asimétricos y es la línea discursiva, la dialéctica, las campañas de desinformación o fake news, como arma empleada por el agente asimétrico. “Una de las características más relevantes de las nuevas guerras es el aumento del fenómeno terrorista como una táctica utilizada en los conflictos armados tanto regionales como de nivel global” (Aznar, 2018). Y es que la violencia, hoy más que nunca, está presente en los conflictos, no sólo como violencia física destinada a destruir o neutralizar físicamente las personas, propiedades e instituciones de un Estado con objeto de imponer su voluntad sobre él, sino también mediante acciones políticas, económica, psicológica, mediáticas, electromagnéticas y actualmente, como se verá, cibernéticas, siempre con la misma finalidad (Feliu L. , 2012). Pero ante todo en la presente Era de la Información, Thomas X. Hammes en su “The Evolution of War: The Fourth Generation”, afirma que la guerra toma la forma de netwar de la que hablaban John Arquilla y David Ponfeldt en su libro “Networks and Netwars”. Las guerras del presente son las que preconizaron en su libro, guerras libradas en las densas redes de comunicaciones (Fojón, 2005). 2.2. Corrientes de pensamiento no occidentales respecto al concepto. Como se está poniendo en evidencia, no hay cuerpo gubernamental alguno que clarifique la definición aplicable. La definición de guerra está ausente en los documentos oficiales internacionales y nacionales, con el consecuente resultado de que la definición dada en cada momento dado va a depender de la perspectiva de la persona que realice el discurso en cuestión. Gobiernos, compañías financieras, proveedores de Internet, corporaciones
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
13
internacionales y abogados nos aportan diferentes aproximaciones del concepto según su visión e intereses. Así pues, se entiende necesario para la comprensión del tema en su complejidad, el asomarnos brevemente a otras conceptualizaciones que promulgan los protagonistas no occidentales. Puesto que como puso de manifiesto Walter Russell tras la anexión de Crimea a Rusia, ha vuelto la multipolaridad, lo que supone el “retorno de la geopolítica” (Russell, 2014) y el fin de la hegemonía occidental. La “creciente distribución del poder relativo” (Jordán, 2018) impele a analizar las perspectivas de China y Rusia sobre el objeto de estudio. Los coroneles del Ejército Popular de China, Qiao Liang y Wang Xiangsui publicaron en 1999 un libro titulado “La guerra irrestricta” que supuso una revolución en el campo del arte de la guerra. Liang afirma que “la primera regla de la Guerra Irrestricta es que no hay reglas, nada está prohibido”. Evidentemente tales aseveraciones no dejaron indiferentes a EEUU, donde tras la conmoción del 9/11 se publicó una edición del libro titulado “Guerra Irrestricta: el plan maestro de China para destruir América”. En la óptica de los coroneles “la guerra se desborda fuera del campo de batalla y los métodos empleados se multiplican a todos los ámbitos de las naciones y la tecnología” (Izquierdo, 2007). Liang & Xiangsui se planteaban la siguiente pregunta: ¿Qué es la Guerra Irrestricta? Son ataques integrados explotando diversas áreas de vulnerabilidad: -
Guerra Cultural, controlando o influenciando los puntos de vista culturales de la nación adversaria.
-
Guerra de las Drogas, invadiendo a la nación adversaria con drogas ilegales.
-
Guerra de la Ayuda Económica, empleando la dependencia a la ayuda financiera para controlar al adversario.
-
Guerra Ambiental, destruyendo los recursos ambientales a la nación adversaria.
-
Guerra Financiera, subvirtiendo o dominando el sistema bancario del adversario y su mercado de valores.
-
Guerra de las Leyes Internacionales, subvirtiendo o dominando las políticas de las organizaciones internacionales o multinacionales.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
-
14
Guerra Mediática, manipulando los medios de prensa extranjeros. Y guerra de Internet, mediante el dominio o destrucción de los sistemas informáticos transnacionales.
-
Guerra Psicológica, dominando la percepción de las capacidades de la nación adversaria.
-
Guerra de Recursos, controlando el acceso a los escasos recursos naturales o manipulando su valor en el mercado.
-
Guerra de Contrabando, invadiendo el mercado del adversario con productos ilegales.
-
Guerra Tecnológica, ganando ventaja en el control de tecnologías civiles y militares claves (Baqués, 2018).
No obstante, en nuestro ámbito occidental ha obtenido mayor rédito las teorías del Jefe de Estado Mayor de la Defensa ruso, el general Valery Gerasimov. A raíz de un artículo publicado en 2013 en la revista rusa VPK y actualizado en 2017, en el que recoge sus reflexiones sobre la naturaleza de los conflictos venideros, el general destaca la mutación de dicha naturaleza. Por tanto, la mutación del concepto mismo de guerra. Además de destacar la aparición de métodos y fuerzas disímiles (sistemas robóticos y vehículos aéreos no tripulados), enfatiza la conquista de la superioridad de la información como condición indispensable para las operaciones de combate, mediante el empleo de medios de comunicación y redes sociales. Al mismo tiempo se utilizan fuerzas y medios de información-psicológica y de información-influencia técnica. La combinación de estos métodos ha recibido el nombre de “guerra híbrida”, en la que las acciones implementadas no caen bajo la definición de agresión en términos de la OTAN. El general afirma que es obvio que la línea entre guerra y paz se haya difuminado. El reverso de las acciones híbridas es una nueva percepción del tiempo de paz en el que no se aplican medidas militares u otras acciones violentas de un estado a otro, pero en el que las soberanías y la seguridad nacional están amenazadas y pueden ser violadas. Destaca asimismo que el énfasis en el contenido de los métodos de confrontación está cambiando hacia el uso generalizado de medidas políticas, económicas, diplomáticas, informativas y otras medidas no militares implementadas con la inclusión del potencial de protesta de la población. Se produce una sincronización de métodos y formas de acción impulsada por
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
15
la ausencia de las restricciones tradicionales del sistema político occidental, “que retrasa la respuesta y burocratiza la gestión de conflictos” (Morales, 2017). Llama la atención cómo el general en sus reflexiones publicadas en 2017, sobre la base del informe “Guerras modernas y problemas actuales en la defensa del país” entregado en la reunión general de la Academia de Ciencias Militares, proclama a modo de recordatorio: “La victoria siempre se logra no sólo por el material, sino también por los recursos espirituales de las personas, su cohesión y el deseo de resistir la agresión por todos los medios”. Como señala Samuel Morales (2017), vemos que “para Gerasimov, las acciones híbridas permiten configurar el teatro de operaciones antes de la intervención de los medios militares tradicionales”. 2.3. Conceptos ciber 2.3.1. Término ciber La palabra ciber proviene del verbo griego antiguo κυβερεω (kybereo) “dirigir, guiar, controlar”. Cuando se habla del término en sí, puede referir conceptos variados como, ciberseguridad, operaciones de redes informáticas, guerras electrónicas o cualquier idea que tenga que ver con redes. No obstante, no existe una definición oficial de cyber. Si acudimos al glosario desarrollado por la CCDCOE (NATO Cooperative Cyber Defence Centre of Excellence), para hacer frente a esta ambigüedad, encontramos cómo desde este Centro de Excelencia de Tallinn, se trata de perfilar una aproximación a lo cyber desde las diferentes interpretaciones estatales (International Group of Experts, 2013). Así, a título de ejemplo Finlandia en su Estrategia Nacional de Ciberseguridad establece que la palabra “ciber” es, casi invariablemente, el prefijo de un término o el modificador de una palabra compuesta, en lugar de una palabra independiente. Su inferencia generalmente se relaciona con el procesamiento electrónico de información (datos), tecnología de la información, comunicaciones electrónicas (transferencia de datos) o información y sistemas informáticos. Sólo el término completo de la palabra compuesta en sí mismo puede considerarse que posee un significado real. El Tallinn Manual en el International Law Applicable to Cyber Warfare (2013) indica que la palabra denota la relación con la tecnología de la información (International Group
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
16
of Experts, 2013). Con el nombre de ciberespacio se conoce al espacio artificial creado por el conjunto de Sistemas de Información y Telecomunicación que utilizan las Tecnologías de la Información (informática) y las Comunicaciones (telecomunicaciones) o TIC. Sin embargo, como ocurre con los términos analizados hasta ahora tampoco existe una definición clara de ciberespacio. El mismo dependerá de la perspectiva que se tome en consideración y del estado de la tecnología. Por su parte, nuestra Estrategia de Ciberseguridad Nacional recoge en su capítulo primero el concepto como “el nombre por el que se designa el dominio global y dinámico compuesto por las infraestructuras de tecnología de la información -incluida Internet-, las redes y los sistemas de información y de telecomunicaciones” (Presidencia del Gobierno, 2013). Sería importante la existencia de un acuerdo en cuanto a su significado, puesto que el ciberespacio, entendido como nuevo Global Common, se configura como un espacio estratégico crucial para la Seguridad Nacional. En 2016, el ciberespacio fue declarado por los miembros de la Alianza Atlántica como el cuarto espacio de operaciones militares junto con las dimensiones tradicionales tierra, mar, aire (Espona, 2018). “El Departamento de Defensa de EEUU declara oficialmente el ciberespacio como campo de operaciones donde se hace necesario organizarse, equiparse y entrenarse”. “EEUU ha militarizado la Red al considerar ésta como el quinto espacio de batalla” (quinto, puesto que a las tres dimensiones que señala la OTAN -tierra, mar, aire- se añade el espacio) (Enríquez, 2012). No obstante, Feliu (2012) insiste en que: El ciberespacio es mucho más que Internet, más que los mismos sistemas y equipos, el hardware y el software e incluso que los propios usuarios, es un nuevo espacio, con sus propias leyes físicas que a diferencia de los demás espacios, ha sido creado por el hombre para su servicio. 2.3.2. Ciberseguridad La Unión Internacional de Telecomunicaciones (UIT) en la recomendación UIT-T X.1205 (04/2008) del área de “Seguridad en el ciberespacio-ciberseguridad” revisada y mantenida en 2010, define la ciberseguridad como:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
17
El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados,
los usuarios, los
servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. Las propiedades de seguridad incluyen una o más de las siguientes: disponibilidad, integridad, la autenticidad y el no repudio y la confidencialidad (UIT-T, 2008). 2.3.3. Cyber warfare Más de 30 países han aceptado la doctrina de la Ciberguerra y han anunciado el desarrollo de un programa especial de mecanismos ofensivos de guerra cibernética. Sin embargo, para definir “cyber warfare”, de nuevo no podemos acudir a una fuente autorizada. Como pone de manifiesto la Estrategia de Ciberseguridad de Montenegro publicada en 2017, estamos ante un término no especificado y controvertido que no tiene una definición oficial o generalmente aceptada. Por su parte la Estrategia de Ciberseguridad de Austria, publica en 2013 que la ciberguerra se refiere a actos de guerra dentro y alrededor del espacio virtual con medios que están asociados predominantemente con la tecnología de la información. En un sentido más amplio, esto implica el apoyo de campañas militares en espacios operacionales tradicionales, es decir, tierra, mar, aire y espacio exterior, a través de medidas tomadas en el espacio virtual. En general, el término también se refiere a la guerra de alta tecnología en la era de la información basada en la extensa informatización, la electronización y la creación de redes de casi todos los sectores y temas militares. 2.4. Características de la ciberguerra Cerramos el capítulo una vez definidos los conceptos, con las características del nuevo escenario de guerra híbrida o ciberguerra:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
18
Los ciberataques, acciones, ciberoperaciones ofensivas, suponen amenazas globales cuyos efectos pueden alcanzar a todos los ciudadanos, instituciones, empresas y gobiernos, incluso aunque no estén conectados. Se configura así dentro del paradigma de la Guerra Total.
La cibervigilancia global, las nuevas formas de censura que se apoyan en la tecnología, la merma de derechos y libertades con los sistemas de rastreo de las empresas, la dependencia tecnológica y el uso masivo de aplicaciones y herramientas sobre las que no tenemos ningún control. Todo ello involucra asimismo a ciudadanos, al sector empresarial y al sector público. Paradigma de la Guerra Total.
La eficacia de las ciberoperaciones es enormemente alta en relación con el relativo bajo coste que supone. No se necesita una gran infraestructura, recursos, ni despliegue para comprometer una infraestructura crítica e inutilizar un servicio esencial. Característica de la Guerra Asimétrica.
En la ciberguerra los contendientes son difusos. Existe el complejo problema de la atribución, el probar de manera fehaciente la autoría de un ciberataque debido a la gran posibilidad de anonimato que proporciona la red. “La atribución es siempre difícil porque se hace siguiendo los patrones de comportamiento del atacante o analizando el software, y esto es algo que se puede imitar”, explica Joel Brenner, que a lo largo de su carrera ha trabajado como jefe de contrainteligencia de EE UU e inspector general de la NSA (Luengo, 2018). Organizaciones como Shadow Brokers han hecho públicas herramientas utilizadas por los Estados que están siendo usadas ahora por organizaciones criminales. Así que ahora, cuando vemos un ataque grave, es difícil dilucidar si detrás hay un Estado, hackers o criminales usando las mismas herramientas.
Podemos afirmar, por tanto, que la ciberguerra aúna los paradigmas de guerra total, guerra asimétrica y guerra híbrida, configurándose además como una guerra pérfida, lo que la convierte en especialmente peligrosa (Hidalgo, 2013). No en vano la perfidia se prohibió en el art. 37 del I Protocolo Adicional a los Convenios de Ginebra, de 12 de agosto de 1949 (Pérez C. , 2014).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
19
3. STATU QUO. LAS NUEVAS TECNOLOGÍAS DISRUPTIVAS. AMENAZAS. “No sé cómo será la tercera guerra mundial, sólo sé que la cuarta será con piedras y lanzas” Albert Einstein (Rovira, 2017). 3.1. Statu quo. El nuevo espacio geopolítico se perfila con un carácter post hegemónico, como ya señaló Zbigniew Brzezinski, por la interdependencia que caracteriza al presente tablero mundial (Brzezinski, 1997). Ninguna nación goza ya de la posición de guardián mundial que abanderaron antaño, ni hay alianza duradera posible para asumir los retos del liderazgo global. Como resalta Pedro Baños, los intereses de las naciones son volátiles y de ahí que lo sean las alianzas, amistades y enemistades de países inmersos en una lucha perenne por el poder, el dominio de recursos, personas y estatus (Baños, 2018). La evolución del mundo unipolar al multipolar actual acarrea un reto para la seguridad nacional e internacional. Afirma Samuel Morales (2017) que: El nuevo orden mundial parece configurarse como una combinación de rivalidades entre actores estatales tradicionales; disputas del poder por actores no estatales de forma asimétrica, fundamentalmente de carácter violento, y desafíos constantes a los centros tradicionales de poder y las relaciones entre ellos. Rusia y China perfilan una alianza antioccidental poniendo en jaque, en demasiadas ocasiones, el orden internacional vigente desde la guerra fría (Pardo, 2018). Rusia está tratando de reconstruir su antiguo poderío en Asia, viéndose reforzado su liderazgo estratégico. En iguales condiciones se encuentra China, encontrando el músculo de su legitimidad en un Partido en el poder, que en cuatro décadas ha situado al país, de las condiciones de miseria en la que se encontraba su población, a gozar de las condiciones de poder erigirse en potencia mundial. Lo mismo se puede decir de Rusia y del liderazgo de Putin al que no le tiembla el pulso a la hora de enfrentarse a Occidente tornando en orgullo lo que antes era un país desmoralizado y arruinado, como se vio en la crisis de Ucrania de 2014. No podemos olvidarnos de otros polos geopolíticos situados en Iberoamérica, con Brasil y México; y por otro lado África, cuyo primer socio comercial es precisamente China. A
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
20
todo ello hay que sumarle el delicado contexto económico con visos de derivar en una especialmente grave crisis financiera. (Baños, 2018) En cuanto a la arena del presente
escenario,
se
generaliza el término “zona gris” del que habla Nicholas Heras. Que no es más que una forma elaborada y actualizada de describir una condición de conflicto
humano
que
se
remonta a la antigüedad: el estado entre la guerra y la paz, donde los actores (estatales y no estatales) buscan derrotar a sus oponentes sin una actividad militar extensa o sostenida. Estos actores están recurriendo cada vez más a las estrategias 9 Acciones y respuestas en la Zona Gris
de la zona gris para evitar
enfrentamientos militares directos, costosos e insostenibles. Por otro lado, el Foro Económico Mundial en su reunión de Davos de 2019 tiene como reclamo “Globalización 4.0: Configuración de una arquitectura global en la era de la Cuarta Revolución Industrial”. Klaus Schwab, fundador y presidente ejecutivo del Foro Económico Mundial, describió la Cuarta Revolución Industrial notoriamente hace pocos años. Las tres primeras revoluciones industriales son bien conocidas: -
La primera, de 1760 a 1840, trajo la máquina de vapor, los ferrocarriles y la fabricación de máquinas.
-
La segunda, de aproximadamente 1870 a 1914, nos dio electricidad y producción en masa.
-
La tercera, a menudo llamada revolución digital, abarcó las últimas décadas del siglo XX y produjo semiconductores, computadoras e Internet.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
-
21
La Cuarta Revolución Industrial comenzó aproximadamente en el año 2000 y se basa en la tercera para aprovechar la influencia cada vez más generalizada del mundo digital en todos los aspectos de la vida moderna.
Schwab argumenta convincentemente que esta nueva revolución no es simplemente una extensión de la anterior. Sostiene que la Cuarta Revolución Industrial es completamente nueva, caracterizada por la confusión de las divisiones entre los dominios físico, digital y biológico. Un número creciente de avances tecnológicos en campos tan diversos como la computación cuántica, la biotecnología, la inteligencia artificial, la robótica y la nanotecnología, y especialmente las sinergias entre ellos, están reconfigurando profundamente casi todas las formas de esfuerzo humano. Además, esta nueva revolución es distinta debido a la velocidad exponencial a la que se desarrolla; la amplitud y profundidad sin precedentes de sus efectos; y las formas en que está interrumpiendo y transformando a las empresas, industrias, países e incluso a la sociedad humana. La Cuarta Revolución Industrial promete carecer de precedentes tanto en sus efectos globales como en su poder disruptivo (Bensahel, 2018). 3.2. Tecnologías disruptivas. El cambio tecnológico es uno de los motores de la evolución, si no el principal. Inciden en los cambios de la infraestructura y superestructura social, considerando la sociedad tanto en su rama civil como militar. Y si bien estos cambios suelen tener un desarrollo paulatino, en ocasiones aparecen como una convulsión de la comunidad científica, de la sociedad y de la forma de entender el mundo. Como hemos visto a la hora de hablar de las Revoluciones Industriales. Auténticas revoluciones de carácter disruptivo producidas por tecnologías que se envisten de la misma denominación. “Una tecnología disruptiva es aquella que convierte en obsoleta una tecnología existente, cambiando desde la forma de operar hasta incluso el propio tejido industrial” (Marsal, 2015). Culturas como la norteamericana, abrazan la tecnología como forma de proveerse y garantizar su superioridad y capacidad para la contención, sometimiento de otras potencias, e incluso la victoria en la confrontación. No es objeto del presente trabajo
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
22
detenernos en el análisis de tal fenómeno; no obstante, es interesante destacar como ejemplos de áreas con potencial de disrupción, las armas de energía dirigidas mediante láser de alta potencia, los sistemas autónomos, la robótica, la bioingeniería, la nanotecnología y los sistemas portátiles de generación de energía (Marsal, 2015). No obstante, en palabras de Aznar (2018): La supremacía tecnológica ya no es resolutiva. A partir de un punto, la ventaja tecnológica cuanto más crece, incrementa la vulnerabilidad de quien dispone de ella, como consecuencia de los niveles de dependencia que implica; podría postularse que cuanto mayor es la asimetría tecnológica, más probabilidades se le confieren al débil. El teniente general del ejército americano David Barno afirma que las sinergias entre los elementos de la cuarta revolución se encuentran en pleno proceso transformador de los campos de batalla del presente siglo de diversas maneras (Barno, & Bensahell, 2018): -
Espacio y ciber. Estos dos dominios relativamente nuevos surgieron de la tercera revolución industrial, pero nunca se han implementado completamente durante la guerra. No hay lecciones aprendidas, ni batallas históricas que estudiar, ningún precedente sobre cómo podría desarrollarse la guerra en estos dominios, y no hay forma de saber qué tan destructiva puede ser para la sociedad moderna. Y cualquier contienda en los nuevos dominios puede obstaculizar, incluso debilitar las capacidades de los tradicionales sistemas de defensa estatales para luchar en los dominios más tradicionales de la tierra, el mar y el aire, ya que las comunicaciones vitales, sistemas de apoyo e infraestructuras críticas dependen, hoy en día, casi totalmente de los satélites espaciales y de computer networks.
-
Inteligencia artificial, big data, aprendizaje automático, autonomía y robótica: Algunos de los líderes más destacados en estos campos están advirtiendo públicamente sobre los peligros de un entorno sin restricciones. Las operaciones militares habilitadas por estas tecnologías, y especialmente por la inteligencia artificial, pueden desarrollarse tan rápidamente que las respuestas efectivas requieren sacar a los humanos del ciclo de decisión. Dejar que las máquinas inteligentes tomen decisiones tradicionalmente humanas sobre matar a otros humanos está cargado de peligros morales, pero puede ser necesario para sobrevivir en el futuro campo de batalla, y sobre todo para ganar. Los adversarios
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
23
se apresurarán a emplear estas capacidades y las poderosas ventajas operativas que pueden conferir. -
Una nueva generación de armas de alta tecnología: Los Estados Unidos y algunos de sus adversarios potenciales están incorporando las tecnologías de la Cuarta Revolución Industrial en una gama de nuevos sistemas de armas innovadoras, que incluyen armas ferroviarias, armas de energía dirigida, proyectiles de hipervelocidad y misiles hipersónicos. Estas nuevas armas aumentarán dramáticamente la velocidad, el alcance y el poder destructivo de las armas convencionales más allá de lo que se pueda imaginar. Sin embargo, el ejército de los EEUU sigue invirtiendo mucho en sistemas heredados basados en tecnologías de finales del siglo XX que compiten contra estas nuevas tecnologías por escasos dólares. Aquí, las potencias en ascenso, como China, tienen una nueva ventaja distintiva. Pueden incorporar las tecnologías más nuevas sin las enormes cargas financieras de apoyar a los sistemas más antiguos y a la industria militar que los promueven (y para los estados autoritarios, sin adherirse a las normas democráticas de transparencia y supervisión civil).
-
El factor x desconocido: Las tecnologías secretas desarrolladas por amigos y enemigos presentan todo tipo de desafíos desconocidos e inesperados.
Como indica Prieto (2013): Los ciberataques han pasado a invadir todos los sectores de la actividad individual y colectiva de nuestra sociedad, haciéndose más fácil atacar una red que defenderla, por la enorme desproporción entre, el relativamente poco esfuerzo necesario para un ataque cibernético, amparado en el anonimato, con la ventaja para el atacante de elegir el momento y el objetivo; y el gran esfuerzo necesario para la protección de los sistemas. Ello ha conducido al enfrentamiento de amenazas y hechos reales constitutivos de actos ilícitos civil y penalmente, actos terroristas y en definitiva actos que ponen en peligro nuestros sistemas físicos incluyendo nuestros sistemas militares. Por ello, la ciberdefensa ha pasado a ser un nuevo dominio de guerra, prueba de lo cual, más de 140 países, entre ellos España, están ya desarrollando sus capacidades. 3.3. Amenazas ¿Cómo hemos llegado aquí?
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
24
3.3.1. Sucinta cronología de ciberataques A principios de la década de 1980, cuando ARPANET se estaba convirtiendo en la World Wide Web que ha derivado en lo que hoy conocemos como Internet, la atención se centró en la interoperabilidad y la fiabilidad como medio de comunicación y el posible mando y control en caso de emergencia. Aquellos con acceso al sistema se conocían los unos a los otros y la seguridad no era una cuestión a considerar. A finales de los 80, no obstante, empezaron los problemas cuando Robert Morris lanzó el primer gusano (una pieza de malware de autorreplicación) y Clifford Stoll descubrió espías del bloque soviético robando secretos de los Estados Unidos a través de un mainframe en la Universidad de California, Berkeley. A estos sucesos les siguieron rápidamente una serie de incidentes que evidenciaron los riesgos de seguridad asociados con la nueva capacidad de comunicación. Los eventos cibernéticos clave, en el sentido de referirse y llegar a impactar al mundo militar, ocurrieron a finales de la década de 1990. Ya en aquellos años se habló del término ciberguerra, hasta el punto de ser portada de la revista Time el ya tan manido concepto "Cyber War". El incidente Solar Sunrise de 1998 llegó a las noticias cuando el Pentágono fue pirateado mientras Estados Unidos estaba en guerra con Irak. Pero los instigadores eran en realidad sólo dos niños de California. Posteriormente se produjo el Moonlight Maze, donde el Departamento de Defensa (DoD) encontró intrusiones de sistemas de la Unión Soviética, aunque la fuente de los ataques nunca fue probada y Rusia negó cualquier participación (los hackers a menudo dirigen sus ataques a través de países que no cooperarán con una investigación, generando la situación de negación plausible). El término “Amenaza Persistente Avanzada” (APT) se ha generalizado como término referido para estas acciones sistemáticas de espionaje digital patrocinado por agentes estatales. A principios de la década de 2000, una serie de ataques, aceptados como procedentes de China, fueron identificados y bautizados con el nombre de Titan Rain. A finales de los 2000, se apreció un aspecto físico añadido a los ataques entrópicos que el DoD bautizó con el nombre Operación Buckshot Yankee. Se halló malcode en las memorias USB empleados por el ejército de EEUU, lo que provocó que el DoD prohibiera su uso en todos los sistemas y redes militares.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
25
En 2007, piratas informáticos supuestamente vinculados al gobierno ruso derribaron las páginas web del parlamento, bancos, ministerios, periódicos y organismos de radiodifusión de Estonia. Tras semejante ataque, el país apeló al tratado de la OTAN demandando protección y tropas. Un año después, otra serie de ciberataques logró el secuestro de páginas web gubernamentales y comerciales en Georgia, durante un conflicto militar con Rusia, creando una nueva forma de interferencia de señal digital en la Web. En 2010, el famoso gusano Stuxnet, con el que abríamos la justificación del presente trabajo, atacó los sistemas que controlan el desarrollo de materiales nucleares de Irán, causando daños a estos sistemas. En los ejemplos expuestos, naciones apelan la defensa mutua del Tratado del Atlántico Norte al estar ante operaciones de guerra cinética/no cinética combinada y destrucción física de activos de seguridad nacional, lo que podría considerarse como una auténtica guerra, sin que el adjetivo “cibernética” le reste un ápice su significado jurídico, político, militar y social. No obstante, ningún Estado ha reconocido formalmente o acusado a otro Estado de ciberguerra. El año 2019 se abría con el Gobierno alemán confirmando públicamente haber sido víctima de un ataque informático calificado como un “acto grave contra las instituciones democráticas”. Ante dichos actos en los que se publicaron datos personales de políticos y periodistas alemanes, el país pidió ayuda a EEUU para proceder con la investigación, sospechando los expertos de Rusia o China como los artífices del mayor hackeo de la historia de Alemania. Paralelamente el mundo comercial es objetivo de similares ataques. No sorprende que se hable, asimismo, de guerra económica, lo que no deja de ser, por otro lado, una constante en la historia de la humanidad. En 2009, los informes revelaron que piratas informáticos descargaron datos de la junta multimillonaria del Programa Joint Strike Fighter del DoD, que muestra que los ciberataques iban tanto tras contratistas de defensa como de los propios militares. Posteriormente, la Operación Aurora irrumpió en las noticias cuando Google se reveló públicamente como una de las muchas empresas comerciales hackeadas por la APT, demostrando que los atacantes cibernéticos también iban tras la propiedad intelectual comercial.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
26
Hubo dos ataques más problemáticos en 2011: el primero, el “Night Dragon”, fue una serie de ataques expuestos en el informe mundial de energía que mostraba cómo China estaba tratando de ganar una ventaja competitiva en el mercado energético a través de una campaña activa de espionaje y de usurpación de propiedad intelectual. El segundo fue el ataque RSA (RSA es la primera empresa del mundo en la venta de soluciones OTP -one time password- de autenticación de segundo factor por canales alternativos, mediante RSA SecureID, que es usado por bancos, grandes empresas, gobiernos y organizaciones alrededor del mundo) donde la información robada permitiría a un pirata informático replicar el número que apareció en el token de autenticación que muchas organizaciones utilizan para proteger sus redes, lo que demuestra que el enemigo estaba dispuesto a atacar la infraestructura utilizada para proteger a los EEUU. 3.3.2. Herramientas Durante los últimos 30 años, ha habido una batalla continua entre defensores y atacantes en las redes de todo el mundo. Al principio, la mayoría de los hackers estaban motivados por la curiosidad, buscando entretenimiento o presumiendo pericia. A medida que las transacciones financieras se fueron realizado en Internet, surgió un ánimo criminal. Comenzaron tendencias como la aparición de botnets (conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática) donde al atacante no le importa si el objetivo era militar, gubernamental o comercial, sino que la meta es precisamente afectar tantos sistemas informáticos como sea capaz. Fue la época en la que era popular decir “la seguridad de la red debe ser lo suficientemente buena como para que no sea la fruta más a mano de Internet” (Winterfeld, 2013). Eso ya no es así, desde el momento que existen sofisticadas organizaciones de amenazas, hay jirafas en Internet interesadas en comer solo fruta situada en lo alto del árbol. La seguridad de hoy necesita ser buena, no mejor que la de la persona que tenemos al lado. Así pues, a medida que los gobiernos, los militares y las economías de la nación se han vuelto más dependientes de Internet, vemos Estados actuando unos contra otros en el ciberespacio. Con cada nueva amenaza, nuevas soluciones de protección se implementan y esto desarrolla nuevos ataques para sortearlos. El ciclo continúa. A medida que examinamos la manera en que las redes son penetradas, es evidente que la esencia del proceso es análoga a la doctrina tradicional de ataque/defensa militar. De
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
27
manera similar a cómo Corea del Sur y Corea del Norte han construido fortificaciones físicas defensivas entre cada uno, vemos el mismo principio e incluso el término utilizado por los administradores de red: Zona desmilitarizada (DMZ). Desde el punto de vista del atacante son necesarios los mismos pasos para atacar una red que para atacar la DMZ: realizar un reconocimiento para determinar la vulnerabilidad. Priorizar y estructurar las fuerzas sobre el punto de debilidad. Atacar y penetrar en la defensa y explotar la infiltración para ganar control sobre el campo de batalla/red. La principal diferencia entre la metodología de la guerra cinética (mundo real) y la no cinética (mundo virtual), son las armas frente a los programas de software que utilizan. Una metodología de ataque es el proceso o pasos generales que se utilizan para llevar a cabo el ataque de un objetivo. Las herramientas/técnicas son las que se utilizan para ejecutar el proceso. Los pasos o fases principales son: reconocimiento, atacar, y explotar. Estos pasos pueden ser actividades de lo más diversas, desde ataques de una máquina a otra, al uso de la ingeniería social. Cada uno de estos pasos tienen una serie de subpasos para lograrlos y en muchos casos los piratas informáticos los modificarán y automatizarán para adaptarlos a su estilo. Ejemplo de herramientas conocidas (Winterfeld, 2013): Para comenzar la fase de reconocimiento se requiere un objetivo. Los objetivos pueden ser los sistemas específicos que serán atacados o el personal que los utilice. Para atacar una máquina o una página web, en primer lugar, se ha de conocer la dirección única del Protocolo de Internet (IP) para la primera o el Uniform Resource Locator (URL) para el sitio web. Para llevar a cabo un ataque a través de los usuarios, con conocer un número de teléfono es suficiente. Direcciones IP y números de teléfono se puede encontrar con una búsqueda rápida en Google o con servicios como American Registry for Internet Numbers searchers.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
28
Y en cuanto a la ingeniería social, no se necesita mucho más que la información contenida en una tarjeta de visita. Una vez que se identifica el objetivo, en la fase de reconocimiento se comienza a encontrar el punto débil o la vulnerabilidad. El ataque puede ser contra el sistema operativo o una de sus aplicaciones (es decir, Adobe Flash, Microsoft Office, juegos, navegadores web o mensajería instantánea). Un escáner se ejecuta contra el Sistema para determinar y enumerar muchas de las vulnerabilidades. Algunos de los escáneres más populares son Nmap, Nessus, eEye Retina y Saintscanner. Existen herramientas de ataque que además de escanear tienen la capacidad de explotar las vulnerabilidades para lanzar un ataque que coincida con las vulnerabilidades encontradas en la aplicación, como Metasploit, Canvas y Core Impact. Finalmente, hay herramientas que transforman una máquina en un sistema Linux al arrancar desde un Linux live CD o CD autónomo. La herramienta de ataque de live CD más popular es BackTrack. Otra herramienta que es útil durante esta fase es un rastreador. Herramienta que tiene el atacante en su sistema que imita a todas las computadoras de la red para que obtenga una copia de todo el tráfico. Esto le permite leer todos los correos electrónicos y documentos sin cifrar, así como ver las páginas web a las que se están accediendo. Los sniffers más empleados son Wireshark, Ettercap, y Tcpdump. Si bien hay muchas herramientas muy poderosas y fáciles de usar, el conjunto de herramientas que muestran cómo ha evolucionado el entorno de amenazas son los packet crafters (la creación de paquetes es una técnica que permite a los administradores de red probar conjuntos de reglas de firewall y encontrar puntos de entrada en un sistema o red específicos). Alguien sin habilidades de programación ahora puede crear ataques únicos. Además de herramientas como NetCat y Hping hay una gran cantidad de herramientas para el reconocimiento, pero éstas representan las fundamentales utilizadas para descubrir las vulnerabilidades que permiten pasar a la fase de ataque.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
29
Al atacar un sistema hay muchos tipos de códigos maliciosos que pueden usarse. A nivel código, existen gusanos o virus que pueden usar vectores de ataque como crosssite scripting (xss) o desbordamientos de búfer (del inglés buffer overflow o buffer overrun), un error de software que se produce cuando
un
programa
no
controla
adecuadamente la cantidad de datos que se copian sobre un área de memoria reservada a tal efecto (buffer). Si dicha cantidad es superior a la capacidad preasignada, los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original, que probablemente pertenecía a datos o código almacenado en memoria. Lo que constituye un fallo de programación (Hack2secure, 2018). Dichos gusanos o virus se emplean para instalar rootkits (encubridor) o un caballo de Troya que actúa como una puerta trasera en un sistema, y que se utiliza para difundir el ataque. La fase de explotación es aquella en la cual el atacante se aprovecha para ganar el control. Hay generalmente tres factores que el pirata informático
puede
comprometer:
confidencialidad, integridad o disponibilidad. Al atacar la confidencialidad simplemente están robando secretos. Los ataques de integridad suponen cambiar los datos en el sistema o enmascararlos como un usuario legítimo autorizado o autenticado. En un entorno comercial, podría consistir en modificar los precios o los datos de los clientes. En la red militar podría consistir en cambiar las ecuaciones usadas para calcular la guía de comando y control. En cuanto a los ataques a la disponibilidad, normalmente se basan en el tiempo y se pueden lograr dejando el sistema fuera de servicio, si el sistema no funciona, o saturando el ancho de banda. El tipo de exploit se basa en las motivaciones del atacante. A menudo intentan además evitar la detección y podría incluso utilizar técnicas anti-forenses como el log wiping
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
30
(eliminar de forma segura los archivos o metadatos, lo que generalmente implica sobrescribir los datos almacenados en un disco con otra información, para garantizar que no quede ningún rastro del original) y el time stomping (implica cambiar la fecha de creación, modificación o acceso de los archivos dentro del sistema de archivos de un disco duro, memoria USB, tarjeta de memoria flash u otro dispositivo de almacenamiento). Si estos ataques técnicos no funcionan, otro vector de ataque es la ingeniería social. De hecho, algunas organizaciones de amenazas usan la ingeniería social como su principal medio de ataque. Ingeniería social puede considerarse como el acto de influir en el comportamiento de alguien a través de la manipulación de sus emociones, o ganando y traicionando su confianza para obtener acceso a su sistema.
Lo que diferencia la ingeniería social de otros ataques es el vector de ataque, en este caso la persona, o como los hackers dicen “wetware” (el cerebro no es hardware ni software, es wetware). Nos referimos a los tan conocidos phishing (envío de correo electrónico general a múltiples personas), spear phishing (dirigido a una persona específica), o whaling (dirigido a un específico miembro sénior de la organización). También existen herramientas técnicas como el “Social Engineer Toolkit” que están diseñados para ayudar a atacar a la fuerza laboral. 3.3.3. Conceptos Con ánimo de tratar de visualizar el fenómeno, pero sin abstraernos en detalles técnicos, nos detenemos brevemente en unos apuntes conceptuales: Un gusano se propaga sin ninguna ayuda. Infecta un sistema y luego usa el mismo para encontrar más sistemas para propagarse. Un virus necesita alguna interacción del usuario como abrir cualquier tipo de archivo (correo electrónico, documento, presentación) o iniciar un programa (juego, video o aplicación).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
31
Los gusanos y virus utilizan técnicas como los scripts o los desbordamientos de búfer que ataca los errores en el código para comprometerlo. Las cross-site scripting (XSS) es un tipo de vulnerabilidad informática o agujero de seguridad. Son ataques típicos de las páginas Web que permiten que se ejecute código no autorizado en la computadora del espectador que podría resultar en el robo de información o en el robo de los certificados de identificación del sistema (Pérez I. , 2015). Un ejemplo simplificado de desbordamiento de búfer es cuando un programa solicita un número de teléfono en lugar de los 10 dígitos necesarios, el software envía 1000 dígitos seguidos de un comando para instalar el malcode debido a que el programa no tiene un buen manejo de errores para lidiar con la gran cantidad de datos extra inesperados, ejecutando así el malcode. Un rootkit es un programa que toma el control de un sistema operativo y miente sobre lo que está sucediendo en el sistema. Una vez que se instala un rootkit, se puede ocultar las carpetas del hacker (es decir, herramientas de pirateo informático, películas ilegales, números de tarjetas de crédito robadas), aplicaciones mal dirigidas (es decir, que muestre la actualización del antivirus diariamente, pero no permite que se actualice), o tergiverse el estado del sistema (es decir, deja el puerto 666 abierto para que el pirata informático pueda acceder al sistema de forma remota pero mostrarlo como cerrado). Un troyano de puerta trasera es un programa que se hace pasar por un archivo legítimo, a menudo un archivo de sistema. Estos archivos son en realidad falsos y sustituyen al real. El nuevo archivo ejecuta el sistema y abre una puerta trasera al sistema que permite al pirata informático el control remoto del sistema. Una utilidad para gusanos y virus es construir ejércitos de botnets. Un bot (también llamado zombie), como comentábamos, es un ordenador esclavo de un controlador. Una vez que alguien construye un ejército de millones de bots puede causar una denegación de servicio distribuida (DDoS) haciendo que todos los bots intenten conectarse al mismo sitio o sistema simultáneamente. Esto se puede hacer para chantajear un sitio web (pagar o ser bloqueado para que ningún cliente pueda acceder), interrumpir los sistemas de comando y control, hacer clic fraudulento -click fraud- (tipo de fraude que se produce en Internet en publicidad en línea de pago por clic pay-per-click) o para compilar problemas complejos (al igual que un superordenador distribuido).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
32
Hay varias formas de lanzar ataques dirigidos a un sistema específico. La clave es correlacionar la secuencia de comandos o exploit con la vulnerabilidad. El término exploit tiene tres significados dentro de la comunidad cibernética. Cuando se habla de código se refiere a malcode que permite comprometer un sistema. Cuando se habla de metodología de ataque se refiere a lo que la carga útil, payload, (conjunto de datos transmitidos que es en realidad el mensaje enviado) del ataque está destinado a lograr. Cuando se habla de doctrina militar, se utiliza por la comunidad de inteligencia para referirse al ciber reconocimiento/espionaje. Del mismo modo que nunca se ha creado un banco que no pueda ser robado, no hay un sistema informático que no pueda ser comprometido. Si no se detecta ninguna vulnerabilidad, el atacante puede entontes proceder a tratar de obtener la autenticación a través de ataques de contraseña, compromiso de credenciales o atacar la infraestructura de seguridad utilizada para proteger la red. El descifrado de contraseñas se puede hacer con fuerza bruta haciendo que un programa pruebe toda posible iteración. Esto puede llevar mucho tiempo y es fácil de detectar, pero dependiendo de la fuerza de la contraseña, es muy efectiva. Si el hacker puede acceder al archivo de la contraseña luego se pueden utilizar herramientas como Cain & Able o Jack the Ripper para romperlas. Otra técnica disponible se llama tablas del arco iris. Estas son bases de datos donde protocolos populares de cifrado de contraseñas se ejecutan con todas las combinaciones de teclas posibles en un teclado estándar. Esta lista precompilada permite una búsqueda simple cuando el hacker obtiene acceso a la lista de contraseñas encriptadas. Muchas de estas tablas han hecho todas las combinaciones de 8-20 caracteres y la longitud aumenta a medida que los hackers continúan utilizando botnet para construir las tablas. 3.4. Actores Es importante detenernos en las diferentes categorías de atacantes, siempre sobre la base de que, si bien existen sólidas fronteras entre los diferentes tipos de actores, pueden superponerse o alguno pertenecer a más de una categoría. Los métodos empleados por los Estados son cada vez más sofisticados y complicados de detectar (CCN-CERT, 2018) y hasta los países más pequeños pueden hoy contratar los
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
33
servicios de los llamados cibermercenarios o ciberespías; o bien, la pericia de hackers (Mazzeti, 2019). La Advanced Persistent Threat (APT), puede comprar exploits de elementos criminales. Los noobs pueden unirse a causas hacktivistas y, en particular, el preocupante cambio de paradigma que ha ocurrido recientemente consiste en hacktivistas que se comportan como insiders, al robar información que luego publican en sitios web como WikiLeaks. 3.4.1. Estados El secretario general de la ONU, Antonio Guterres, ha reconocido públicamente que “ya existen episodios de guerra cibernética entre Estados” (Martín, 2018). Ciberejércitos de países como Rusia, EEUU y China, compiten por potenciar con grandes presupuestos sus capacidades con cibersoldados y actúan, en este quinto dominio, combinando ciberataques con actuaciones tendentes al amurallamiento cibernético (Ventura, 2017). Es reseñable, en este sentido que la agencia de noticias rusa RosBiznesKonsalting (RBK) informó que Rusia se desconectará de Internet por un periodo breve para lograr que la información que se transfiere por ciudadanos y organizaciones no pueda ser enrutada al extranjero. El motivo del experimento es reunir información y proporcionar retroalimentación y modificaciones a una propuesta de ley presentada en el Parlamento ruso en diciembre de 2018. Un primer borrador de la ley ordenaba que los proveedores de Internet rusos debían garantizar la independencia del espacio de Internet ruso (Runet) en caso de agresión extranjera para desconectar el país del resto de Internet. El gobierno ruso ha estado trabajando en este proyecto durante años. En 2017, los funcionarios rusos dijeron que planean enrutar el 95 por ciento de todo el tráfico de Internet a nivel local para 2020. Las autoridades incluso han creado una copia de seguridad local del Sistema de Nombres de Dominio (DNS), que probaron por primera vez en 2014, y nuevamente en 2018, y que ahora será un componente importante de Runet cuando los ISP planeen desconectar el país del resto del mundo. La respuesta de Rusia se produce cuando los países de la OTAN anunciaron varias veces que estaban considerando una respuesta más fuerte a los ataques cibernéticos, respecto de los cuales Rusia es constantemente acusada.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
34
Se espera que la ley propuesta, totalmente respaldada por el presidente Putin, se apruebe. Las discusiones en curso tienen que ver con encontrar los métodos técnicos adecuados para desconectar a Rusia de internet con un tiempo de inactividad mínimo para los consumidores y las agencias gubernamentales. El gobierno ruso acordó pagar la factura y cubrir los costos de los ISP modificando su infraestructura e instalando nuevos servidores para redirigir el tráfico hacia el punto de intercambio aprobado de Roskomnazor. El objetivo final es que las autoridades rusas implementen un sistema de filtrado de tráfico web como el Gran Cortafuegos de China, pero también tengan una intranet de todo el país en pleno trabajo en caso de que el país necesite desconectarse (Cimpanu, 2019). Rusia. La guerra política del Kremlin contra los países democráticos ha evolucionado de actividades directas a influencias encubiertas. Pero mientras Rusia ha sido pionera en el conjunto de herramientas de medidas asimétricas para el siglo XXI, incluidos los ataques cibernéticos y las campañas de desinformación, estas herramientas ya son el juego de ayer. Los avances tecnológicos en inteligencia artificial (IA), automatización y aprendizaje automático, combinados con la creciente disponibilidad de big data, han preparado el escenario para una nueva era de guerras políticas sofisticadas, económicas y altamente impactantes. En el corto plazo, será más difícil, si no imposible, distinguir entre audios, videos o identidades online reales o falsificados. Los actores malintencionados utilizarán estas tecnologías para atacar a las sociedades occidentales de manera más rápida y eficiente. A medida que los estados autoritarios, como Rusia y China, inviertan recursos en nuevas tecnologías, se intensificará la competencia mundial para el próximo gran salto en la guerra política. A medida que la batalla por el futuro se traslada al dominio digital, los formuladores de políticas enfrentarán amenazas cada vez más complejas contra las democracias. La ventana para montar una respuesta efectiva “de toda la sociedad” a las amenazas asimétricas emergentes se está reduciendo rápidamente (Polyakova, 2018). En noviembre de 2004, la elección presidencial de Ucrania se disputaba entre dos candidatos: un pro-occidente independiente, Viktor Yushchenko, contra el primer ministro respaldado por Rusia, Viktor Yanukovich. En el período previo a las elecciones, Yushchenko fue misteriosamente envenenado y quedó desfigurado permanentemente. El día de la votación, los distritos leales al candidato pro-ruso de repente adquirieron
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
35
millones de nuevos votantes; hombres enmascarados se presentaron a algunos colegios electorales para acosar a los partidarios de la oposición; y muchos ucranianos “se levantaron de entre los muertos” para emitir sus votos a favor de Yanukovich, quien fue declarado ganador. Estas tácticas crudas y obvias para cambiar las elecciones dieron como resultado protestas masivas que llevaron a una segunda ronda de votación, que luego llevó a Yushchenko a la presidencia. Diez años más tarde, en 2014, Ucrania, que acababa de sufrir otra revolución y en un conflicto abierto con Rusia en el Donbass, convocó de nuevo elecciones presidenciales, y una vez más, hubo un intento de cambiar la votación. Pero esta vez, las tácticas eran mucho más sofisticadas: en lugar de envenenamiento, matones enmascarados y traficantes del voto, los piratas cibernéticos vinculados a Rusia se infiltraron en la comisión electoral central de Ucrania, eliminaron archivos clave e implantaron un virus que habría cambiado los resultados de la elección a favor de un partido ultranacionalista, el Sector Derecho. Los expertos gubernamentales en ciberseguridad detectaron el malware, que modificaba el voto, menos de una hora antes de que se anunciaran los resultados de las elecciones. Sin embargo, en un giro surrealista, los medios estatales rusos todavía informaron los resultados falsos, mostrando que los ultranacionalistas ganaron, aunque en realidad, el Sector Derecho recibió menos del 1 por ciento de los votos. Los expertos en ciberseguridad consideraron este ataque a Ucrania, uno de los intentos más descarados y maliciosos de manipular una elección nacional. Los Estados Unidos y Europa deberían haber estado prestando atención, porque algunas de las mismas herramientas desplegadas en Ucrania han vuelto a surgir en procesos electorales en EEUU, Francia y en nuestro país (Clayton, 2014). Para el 2016, cuando Moscú dirigió su atención a la elección presidencial de EEUU, las tácticas, aunque conocidas, también fueron más inteligentes. Rusia y sus representantes combinaron ataques cibernéticos con operaciones psicológicas y plataformas de redes sociales, explotadas para avivar las tensiones sociales y desacreditar a la candidata antiKremlin, Hillary Clinton. En enero de 2017, la comunidad de inteligencia de los Estados Unidos concluyó en un informe no clasificado que en las elecciones presidenciales de los Estados Unidos, “los objetivos de Rusia eran socavar la fe pública en el proceso
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
36
democrático de los Estados Unidos” a través de una “estrategia que combina operaciones de inteligencia encubiertas, como la actividad cibernética, con esfuerzos abiertos por parte de las agencias gubernamentales rusas” y proxies ( U.S. Office of the Director of National Intelligence, 2017). De hecho, en las elecciones que siguieron en Europa, las huellas de Rusia fueron visibles en todas partes en diversos grados: desde los intentos de los trolls vinculados a Rusia (cuentas falsas gestionadas por individuos) y bots (cuentas automatizadas) para difundir “noticias falsas” sobre el candidato presidencial francés Emmanuel Macron en la primavera de 2017, así como una campaña de desinformación en torno al referéndum de la independencia catalana en España, ese octubre. En cada caso, las herramientas y los objetivos eran los mismos: el uso de campañas de desinformación, ataques cibernéticos, cultivo de aliados y representantes políticos y subversión política para dividir, desestabilizar y engañar a las sociedades democráticas. Los actores estatales han sido los principales impulsores de la guerra política contra Occidente. Si bien los grupos terroristas no estatales, como ISIS, han sido efectivos en el uso de la propaganda para fines de reclutamiento, carecen de los recursos para ampliar sus operaciones. Bajo Vladimir Putin, Rusia ha buscado expandir su arsenal de “medidas activas”, herramientas de guerra política que usó la Unión Soviética y que pretendía influir en los eventos mundiales mediante la manipulación de los medios de comunicación, la sociedad y la política, contra las democracias. La estrategia de influencia del Kremlin incluye: campañas de desinformación, el cultivo de aliados políticos en las democracias europeas y los ataques cibernéticos. En cada caso, se emplean múltiples capas de proxies, que son agentes y entidades directas o indirectas del Kremlin, para mantener la negabilidad plausible y la ambigüedad estratégica. Este conjunto de herramientas desarrolladas por los rusos representa el estado actual de la guerra política. Desinformación:
Actores clave o Medios estatales rusos como RT, Sputnik, Ruptly TV. o Encubiertos: Trolls de redes sociales (por ejemplo, la Agencia de Investigación de Internet o IRA); cuentas automatizadas (bots); cuentas de suplantación en Facebook, Twitter e Instagram; WikiLeaks; DCleaks. (Alina Polyakova, 2016).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
37
Objetivos: Socavar la narrativa política occidental y las instituciones transatlánticas. Sembrar discordia y divisiones dentro de los países. Difuminar la línea entre la realidad y la ficción.
Métodos: Difusión de todo el espectro y amplificación de contenido engañoso, falso y divisivo. Despliegue de propaganda computacional. Identificación de vulnerabilidades sociales.
Redes políticas:
Actores clave: Partidos políticos alineados o amistosos: muchos, pero no todos, los partidos políticos de extrema derecha y de extrema izquierda en Europa han adoptado una postura pro-Kremlin en diversos grados. En un lado del espectro están los partidos políticos que han firmado acuerdos de cooperación explícitos con el Partido Rusia Unida de Putin, incluido el Frente Nacional Francés (FN), el Partido de la Libertad de Austria (FPÖ), el ala juvenil de la Alternativa de Alemania para Alemania (AfD), La Izquierda Alemana (Die Linke) y la Liga Italiana (Lega). Otros han abogado repetidamente por políticas pro-rusas, como la eliminación de sanciones y el reconocimiento de Crimea como territorio ruso. Líderes del Movimiento Italiano de 5 Estrellas (M5S), del español Podemos, de Grecia Syriza y de Golden Dawn, del Partido Británico de la Independencia del Reino Unido (UKIP), del húngaro Jobbik y del Partido Holandés para la Libertad (PVV) han hecho frecuentes declaraciones pro-Putin y a favor del Kremlin (Hashtag campaign: #MacronLeaks, 2017).
Metas: Socavar la política europea desde dentro apoyando a movimientos políticos insurgentes anti-establishment, anti-UE. Disminuir el consenso europeo sobre una política común hacia Rusia al trazar divisiones entre los Estados europeos y entre la UE y los Estados Unidos.
Métodos: Apoyo financiero, apoyo diplomático, soporte de medios y relaciones públicas.
Ataques cibernéticos al servicio de campañas de desinformación:
Actores clave: o Agencias gubernamentales: Servicio de Inteligencia Militar (GRU), Servicio de Seguridad Federal (FSB), Servicio de Inteligencia Extranjera (SVR). o Proxies conocidos: Amenazas Persistentes Avanzadas (APT) 28 y 29, CyberBerkut.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
38
o Actores de apoyo: WikiLeaks, DCLeaks, Shadow Brokers.
Objetivos: Desestimar y deslegitimar las elecciones democráticas. Así como sembrar desconfianza en las instituciones occidentales al revelar información políticamente perjudicial.
Métodos: Robo de información personal e institucional, que luego se filtra en línea por un grupo independiente autoproclamado (por ejemplo, WikiLeaks) y luego se utiliza para hacer una campaña de desinformación para dañar a individuos particulares (por ejemplo, Hillary Clinton) o instituciones (por ejemplo, Agencia de Seguridad Nacional de los Estados Unidos, NSA). A nivel técnico, los métodos son bien conocidos y se basan principalmente en errores de usuario y vulnerabilidades de ciberseguridad: Spear phishing, ataques de denegación de servicio o reutilización de credenciales. China. Como señalábamos en los ejemplos mencionados más arriba, a pesar de las negativas de Pekín, no hay duda de que los piratas informáticos de China participan en una campaña agresiva y cada vez más amenazadora
de ciberespionaje dirigida a sistemas gubernamentales y privados en los Estados Unidos, incluida la red eléctrica y las redes de telecomunicaciones. En el informe anual de 2013 del Pentágono al Congreso sobre China, se acusa al gobierno chino y, en particular, a su ejército de realizar ataques contra los sistemas informáticos y contratistas de defensa del gobierno de los Estados Unidos en un esfuerzo sistemático por robar la propiedad intelectual y obtener una ventaja estratégica. Según la empresa de seguridad Mandiant “una unidad secreta del Ejército Popular de Liberación (EPL) chino está detrás de un gran número de ataques informáticos sufridos por empresas y organismos en Estados Unidos”. También se realizan ataques informáticos por parte del gigante asiático a Europa y otros continentes (Euro, 2013). Según Mandiant, “esta división del Ejército chino está integrada, posiblemente, por miles de empleados, que dominan el inglés y las técnicas de programación y gestión de redes”, dirigidos en gran parte por oficiales del ejército chino o contratistas que trabajan para los comandos militares (The Editorial Board, 2013). China está involucrada en su propia forma de guerra cibernética, pero no encaja fácilmente en la percepción de guerra y paz de Occidente. China, la civilización más
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
39
antigua del mundo, está teniendo una visión general. No tiene interés en ganar batallas a corto plazo; su objetivo es ganar la guerra a largo plazo. Esta larga visión fue resumida por Bill Priestap, subdirector de la división de contrainteligencia del FBI, el cual en un comunicado ante el Comité Judicial del Senado en 2018 dijo: El gobierno chino comprende una lección central de la Guerra Fría entre EEUU y la Unión Soviética: la fortaleza económica es la base del poder nacional. La rivalidad entre los Estados Unidos y China se verá muy influenciada, si no determinada en última instancia, en la fortaleza de nuestras economías (Priestap, 2018). La URSS no fue derrotada por el poder del ejército de los Estados Unidos, sino por el poder de su economía. Al esforzarse por mantener o sobrepasar la fuerza militar de Occidente, la URSS quedó en bancarrota hasta su disolución. Frente al mismo Comité Judicial del Senado, el asistente del fiscal general John Demers describió la política económica china como “robar, replicar y reemplazar”. “El libro de jugadas es simple”, dijo. “Robar a la empresa estadounidense su propiedad intelectual. Replicar la tecnología. Y reemplazar a la compañía estadounidense, primero en el mercado chino y después en el mercado global” (Demers, 2018). Se alega que este manual de jugadas es visible en los sucesos relativos a la compañía canadiense de telecomunicaciones Nortel y la firma china Huawei. Nortel había sido una exitosa empresa global. Pero en 2004, el asesor de seguridad senior Brian Shields descubrió que los sistemas de Nortel habían sido hackeados de manera integral. Esto comenzó en el año 2000 y continuó durante diez años. Shields cree que la piratería fue realizada por informáticos del gobierno chino en nombre de Huawei. “Este tipo de cosas no las hacen solo los piratas informáticos. Creo que esto es una actividad de estado-nación” (Ghoreishi, 2018). No hay pruebas de que Huawei haya participado o se haya beneficiado de los ciberataques a Nortel. Sin embargo, el hecho es que Huawei prosperó rápidamente en el escenario mundial, mientras que Nortel se declaró en bancarrota en enero de 2009. Si las sospechas de Shield son correctas, éste sería un ejemplo perfecto de “robar, replicar y reemplazar”. Varias leyes rigen las operaciones cibernéticas de China. La Ley de Seguridad Nacional de 2015 fue una pieza integral de legislación inicial para articular la estrategia general de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
40
China. La Ley de Inteligencia Nacional de 2017 empoderó específicamente a las dos partes del aparato de la policía secreta, el Ministerio de Seguridad Nacional (guoan) y la Oficina de Seguridad Interna del Ministerio de Seguridad Pública (guobao). Las operaciones en el extranjero se encuentran principalmente en el Centro de Evaluación de Información y Tecnología de China (CNITSEC), que forma parte de la agencia de espionaje del Ministerio de Seguridad del Estado (MSS). El grupo APT 3, que forma parte de CNITSEC, se enfoca en entidades extranjeras y entrega información a la que accede a MSS para impulsar estrategias más amplias. A las actividades de MSS debemos añadir las operaciones del EPL, es decir, el ejército chino. El gobierno de los Estados Unidos acusó a cinco oficiales chinos de la Unidad 61398, del Tercer Departamento del EPL, tras el informe de Mandiant de 2013 sobre APT 1, en el que se alertó a los EEUU sobre la gravedad de las operaciones de piratería en China. Como en el caso ruso, parte de la capacitación ciber de China se ha logrado mediante la subcontratación de expertos civiles cuando es necesario. “Estos grupos incluyen APT 3 y APT 10, ambos de los cuales se han atribuido a contratistas que trabajan en nombre del MSS” (Townsend, 2019). El acuerdo entre el presidente chino Xi y el presidente estadounidense Obama también podría haber llevado inadvertidamente a un aumento de la sofisticación china. “Antes de que el gobierno de Obama comenzara a responsabilizarlos” comenta Paul Kurtz, ex miembro del Consejo de Seguridad Nacional de la Casa Blanca y ahora cofundador y CEO de TruSTAR, “los ataques de China fueron más ruidosos y fáciles de atribuir. Los adversarios aprenden unos de otros. China tomó nota de las tácticas de Rusia, Irán y Corea del Norte”. Como mínimo, estos adversarios declarados de EEUU se están volviendo más sofisticados, y China está avanzando a pesar del acuerdo de 2015 entre Xi y el ex presidente Obama. Los ejemplos de ciberataques importantes atribuidos a China incluyen el de la Oficina de Administración de Personal (OPM) de EEUU. En 2015, la pérdida de información detallada sobre más de 21 millones de empleados federales y solicitantes de empleo federales; y el truco más reciente de los hoteles Marriott que conllevó a la pérdida de datos de 383 millones de personas.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
41
Si bien en ambos casos China es el principal sospechoso, no existe una prueba absoluta. La atribución precisa en el ciberespacio es muy difícil y, sin duda, los piratas informáticos dejan falsas señales para confundir el análisis forense. Las tácticas y técnicas utilizadas por los grupos chinos avanzados son bien conocidas y se pueden replicar fácilmente por otros grupos avanzados, y lo mismo puede decirse de otros actores estatales nacionales. China no desea provocar un conflicto abierto con los Estados Unidos; ya sea cibernético o cinético. Pero para ser económicamente más fuerte que los EEUU, primero debe cerrar la brecha tanto en tecnología empresarial como en tecnología militar. Esto significa que sus operaciones cibernéticas deben ser sofisticadas, dirigidas y no destructivas. Hay tres objetivos principales: personas, militares e infraestructura crítica. -
Población: Las personas a menudo son definidas como el eslabón más débil de la
seguridad. El acceso directo a las credenciales que no se modifican permite un fácil acceso a las redes. Si las credenciales no están disponibles, los detalles personales a menudo serán suficientes para enmarcar ataques de phishing atractivos y potencialmente irresistibles. El acceso a grandes volúmenes de datos personales, especialmente cuando esas personas son empleados de empresas o gubernamentales de alto calibre, abre la oportunidad para futuras operaciones furtivas contra compañías específicas o agencias gubernamentales. Ejemplos paradigmáticos son los hacks OPM (gobierno) y Marriott (negocios). Este nivel de información disponible, también ofrece el potencial de reclutamiento de agentes mediante coerción (chantaje) o incentivo (soborno). De ello se deduce que cualquier negocio que posea los datos personales de un gran número de esas personas es un objetivo potencial para los piratas informáticos del gobierno chino. -
Militar: Los secretos militares y de tecnología asociada son un objetivo tradicional
para el espionaje internacional de todas las categorías. Es un objetivo principal para China. Un ejemplo reciente fue reportado por Symantec. En 2013, Symantec descubrió un nuevo grupo, al que ha llamado Thrip, realizando campañas de espionaje desde sistemas ubicados en China. El informe sobre Thrip se publicó en junio de 2018. “Esto es
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
42
probablemente espionaje”, dijo Greg Clark, CEO de Symantec (Bloomberg, 2018). El grupo Thrip ha estado trabajando desde 2013 y su última campaña utiliza herramientas estándar del sistema operativo, por lo que las organizaciones específicas no notarán su presencia. Funcionan de manera muy silenciosa, se mezclan en redes y solo se descubren utilizando inteligencia artificial que puede identificar y marcar sus movimientos. De manera alarmante, el grupo parece muy interesado en los operadores de telecomunicaciones, satélites y compañías de defensa. En junio de 2018 se informó que los piratas informáticos del gobierno chino habían robado 614 Gb de datos de un contratista de la Marina de los Estados Unidos. Los datos incluían planes para un nuevo tipo de misiles, sensores y sistemas criptográficos lanzados desde submarinos. En marzo de 2018, se reveló que una organización que prestaba servicios al gobierno del Reino Unido había sido atacada por el grupo de amenazas chino conocido como APT 15. Los investigadores creen que los objetivos finales eran varios departamentos gubernamentales de los EEUU y tecnología militar. El método es similar a la campaña conocida como Cloud Hopper. En 2017, PwC UK y BAE Systems describieron una campaña generalizada de APT 10 con sede en China dirigida contra proveedores de servicios gestionados (MSP), en al menos catorce países diferentes. Los MSP no son el objetivo final, sino que son sus clientes. La campaña comienza con el phishing de caza para comprometer el MSP. Desde aquí, el atacante obtiene credenciales legítimas para acceder a las redes de clientes de los MSP que se alinean con el perfil de orientación de APT 10, que los investigadores afirman que se ajusta al plan quinquenal actual de China para el crecimiento económico. El 20 de diciembre de 2018, el Departamento de Justicia de los Estados Unidos (DoJ) anunció que dos ciudadanos chinos, miembros del grupo de piratería APT 10, habían sido acusados de participar en campañas informáticas de intrusión durante más de una década. El anuncio menciona dos campañas particulares de APT 10: la campaña de robo de MSP y la campaña de robo de tecnología. Aunque el DoJ no utiliza el término “Cloud Hopper”, es evidente que la campaña de robo de MSP y Cloud Hopper son la misma campaña. -
Infraestructura crítica: Es improbable que China haga algo demasiado abierto o
dramático, lo que interferiría con su estrategia a largo plazo. Pero sería ingenuo pensar
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
43
que no está haciendo nada. “Como mínimo, debemos esperar que China esté buscando mapear, modelar y entender cómo atacar la infraestructura crítica de los Estados Unidos” comenta Kurtz de TruSTAR. Por último, conviene destacar, que debido a que muchas de las incursiones chinas han involucrado espionaje industrial o robo de propiedad intelectual, China ha sido etiquetada como actor de operaciones cibernéticas para apoyar el robo de propiedad intelectual, y sin embargo en muchos casos no ha sido así. Muchas intrusiones se clasifican erróneamente como espionaje económico cuando en realidad son mucho más (Townsend, 2019). EEUU. El público en general sabe muy poco acerca de las capacidades de ciberguerra de los Estados Unidos. El gobierno estadounidense no está publicitando sus capacidades cibernéticas. Está siendo intencionalmente lo más discreto posible. Pero lo poco que se sabe acerca de lo que Estados Unidos ha hecho es muy impresionante. Mucho de lo que ha salido a la luz deriva de las filtraciones de Edward Snowden. El Washington Post informó que en 2011 Estados Unidos “llevó a cabo 231 operaciones cibernéticas ofensivas”. Esto incluyó la colocación de implantes encubiertos en más de 80.000 máquinas en todo el mundo (McKaughan, 2016). Los documentos filtrados por Edward Snowden en 2013 arrojaron luz sobre una vasta operación encubierta realizada por el equipo de Operaciones de Acceso a Medida (Tailored Access Operation team, TAO) de la NSA, responsable de lo que el gobierno denomina explotación de redes informáticas y ataques a redes informáticas. Ésos pueden sonar similares, pero hay diferencias importantes entre ellos. La explotación de la red de computadoras o CNE (Computer network exploitation) se refiere a las operaciones de espionaje y reconocimiento. Éstas se realizan para robar datos de un sistema o simplemente para obtener información sobre redes, para comprender cómo funcionan y están configurados. Los ejemplos de CNE incluyen Flame, una herramienta de espionaje masiva utilizada para recopilar información de Irán y otros objetivos, y Regin, que se usó para piratear a la Comisión Europea y a Belgacom, una empresa de telecomunicaciones parcialmente estatal de Bélgica. Las operaciones de Regin se han atribuido, finalmente, a la agencia de espionaje del Reino Unido GCHQ. Un catálogo de herramientas personalizadas de piratería de la NSA que se filtró en 2013 muestra las vastas capacidades disponibles para los piratas informáticos del TAO. Las herramientas, con nombres como PICASSO, IRATEMONKEY, COTTONMOUTH y
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
44
WATERWITCH, pueden subvertir firewalls, servidores y enrutadores, o hacerse pasar por estaciones base GSM para interceptar llamadas de teléfonos móviles o desviar datos de redes inalámbricas. También hay dispositivos de error que los piratas informáticos de TAO colocan en ordenadores para desviar datos, a través de ondas de radio, a estaciones de escucha, a veces ubicadas hasta ocho millas de distancia de la máquina de la víctima. Si se piensa en la CNE como el Ocean´s Eleven ciber, la CNA se parece más a Jungla de Cristal. Las operaciones de CNA están diseñadas para dañar, destruir o interrumpir los sistemas informáticos, o realizar operaciones controladas por aparatos informáticos, como el ataque de Stuxnet. Otra operación de la CNA atribuida a estados nacionales es el ataque aéreo realizado por Israel en 2007 contra el sistema de defensa aérea de Siria. Ese ataque, fue diseñado para evitar que el sistema automatizado de defensa aérea de Siria detectara aviones de bombarderos volando para llevar a cabo un ataque aéreo contra el complejo Al-Kibar, que se cree que es un reactor nuclear ilícito que Siria estaba construyendo. El hackeo de 2016 de las plantas de distribución de energía en Ucrania fue un CNA. La piratería de Sony, atribuida a Corea del Norte, también se consideraría una operación de la CNA, ya que los piratas informáticos no solo extrajeron los datos de la red de la compañía, sino que también destruyeron los datos y los sistemas cuando salían por la puerta. Muchos ataques CNA comienzan como operaciones de la CNE, ya que los ataques diseñados para causar destrucción a menudo requieren reconocimiento digital y recopilación de inteligencia primero. Debido a que algunas herramientas pueden usarse tanto para ataques CNE como CNA, puede ser difícil, para las víctimas que encuentran este tipo de malware en sus máquinas, saber si la operación es una misión de espía o una misión de ataque; al menos, es decir, hasta que sus sistemas sean destruidos (Zetter, Hacker Lexicon: What Are CNE and CNA?, 2016). Snowden alega que Estados Unidos atacó universidades chinas y compañías de telefonía móvil para instalar hardware que crease un “acceso de puerta trasera” que podría activarse en un momento posterior. La información de Snowden es similar a las acusaciones de la empresa de seguridad rusa Kapersky Lab de que Estados Unidos es en realidad el grupo de alto secreto “Equation group”. Un grupo desconocido de hackers que ha existido desde los años 90 pero que solo fue descubierto por Kaperksky en 2015. Kapersky los considera
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
45
“el actor de amenazas más avanzado que se haya visto” (Kaspersky Lab’s Global Research and Analysis Team, 2015). Aunque no llegue a los medios de comunicación al uso, Estados Unidos también está realizando una ofensiva cibernética contra el Estado Islámico junto con ataques más convencionales. La única razón por la que se tiene constancia de esa realidad es porque el Subsecretario de Defensa, Robert Work, anunció que Estados Unidos lanzaba “bombas cibernéticas” al ISIS (Starr, 2016). Esta fue la primera vez que el gobierno de los EEUU admitió haber utilizado directamente los ataques cibernéticos contra un oponente. El ejemplo más famoso de la ciber potencia de EEUU es la “Operación de los Juegos Olímpicos” y el virus, más conocido que generó, llamado Stuxnet, al que hemos hecho referencia a lo largo del trabajo. Fue diseñado por agencias de inteligencia estadounidenses e israelíes, e introducido en Irán para interrumpir su programa nuclear. El virus se introdujo físicamente en la Instalación de Enriquecimiento de Irán en Natanz. Se desconoce cómo Stuxnet se propagó rápidamente a través del sistema, infectando computadoras que controlaban las centrifugadoras responsables de enriquecer uranio. Posteriormente, el virus se activó y destruyó más de mil centrifugadoras al afectar sus ciclos de centrifugado y hacer que algunos explotaran. Esto retrasó el progreso iraní dos años. Desde entonces, los Estados Unidos han expandido rápidamente el Comando Cibernético de los Estados Unidos (USCYBERCOM) y el Ejército de los Estados Unidos ha creado una rama separada para la Guerra Cibernética. Es bastante fácil deducir, solo a partir de esta información, que Estados Unidos ha aumentado radicalmente sus capacidades cibernéticas desde 2011. Otro indicador de la capacidad de EEUU es el ataque cibernético que se planeó respecto a Irán en caso de que las conversaciones sobre el acuerdo nuclear fracasaran como último recurso antes del conflicto armado. Los ataques conocidos como “Operación Nitro Zeus” habrían paralizado las “defensas aéreas, sistemas de comunicaciones y partes cruciales de su red eléctrica”. Esta ofensiva habría tenido el mismo impacto físico que un ataque cinético en estas estructuras, pero sin el riesgo de poner personal estadounidense en peligro. Este ataque habría sido uno de los más grandes y devastadores en la historia de los ataques cibernéticos jamás realizados (McKaughan, 2016).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
46
Israel. En 2014 Israel supuestamente atacó a la empresa de seguridad rusa Kaspersky Lab para obtener información sobre sus investigaciones sobre los ciberataques llevados a cabo por agentes estatales. También atacó sedes europeas donde el Consejo de Seguridad de la ONU se reunió para negociar el programa nuclear de Irán, obteniendo como resultado obtención de inteligencia. Se sospecha que en 2012 lanzó el Wiper attack contra la Compañía Nacional de Petróleo de Irán. El malware borró los datos del disco duro, luego borró los archivos del sistema, lo que provocó que las máquinas se bloquearan y evitara que se reiniciaran. Corea del Norte. En 2014 Sony Pictures Entertainment fue paralizado por un ataque. Estados Unidos atribuyó la acción a Corea del Norte y aplicó sanciones económicas contra el país y funcionarios específicos. Los atacantes capturaron gigabytes de datos internos y comunicaciones, que luego publicaron en línea. En 2013 las computadoras en Corea del Sur fueron atacadas por una bomba lógica que causó la eliminación de datos y evitó el reinicio. Corea del Sur culpó del ataque a Corea del Norte, pero nunca ha presentado pruebas sólidas. Dos compañías de medios de difusión y al menos tres bancos se vieron afectadas. Irán. Irán presuntamente lanzó en 2012 un virus llamado Shamoon contra las computadoras de la empresa petrolera estatal Saudi Aramco. Los funcionarios estadounidenses culpan a Irán por el ataque, pero nunca han presentado pruebas. Shamoon borró los datos de unas 30,000 máquinas y destruyó los archivos del sistema, impidiendo los reinicios. Asimismo, lanzó una serie de ataques de denegación de servicio contra bancos estadounidenses. Aunque
Izz
ad-Din al-Qassam
Cyber
Fighters
asumió
la
responsabilidad, los funcionarios estadounidenses afirmaron que Irán estaba tomando represalias por las sanciones de Stuxnet y de la ONU (Zetter, 2015). Mapa de CyberWar: El Proyecto Cyber Vault del National Security Archive de la Universidad George Washington representa en un mapa lo que podríamos denominar parafraseando a Kipling, “el gran juego digital”. El proyecto se centra en los ciberataques patrocinados por actores estatales y destaca, además de los mencionados, países como Pakistán, Bangladesh, Alemania, Dinamarca, Chile, Canadá, Estonia, Francia, Japón,
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
47
México, Arabia Saudí, Qatar, Vietnam, Emiratos Árabes, Turquía, Suiza, Siria, Corea del Sur, Ucrania y organizaciones como Al Qaeda, Hamas, Hezbolla e ISIS (Archive, 2019). Así como el Imperio Británico y la Rusia de los zares se disputaron el extenso territorio entre Persia e India, así se disputan las diversas potencias el control sobre Internet, en este otro gran juego de similar naturaleza. La idea utópica y libertaria de aquellos jóvenes californianos, sobre la que se construyó Internet, choca hoy con una realidad muy distinta. Un tablero geopolítico de competición en el que los Estados pugnan por todos los medios por controlar y evitar que otros controlen. “ Vivimos bajo el síndrome del terrorismo yihadista, pero el último informe de seguridad del responsable de seguridad nacional estadounidense, James Clapper, considera las amenazas ciberespaciales potencialmente más dañinas que las provenientes del autoproclamado Estado islámico en Raqa (Torreblanca, 2016).
1 CyberWar Map. The Cyber Vault Project (Archive, 2019)
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
48
3.4.2. Amenaza Persistente Avanzada APT es uno de los principales impulsores de la guerra cibernética. El término APT se usa a menudo de diferentes maneras por los medios de comunicación, pero, para los fines de este trabajo, significa ataques guiados por el Estado. Es el espionaje digital o el espionaje en el mundo virtual. Algunas de las actividades APT más comúnmente referenciadas han sido ya resaltadas al comienzo del capítulo (Titan Rain, Operation Buckshot Yankee, Aurora, Stuxnet, Night Dragón, Informe APT 1). 3.4.3. Crimen organizado Hay actividades de crimen organizado en Internet tan ampliamente difundidas en el imaginario colectivo que ya casi podríamos adjetivarlas como meméticas (en el sentido del término meme de Internet); sería el caso de las famosas cartas nigerianas. Estafas diseñadas para robar identidades y acceso a las cuentas bancarias de las víctimas. Estas estafas han existido mucho antes de Internet, pero se han convertido en mucho más fácil de ejecutar a granel y con poco riesgo de represión por las fuerzas del orden, ya que los perpetradores se encuentran por lo general en el extranjero. Otra estafa popular es la venta de medicamentos falsos. Estafas similares se están empleando para que miembros de la infraestructura de seguridad militar o nacional se vean involucrados en actividades que no harían en el mundo real. Una de las organizaciones criminales más conocidas se llama Russian Business Network (RBN) también conocido como Russian Mob (Mafia Rusa) (hay que tener en cuenta que no se trata de una única organización). Quien se gradúa en una universidad de uno de los antiguos países del bloque de la Unión Soviética con un título en ciencias de la informática, sabe que uno de los trabajos mejor pagados se consigue en el RBN. Allí se trabaja a tiempo completo en tareas como construir exploits personalizados dirigidos a instituciones financieras específicas, construir ejércitos de botnets, ejecutar redes de robo de identidad, o en cualquiera de la docena de proyectos empresariales para organizaciones como la RBN. Estas organizaciones pueden tener personal en un país, utilizar sistemas situados en un país diferente (durante un tiempo RBN estaba utilizando sistemas alojados en China) y cometer delitos contra ciudadanos en un tercer país. Esto conlleva que la persecución de dichos delitos sea una tarea muy compleja.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
49
3.4.4. Insider o amenaza interna Estas amenazas representan el 20% de la amenaza, pero podrían causar el 80% del daño (estudios recientes de CIS y Verizon muestran que los números reales de personas con información privilegiada están cerca del 50%). La razón es que dichas personas conocen lo que es valioso en la red y, a menudo, tienen acceso legítimo a ello. Las categorías básicas serían: empleados descontentos, motivados financieramente (ladrones) y usuarios que involuntariamente causan daños. 3.4.5. Hacktivistas Los hacktivistas pueden estar motivados por puntos de vista políticos, creencias culturales/religiosas, orgullo nacional, o ideología terrorista. El ejemplo más notable ha sido Anonymous. Hackers de todo el mundo se unieron para atacar organizaciones demonizadas por dicho grupo. Atacaron la Iglesia de la Cienciología bajo el nombre del proyecto Chanology en 2008 y comenzó a usar su marca registrada: “Somos anónimos. Somos legión. Nosotros no perdonamos. No olvidamos. Espéranos”. Han atacado a MasterCard (por dejar de brindar soporte a WikiLeaks), a agencias de cumplimiento de la ley (por llevar a cabo medidas que el grupo no aprueba), a partidos políticos, a HBGary Federal (el por entonces Director Ejecutivo, Aaron Barr, tuvo que renunciar tras los ataques que siguieron a su anuncio de que había realizado una lista, que pensaba publicar, con los nombres de los piratas virtuales de Anonymous), a Sony (en respuesta a una demanda presentada), a Bay Area Rapid Transit System (en respuesta a su cierre de la cobertura de la torre de telefonía para evitar una manifestación ciudadana), a páginas de pornografía y a un gran número de páginas gubernamentales en todo el mundo. En 2013, el FBI detuvo a muchos de los líderes de Anonymous, pero el grupo sigue activo y es de esperar que broten más grupos como éste. 3.4.6. Script Kiddies / Noobs Son términos peyorativos acuñados para referirse a los hackers menos expertos. Son aquellos que solo usan herramientas que se puede encontrar en Internet con poca metodología o técnica.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
50
Tienen motivaciones diversas para empezar a hackear. Podemos ver muchos ejemplos de éstos en conferencias de hackers como DEFCON, ShmooCon o HOPE. La amenaza para la seguridad que suponen y el problema que plantea al panorama de guerra cibernética es la enorme cantidad de actividad que desarrollan. El viejo adagio “el defensor tiene que hacerlo bien cada vez que el atacante solo tiene que hacerlo una vez” se aplica aquí.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
51
4. ANÁLISIS JURÍDICO El uso creciente de las capacidades cibernéticas para lograr objetivos estratégicos está superando el desarrollo de una comprensión compartida de las normas de comportamiento, aumentando las posibilidades de errores de cálculo y malentendidos que podrían conducir a una escalada involuntaria de las tensiones y operaciones (Clapper, 2013). Del mismo modo que surgieron normas restrictivas para la tecnología emergente relacionada con el poder aéreo a principios del siglo XX y para las armas nucleares a mediados del siglo XX, comienzan a surgir normas restrictivas para las armas cibernéticas propias de la nueva tecnología emergente. La actual carrera cibernética mundial y el uso de estas nuevas armas de guerra, amenaza la estabilidad global. A lo largo de la última década se ha evidenciado un marcado aumento en el patrocinio estatal de ciberataques como se señalaba en el capítulo anterior. Este aumento marca un cambio en la forma en que los Estados perciben y usan las armas cibernéticas, creando una oportunidad para el conflicto donde previamente no existía. No obstante, el creciente uso internacional de las armas cibernéticas está superando el desarrollo de normas compartidas de comportamiento. Si las normas cibernéticas restrictivas no se mantienen a la par, ¿dónde se ubican actualmente y cómo evolucionarán en el futuro? El advenimiento de la guerra cibernética plantea una serie de desafíos para los Estados. Algunos de estos desafíos también fueron presentados por el advenimiento de anteriores armas de tecnología emergente, haciendo que la teoría de la evolución de la norma para las armas de tecnología emergente sea especialmente pertinente para la guerra cibernética (Mazanec, 2015). Publicaba Brandon Valeriano en The Washington Post que los incidentes cibernéticos anteriores se centraron en la adquisición de información, la infiltración de redes o ataques de precisión para sabotear a la oposición. Lo que estamos viendo ahora son acciones cibernéticas disruptivas, con el objetivo de dejar patente la capacidad de lograr la interrupción de los sistemas y la demostración de la inestabilidad de los modelos democráticos occidentales (Valeriano, 2017). Además, como señalábamos en el capítulo anterior el mismo secretario general de la ONU, reconociendo la existencia de episodios de guerra cibernética entre Estados,
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
52
destaca que “lo peor es que no hay un esquema reglamentario para este tipo de guerra, no está claro si la Convención de Ginebra o el Derecho Internacional pueden aplicarse en estos casos”. Proclama la necesidad de un marco legal más concreto “para evitar riesgos reales”. “Estamos totalmente desprotegidos de mecanismos regulatorios que garanticen que ese nuevo tipo de guerra obedezca a aquel progresivo desarrollo de leyes de guerra, que garantice un carácter más humano en aquello que es siempre una tragedia de proporciones extraordinariamente dramáticas”. “Tenemos que unirnos todos, no solo los Estados, para garantizar que Internet sea un factor de bien de la humanidad. Las normas tradicionales, a través de Estados o convenciones internacionales, están hoy inadaptadas a la nueva realidad porque son lentas” (Martín, 2018). Varias normas candidatas para la guerra cibernética están comenzando a surgir a través de la práctica estatal y los esfuerzos deliberados de cultivo de normas, a medida que más estados y otros actores comienzan a lidiar con esta creciente amenaza, a través de un número creciente de plataformas organizativas. Estas normas tempranas a veces son mutuamente excluyentes y contradictorias, por ello es preciso contar con un marco regulatorio global de ciberseguridad. Un marco cohesionado en el que participen los diferentes actores; es decir, los múltiples gobiernos y empresas, resolviendo así los problemas jurisdiccionales y geopolíticos a la hora de hacer frente a las ciberamenazas y garantizando, por otro lado, el crecimiento económico. Tal situación sigue siendo una utopía debido a tres aspectos inherentes del fenómeno. Por un lado, se carece de fronteras físicas, con el consiguiente problema respecto a un tema crucial en la génesis y ejecución del Derecho, como es el tema de la soberanía. Por otro lado, el problema de atribución para poder imponer las consecuencias pertinentes. Por último, el vertiginoso avance tecnológico que eleva al máximo exponente el hecho de que la realidad jurídica va a la zaga de la realidad social. En el presente capítulo nos vamos a plantear una serie de cuestiones para la mejor aproximación a la compleja situación jurídica del tema que nos ocupa: ¿estamos ante una situación de vacío normativo en el ciberespacio? ¿en su caso, es necesario atajar ese silencio jurídico? ¿Qué opción parece más deseable para tal empresa, la heterorregulación o la autorregulación? (Reguera, 2015).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
53
4.1. Necesidad de un Derecho del Ciberespacio Destaca Fernando Savater (2013), que: “entre los valores que las instituciones deben proteger y equilibrar, destacan la libertad y la seguridad”. No obstante, existe un error de base en la defensa de una libertad sin restricciones en las redes, puesto que en tal caso lo que se proclama es el concepto de libertinaje, no de libertad. Locke decía sobre el libertinaje “no se trata de una libertad sin límites sino del fin de la libertad porque se ha llevado a la libertad fuera de todo orden y se ha producido una negación de sí misma” (Regera, 2015) Y es que existe un permanente conflicto entre libertad y seguridad. Afirma el comandante Jesús Reguera (2015) que: En primera instancia, ganar libertad en detrimento de la seguridad se podría considerar reaccionario y, sin embargo, ganar seguridad en detrimento de la libertad, podría ser catalogado como de dictatorial. El conflicto existe y es ahí hacia donde hay que dirigirse para tratar de resolver el problema, con la intención de encontrar un equilibrio. Y es que del mismo modo que con el surgimiento de los primeros vehículos no se contempló la necesidad de dotarse de normas para regular esa realidad, la situación presente de tráfico rodado o de tráfico en las redes, hace evidente la necesidad de códigos de circulación o de actuación. Destaca la inexistencia de un marco legal internacional al estilo de la Convención de Naciones Unidas sobre el Derecho del Mar. Un Derecho del Ciberespacio que supere ese tratamiento sectorial y coyuntural, dotando de un planteamiento holístico y coherente. Afirma Robles que “el ciberespacio impone, también, la necesidad de abordar ciertos cambios en los modelos de organización interna e internacional”. Hay que tener presente que la realidad del ciberespacio supone tanto una nueva arena de coexistencia social como un nuevo ámbito de la seguridad internacional. Nuevas e intensas formas de interacción intrapersonal y nuevas e intensas estrategias de uso de fuerza y del conflicto armado (Robles, 2016). Es por otro lado un escenario estratégico y un bien público y global. La sociedad internacional no está abordando el tema en su verdadera complejidad, entendiendo su naturaleza transversal y la capacidad de alterar los demás entornos con sus efectos.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
54
No obstante, hasta que el mundo jurídico se sitúe a la altura de tales desafíos, lo que debe de quedar claro es que el recurso a la ciberguerra por parte de los actores gubernamentales debe de hacerse “desde el respeto al ius ad bellum y del ius in bello” (Regera, 2015). Roberto Gil Navalón, jefe de la unidad SEGINFOPER, INS y DOC (Área de Seguridad de la Información (SDGTIC)), destaca una serie de puntos que demandan tratamiento normativo: Establecer hasta qué nivel el uso del ciberespacio es un derecho y cómo debe ser protegido. Determinar hasta dónde el Estado puede intervenir en nuestras acciones en el ciberespacio. Coordinar las acciones legales que, a consecuencia de actos en el ciberespacio, afecten a varias jurisdicciones. Congeniar en el ciberespacio el derecho a la intimidad con la necesaria identificación de los delincuentes y la obtención de la evidencia del delito. Determinar qué nuevos delitos pueden existir que sean exclusivos de acciones en el ciberespacio. Acordar las limitaciones al posible uso del ciberespacio en los conflictos bélicos (Gil, 2012). Nos preguntábamos si deberíamos optar por la autorregulación o la heterorregulación, tras asumir como crucial el afrontar normativamente la ciber realidad: De Miguel Asensio, abogando por la primera vía afirma que “el ciberespacio constituye en cierto sentido una zona independiente transnacional y ajena a jurisdicciones y territorios estatales” (Asensio, 2000). No obstante, una sociedad autorregulada no deja de ser una utopía, del mismo modo que lo sería una cibersociedad regulada por los propios usuarios. Es, por ello, necesario una instancia independiente que regule y garantice los derechos y libertades de los ciudadanos. Y puesto que este dominio supera las fronteras físicas, amalgamando diferentes culturas y percepciones éticas y morales, demanda así pues principios internacionales de norma mínima. En ausencia de normas firmemente establecidas que rigen la guerra cibernética, los Estados van probando lentamente los límites de lo que la comunidad internacional considera un comportamiento aceptable en el ciberespacio, lo que nos deja un escenario realmente peligroso. 4.2. Leyes cibernéticas internacionales emergentes La teoría de la evolución de la norma indica que es más probable que la norma emerja cuando participan actores clave, específicamente los “emprendedores normativos”
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
55
(Mazanec, 2015), con plataformas organizativas y Estados clave que actúan como líderes normativos. Los dos organismos intergubernamentales principales y las plataformas organizativas (y subplataformas) que se utilizan actualmente para promover normas emergentes para la ciberguerra son la ONU y la OTAN. Existen otros esfuerzos multilaterales clave para fomentar el desarrollo de normas cibernéticas, como la Conferencia de Londres sobre el ciberespacio (y conferencias posteriores) y los talleres académicos sobre normas ciber. Los esfuerzos en la ONU han sido dirigidos principalmente por Rusia, y los esfuerzos dentro de la OTAN han sido liderados por Estados Unidos. En el ámbito de la ONU, fue en la Primera Comisión de la Asamblea General, denominada “Comité de Desarme y Seguridad Internacional”, cuando se puso el foco en la ciberguerra, así como en varios órganos subsidiarios y organismos especializados, en particular la Unión Internacional de Telecomunicaciones (UIT) del Instituto de Investigaciones de Desarme de la ONU (UNIDIR) y el Grupo de Trabajo de Implementación contra el Terrorismo (CTITF). Hubo algún movimiento a principios de la década de 1990, pero el enfoque serio en la ciberguerra comenzó en 1998, cuando los representantes rusos presentaron una resolución en la Primera Comisión titulada “Desarrollos en el campo de la información y las telecomunicaciones en el contexto de la seguridad”, que iniciaría el proceso para establecer un “control de armas cibernéticas” similar a otros acuerdos de control de armas como la Convención de Armas Químicas (CWC). La Segunda Comisión de la ONU y el Consejo Económico y Social, examinaron otros aspectos de la ciberseguridad como el cibercrimen y el ciberespionaje (Carr, 2011). La propuesta rusa está diseñada para llevar a una prohibición de los ciberataques ofensivos, control de las armas, así como la prohibición del terrorismo cibernético. No obstante, la mayoría de observadores lo interpretan, por un lado, como un intento de Rusia de restringir la superioridad de EEUU evitando su dominio cibernético, y por otro, como parte de un discurso políticamente desestabilizador y represivo de la movilización social en Internet, especialmente las revoluciones de color y los grupos proderechos humanos y de disidentes, en lugar de una voluntad real de represión de los ciberataques (Maurer, 2011).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
56
Estados Unidos ha liderado con frecuencia la oposición a esta propuesta debido a la preocupación de que el tratado propuesto sería impracticable e inaplicable ya que infringiría derechos garantizados por EEUU, libertades civiles y la libertad de expresión. Estos esfuerzos normativos de la ONU, liderados principalmente por Rusia, pero también ahora con una participación significativa de los EEUU, Alemania y otros, han ayudado a establecer varias plataformas para el debate y han fomentado el surgimiento de varias normas para la actividad ciber. En relación con la ciberguerra, ha habido tres normas candidatas clave: -
la prohibición de las ciberarmas,
-
la prohibición del primer uso de las armas cibernéticas y
-
la obligación de evitar que se produzcan en su territorio ciberataques por parte de actores no estatales.
Sin embargo, estas normas candidatas de restricción aún están comenzado a emerger y a ganar apoyo. La defensa en su nombre puede ser una mera postura diplomática basada en la práctica contemporánea de la ciberguerra; práctica que, sin embargo, no ha mostrado tales restricciones. Además, los esfuerzos se complican por la falta de acuerdo sobre términos y conceptos clave, por ejemplo, si la propaganda y la guerra de información son parte de la guerra cibernética. La OTAN también ha servido como un cuerpo intergubernamental principal y una plataforma organizativa para promover normas emergentes. Tras los principales ciberataques a Estonia (miembro de la OTAN) en 2007 y a Georgia (un aspirante a miembro de la OTAN). En 2008, la OTAN comenzó a centrarse seriamente en la amenaza de la ciberguerra (Ackerman, 2012). En 2008, la OTAN estableció el Centro de Excelencia de Cooperación en Defensa Cibernética de la OTAN (OTAN CCD COE). El OTAN CCD COE se encuentra en Tallin, Estonia (el epicentro del ciberataque de 2007) y está patrocinado por once miembros de la OTAN. Se centra en mejorar la defensa cibernética de la OTAN a través de la investigación, la educación y la consultoría. En 2012, la organización publicó el Manual del Marco Nacional de Seguridad Cibernética para ayudar a las naciones miembros a desarrollar mejor las políticas nacionales de defensa cibernética.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
57
El compromiso de la OTAN de abordar la ciberguerra se extiende más allá de este centro de excelencia. En noviembre de 2010, la OTAN adoptó un nuevo concepto estratégico, que reconocía que la ciberguerra “puede alcanzar un umbral que amenaza la prosperidad, la seguridad y la estabilidad nacional y euroatlántica” (Heads of State and Government at the NATO, 2010). En general, la OTAN, liderada por los Estados Unidos, ha abordado la ciberguerra desde una perspectiva que busca aplicar la Ley de Conflicto Armado (LOAC) existente a los ciberataques en lugar de buscar restricciones más amplias y nuevas como las propuestas por Rusia en la ONU. La actividad más importante de la OTAN en este sentido fue el desarrollo del Manual de Tallin sobre el Derecho Internacional aplicable a la ciberguerra (International Group of Experts, 2013) El Manual de Tallin, que no refleja la opinión oficial de la OTAN, sino la opinión personal de los autores (un “grupo internacional de expertos”), fue patrocinado por el CCD COE de la OTAN y tres organizaciones que actúan como observadores: la OTAN, el Comando Cibernético (CYBERCOM) y el Comité Internacional de la Cruz Roja. El Tallin Manual representa no sólo la visión de consenso de estos participantes afiliados a la OTAN sino también las principales posiciones del gobierno de los EEUU que especificó en 2011 en la “Estrategia Internacional para El ciberespacio” que “las normas internacionales existentes que guían el comportamiento del Estado, en tiempos de paz y conflicto, también se aplican en el ciberespacio” (The White House, 2011). Por tanto, dichas posturas defienden que la LOAC es adecuada y aplicable a la guerra cibernética y rechazan la posición rusa de que la ciberguerra requiera normas y acuerdos internacionales nuevos y distintos. Además de las Naciones Unidas y la OTAN, las naciones individuales se han convertido en creadores y líderes de normas y en la organización de foros multilaterales ad hoc para discutir normas para la ciberguerra. Un número creciente de actores clave están involucrados en este proceso de desarrollo de normas, lo que aumenta la probabilidad de que la emergencia de la norma alcance un punto de inflexión, como lo predice la teoría de la evolución de la norma (Mazanec, 2015).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
58
13 Normas emergentes (Mazanec, 2015)
Si bien este creciente consenso para varias normas es una señal de progreso, aún quedan muchos desafíos. El Coronel Afek, ex defensor general militar israelí, destacó algunos de estos desafíos cuando dijo que la comunidad internacional se enfrenta a un “período complejo y desafiante en el que podemos esperar una carrera cibernética de armamentos con la participación de entidades estatales y no estatales, y una batalla masiva entre Oriente y Occidente sobre el carácter del futuro régimen legal” (Cohen, 2014). 4.3. Leyes cibernéticas internacionales vigentes El primer instrumento parcial sobre la materia es la Convención del Consejo de Europa sobre Cibercrimen de 2001, conocida como Convención de Budapest. Es el primer tratado internacional sobre delitos cometidos a través de Internet y otras redes informáticas, además de incorporar medidas y procedimientos para la inspección de redes y la interceptación de datos. Es el único tratado internacional vinculante hasta la fecha y “constituye para muchos expertos la prueba de la seriedad del compromiso de los países en su lucha contra el cibercrimen” (Enríquez, 2012). En la Conferencia de Praga de 2002, se lanzó el proyecto de lograr un programa global de coordinación de la ciberdefensa. Por otro lado, el impulso que se ha tratado de dar a la sociedad de la información por parte de la ONU se ha traducido en las Cumbres
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
59
Mundiales de la Sociedad de la Información (CMSI) (UIT, 2003-2005). La Cumbre de Ginebra de 2003 adopta la “Declaración de Principios para Construir la Sociedad de la Información: un desafío global para el nuevo milenio” y el Plan de Acción de Ginebra. La Cumbre de Túnez en 2005 desemboca en el Compromiso de Túnez y en la Agenda de Túnez para la Sociedad de la Información. En Ginebra se adopta también la Agenda de Solidaridad Digital, que tiene por objeto fijar las condiciones necesarias para movilizar los recursos humanos, financieros y tecnológicos que permitan incluir a todos los individuos en la Sociedad de la Información mediante una estrecha cooperación nacional, regional e internacional entre todas las partes interesadas. Afirma Margarita Robles (2016) que: Sin soslayar el valor de estas aportaciones, es indudable que la contribución esencial de la ONU en materia de ciberseguridad ha de ser impulsar la formación del consenso entre sus Estados miembros en relación con el mantenimiento de la paz y la seguridad internacional. Pero por el momento, parece ser un objetivo difícilmente alcanzable. Así pues, en el ámbito de la ONU no se han logrado consensuar iniciativas más allá de aproximaciones sectoriales y existe un debate en curso dentro de las comunidades académicas e internacional respecto a una cuestión crucial: si los ciberataques constituyen uso de la fuerza y son actos de agresión bajo la Resolución de la ONU 3314: Definición de Agresión (Consejo de Seguridad de las Naciones Unidas, 1974). La Resolución de la Asamblea General de la ONU utilizada para definir la agresión y el uso fuerza, Resolución 3314, fue redactada en 1974 antes de la llegada de Internet y la computadora integrada. Por ello, evidentemente, el lenguaje utilizado en esta Resolución no incorpora las armas cibernéticas. No obstante; Cameron H. sostiene que los ciberataques son actos de agresión que violan la resolución 3314 en espíritu, pese a no hacerlo por motivos obvios en su lenguaje explícito (Bell, 2018). Esta falta de claridad lingüística y la ausencia de explícita inclusión del ciberataque en la definición de agresión ha generado un cierto vacío normativo. Una resolución adicional según la cual estos ataques pueden entenderse como una violación del derecho internacional, es la Resolución 2625, la “Declaración sobre los principios de derecho internacional relativas a las relaciones de amistad y cooperación entre los Estados de conformidad con la Carta de las Naciones Unidas” (Asamblea
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
60
General de Naciones Unidas, 1970). Dicha Resolución, describe la conducta aceptable de los Estados miembros en sus interacciones. Ambas resoluciones, pese a las carencias comentadas, se vienen utilizando para mostrar que los ciberataques son violaciones claras del derecho internacional; sin embargo, la falta de un componente cibernético explícito en la definición de agresión, como decimos, ha creado un área gris, que algunos estados pueden considerar el pretexto perfecto para la permisividad en el uso de que armas cibernéticas. De este modo los Estados pueden actuar de manera hostil sin que sus acciones sean etiquetadas como actos de agresión, mientras que los Estados que han sido sometidos a tales ataques no encuentran el respaldo para ser capaces de responder sin temor a juicios o represalias por parte de la comunidad internacional hasta que las organizaciones internacionales, como la ONU, desarrollen y promulguen nuevas definiciones y leyes específicas para regular la guerra cibernética y el derecho de represalia o compensación de los estados afectados. La Resolución sobre “Definición de agresión” enumera siete escenarios generales que son considerados actos de agresión, tales como el bombardeo de ciudades, la invasión de territorio por las fuerzas armadas o el bloqueo de puertos. Con cada escenario implicando fuerza armada o acción física de un Estado. La naturaleza física de esta resolución ha llevado a muchos a concluir que los ciberataques no reúnen los requisitos físicos enumerados en la Resolución, ni constituyen una fuerza armada en virtud de Resolución 3314. Lo que conduce a la reflexión siguiente: el derecho internacional debe cumplir con la realidad; no pretender retorcer la realidad para que encaje en conceptualizaciones que ya no se ajusta a la misma. Por lo tanto, para resolver cualquier confusión con la Resolución 3314, debería de añadirse a la definición de agresión un componente de guerra cibernética. Esto permitiría a los Estados actuar con seguridad cuando fuesen dañados por las armas cibernéticas, y estabilizaría el entorno actualmente inestable en el que opera la Comunidad Internacional El sistema legal internacional actual se basa en principios que se forman a través de la práctica habitual por los Estados. Una práctica consuetudinaria, en el sentido legal internacional, según J.L. Brierly, “significa algo más que mero hábito o uso; es un uso sentido por aquellos que lo siguen, entendiéndolo como obligatorio. Debe haber presente un sentimiento de que, si el uso es transgredido, alguna forma de sanción probablemente, o por lo menos debería, caer en el transgresor” (Brierly, 1963).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
61
Tras identificarse una práctica como costumbre y aceptarse por parte de los Estados miembros de Naciones Unidas, es redactado en el derecho internacional escrito a través de tratados o resoluciones de la ONU. Podemos acudir al ejemplo del Derecho del mar, respecto del cual reinaba una costumbre internacional de libre circulación en alta mar, recogida en el Tratado de 1958, reformado en 1982. No obstante, por la novedad del dominio objeto de estudio, no existen normas consuetudinarias. Sin embargo, es importante entender que el derecho internacional no funciona como el derecho interno. En el derecho internacional no se garantiza, aunque se espera que deriven consecuencias por violar sus dictados. Por otra parte, los Estados deben consentir el estar sujetos a un derecho internacional. Lo dicho nos conduce de nuevo a lo arriba afirmado, la respuesta parece venir de la mano de unas normas internacionales de derecho mínimo. Según J.L. Brierly, el derecho internacional no está destinado a proporcionar soluciones concretas a problemas específicos, más bien está destinado a crear estructuras para comprender las conductas y las acciones estatales, y proporcionar un marco para la respuesta (Brierly, 1963). La elaboración del derecho internacional es un proceso lento porque conlleva la necesidad de consenso entre los Estados antes de la aceptación de una práctica general como ley, lo que hace que el proceso sea poco adecuado para responder rápidamente al desbocado desarrollo tecnológico como el ciberespacio. Existiendo regulación internacional respecto a Internet y a tecnología informática, ésta se ha mantenido en gran medida centrada en lo relativo a derecho comercial internacional y derecho de marcas. Si bien existen leyes y prácticas sólidas con respecto al uso privado e individual de Internet, prácticamente no hay precedentes o costumbre normativa aceptada para abordar el uso estatal de Internet como arma. La relativa naturaleza sin precedentes de la ciberguerra y la posterior falta de costumbres o prácticas internacionales sobre el tema ha permitido a los Estados, “llenar el vacío con sus opiniones sobre cómo se aplica el derecho internacional en esta área” (Bell, 2018), como se ha explicado en el apartado anterior. La complejidad del tema va más allá, y es que muchos estados creen que el derecho internacional existente puede aplicarse al ciberespacio, lo que dificulta la creación de una nueva ley internacional sobre este nuevo dominio. Por no hablar de las diferentes líneas
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
62
discursivas en las políticas que protagonizan EEUU, China y Rusia. La defensa de la libertad y accesibilidad frente a los que se reclaman su control como parcela de su soberanía (Robles, 2016) Este vacío en costumbres y prácticas internacionales ha permitido que Estados como Rusia y Estados Unidos realicen ciberoperaciones, que amenazan la estabilidad mundial y regional, sin consecuencias definidas. 4.4. Caso práctico: Rusia 2016 elección de los Estados Unidos Un ejemplo del uso de ciberarmas en la guerra híbrida es el intento ruso de influir en las elecciones de 2016 en los Estados Unidos y exacerbar las divisiones entre los ciudadanos de los Estados Unidos. Se ha alegado que los actores estatales rusos realizaron ciberataques para acceder a servidores de correos electrónicos propiedad del Comité Nacional Demócrata (DNC) y posteriormente publicaron información dañina en un intento de perturbar el proceso democrático de los Estados Unidos. Igualmente se afirma que numerosos ciudadanos civiles rusos llevaron a cabo una campaña coordinada que incluía el robo de identidad y uso extensivo de plataformas de redes sociales para sembrar divisiones y exacerbar tensiones entre los ciudadanos de los Estados Unidos en temas candentes como la inmigración. El Director Nacional de Inteligencia de Estados Unidos (DNI) realizó un informe titulado “Evaluación de las actividades e intenciones rusas en las recientes elecciones de EEUU: El proceso analítico y la atribución de incidentes cibernéticos”, que deja clara la postura de las comunidades de inteligencia de Estados Unidos de atribuir al gobierno ruso la cibercampaña para influir en la elección presidencial de los Estados Unidos de 2016 (Thielman, 2016). Estos ataques al sistema democrático de EEUU son precisamente eso, ataques realizados por un Estado a otro. -
Bajo la Resolución 2625 de “Relaciones Amistosas”:
Si la evidencia discutida en el informe del DNI se toma como hecho probado, este ataque es sin duda una violación del derecho internacional en virtud de la Resolución 2625.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
63
Además, esta campaña tuvo como objetivo interrumpir la unidad nacional, influir directamente en el proceso político de los Estados Unidos y perjudicar la independencia política de los Estados Unidos. Lo que supone claramente violaciones de la Resolución 2625, que establece que, “... cualquier intento dirigido a la interrupción parcial o total de la unidad nacional ... o de su independencia política es incompatible con los propósitos y principios de la Carta”. -
En virtud de la Resolución 3314 sobre “Agresión”:
El derecho internacional actual podría sostener que era potencialmente un ataque estatal a una empresa privada, la DNC, sin daño económico o de las infraestructuras nacionales, por lo tanto, no cumple con la definición de un acto de agresión. Alternativamente, se podría argumentar que eran ciudadanos rusos conduciendo de forma privada esta guerra de información, colocando así el caso fuera de la jurisdicción del sistema jurídico internacional. Además, pese a que estos ciberataques estaban destinados a influir en la independencia política de un Estado, no cumplen claramente el umbral de “un acto de agresión” en virtud del artículo 3 de la Resolución 3314, debido a que no se utilizó la fuerza armada. Este ataque representa una falla del sistema legal internacional para mantener y proteger la estabilidad, puesto que, al no cumplir con la definición legal internacional de agresión, los EEUU tienen opciones justificables muy limitadas para responder en virtud del derecho internacional. -
Respuesta:
Como respuesta a estos ataques, Estados Unidos impuso sanciones que apuntan en gran medida a individuos y a entidades particulares en lugar de al propio gobierno ruso debido a la dificultad de atribuir los ataques. Sin embargo, dos organizaciones gubernamentales fueron sancionadas en esta acción, el Servicio de Seguridad Federal Ruso y el GRU, principal agencia de inteligencia militar de Rusia. Cuando se compara con las respuestas llevadas a cabo tras otros ciberataques anteriores, esta respuesta puede parecer más completa y proactiva. Sin embargo, sigue siendo preocupante que un ciberataque de esta magnitud, con atribución directa a un gobierno extranjero, solo garantiza sanciones limitadas.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
64
4.5. El derecho a responder de los Estados Dada la evolución de las armas cibernéticas como herramientas de guerra, así como de coerción política y el fracaso de la definición de agresión de la Resolución para abordar adecuadamente esta nueva arma, está claro que estos ataques continuarán ocurriendo. No obstante, la soberanía en el derecho internacional es un principio esencial, tanto desde un punto de vista nacional como internacional, por lo que los estados soberanos tienen el derecho natural de responder enérgicamente si sienten que han sido atacados. Anél Ferreira-Snyman (2007) señala que la soberanía del Estado, generalmente aceptada como un principio fundamental del derecho internacional, sostiene tres normas: Primero, que todos los Estados soberanos, independientemente de su tamaño, tienen los mismos derechos. En segundo lugar, que el territorio, la integridad y la independencia política de todos los Estados soberanos es inviolable. En tercer lugar, la intervención en los asuntos internos de los Estados soberanos no está permitido. Usando el principio de soberanía, un Estado puede tomar represalias cuando sea amenazado o dañado por otro Estado, sin consentimiento o acuerdo de la comunidad internacional. De hecho, este concepto está consagrado en el Artículo 51 de la Carta de la ONU, que explícitamente reconoce el derecho de legítima defensa individual o colectiva (United Nations, 1945). Por otra parte, J.L. Brierly sostiene que, si falla el derecho internacional para proteger a un Estado víctima, o dar a esa víctima una vía legal para la reparación, “es probable que el Estado lesionado, si es lo suficientemente fuerte, busque por otros medios la reparación de la que la ley no puede proveerle”, por lo que no tener un elemento cibernético en la definición de agresión de la ONU amenaza la estabilidad internacional. Es ampliamente aceptado que los Estados pueden responder a amenazas o ataques de cualquier manera que elijan, incluido ataques armados convencionales, con la única restricción de la proporcionalidad y las leyes de guerra (Bederman, 2001). Estados como Irán fueron limitados en su respuesta debido a la ambigüedad de la Resolución 3314 sobre ciberataques. Debido al riesgo de ser etiquetado como agresor si respondía con medios convencionales, Irán optó por responder con sus propios
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
65
ciberataques. Esta respuesta tiene el potencial de crear una serie de asaltos cada vez más perjudiciales entre dos Estados. Como parte de la discusión sobre el derecho de los Estados a responder a los ataques, hay debate sobre si un ciberataque constituye una violación de la integridad territorial del Estado. La idea de las fronteras definidas y la defensa de la integridad territorial forma parte de la defensa de la soberanía de un Estado. Algunos estudiosos sostienen que los ciberataques no cumplen el umbral para ser considerados violaciones del territorio de un Estado, y por lo tanto no son actos de guerra (May, 2015). Sin embargo, debe entenderse que, si un Estado decidiese que un ciberataque constituye una violación de su integridad territorial, podrían responder con un ataque militar convencional. Los Estados víctimas tienen un derecho inherente a la legítima defensa protegida por la Carta, y en el ejercicio de ese derecho, los Estados no tienen ninguna obligación legal para obtener la aprobación de la ONU o de cualquier otro organismo internacional. La capacidad del Estado para actuar de manera unilateral cuando responde a amenazas o agresiones de otro Estado es innegable. Además, bajo la Doctrina de Efectos, los Estados víctimas tienen automáticamente jurisdicción sobre un ciberataque si ese ataque inflige costos económicos. La Doctrina de Efectos “permite el ejercicio de jurisdicción sobre las actividades extraterritoriales de los extranjeros que producen efectos dentro del territorio”. Bajo esta doctrina, los Estados pueden ejercer su jurisdicción sobre actores estatales legalmente responsable de ciberataques que les causaron daños económicos (Lowe, 1989). Por ejemplo, en el caso estonio, un banco reportó un millón de dólares en daños y perjuicios. Si el gobierno estonio pudiera rastrear el ataque a un individuo que opera en Rusia, ese individuo estaría sujeto a la Ley de Estonia por sus acciones. 4.6. Conclusión. Mientras los Estados crean que la guerra cibernética no es un acto de agresión, continuarán usando estas armas, poniendo en peligro la estabilidad global. Hemos visto que, si bien la guerra cibernética ciertamente viola la Resolución 2625 sobre “Relaciones Amistosas”, no cumple con la definición de agresión según la Resolución 3314.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
66
Esta brecha del derecho internacional ha creado un entorno global inestable en la que los Estados están inmersos en una, cada vez más perjudicial, escalada de ciberataques de unos contra otros, y coloca a los estados víctimas en inciertos escenarios de legalidad jurídica en materia de represalias. La inclusión de la guerra cibernética y su definición en la Resolución 3314, artículo 3, sería de utilidad para evitar el uso de estas armas desestabilizadoras en el futuro. Sin embargo, hasta que no exista dicho marco dentro del sistema legal internacional, los Estados deberían mantener el derecho de responder a los ciberataques por cualquier medio razonable a su disposición. Estas opciones deben incluir el uso de armas convencionales si el ataque cibernético causa daños a las economías estatales, infraestructura o instituciones políticas. Por otra parte, es imperativo un diálogo sólido e inmediato entre la comunidad internacional para hacer frente a la falta de comprensión de la ciberguerra, para definir mejor lo que constituye un acto de guerra en esta nueva dimensión y cómo los Estados deben responder a tales ataques. Sin esta conversación y la inclusión de la ciberguerra en la Resolución 3314, los ciberataques continuarán, incrementándose así el potencial escalo hacia la guerra convencional y la inestabilidad global actual.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
67
5. IMPLICACIONES PARA LA SEGURIDAD NACIONAL 5.1. Ciberseguridad y gestión del riesgo Es imperativo comenzar este apartado señalando que, desde una concepción del realismo ofensivo de John Mearsheimer (Mearsheimer, 2013), el sistema internacional es fundamentalmente anárquico y sometido a las dinámicas creadas por los Estados en su búsqueda sistemática de su propio interés, definido como poder. Además, no conocen con certeza las intenciones de los otros Estados por lo que los errores de interpretación y la incertidumbre son una realidad. En capítulos anteriores, se trataba de exponer la evolución del uso de la violencia por el ser humano para dirimir sus conflictos y saciar su ambición. Pues bien, del mismo modo, el concepto de seguridad ha sufrido una transformación cuantitativa y cualitativa. Si en un principio las acciones derivadas de una contienda afectaban a la seguridad en cuanto al territorio de una nación o sociedad, posteriormente se fue ampliando a sus instituciones, infraestructuras críticas, llegando al peligro de la supervivencia de los ciudadanos en supuestos de Guerra Total. Así pues, la categoría jurídica del concepto seguridad, deja de limitarse a conceptos clásicos de paz pública y orden público, seguridad interior y seguridad exterior. La Seguridad Nacional se define según la Doctrina del Ejército de Tierra del año 2003 como “el Estado deseado por una sociedad, en la que pueda desarrollarse y prosperar libre de amenazas”. “La defensa es la adopción práctica de medidas conducentes a mantener la seguridad deseada” (Feliu L. , 2012). Otra definición extendida es la de Arnord Wolfers ampliada por Charles-Philippe David: “La seguridad se manifiesta por la ausencia, tanto de amenazas militares como no militares que pueden introducir cuestionamiento de los valores centrales que quiere promover o preservar una persona, una comunidad y que suponen un riesgo de utilizar la fuerza” (Baldwin, 1997). Los Estados cuentan con capacidades de lo más dispares para garantizar su Seguridad Nacional. Desde el cuerpo normativo, la diplomacia, las medidas económicas, la política y como última ratio, el uso de la fuerza. Enfocándonos en tales medios podemos entender que la Defensa Nacional, que comprendería todas las acciones civiles y militares destinadas a garantizar la Seguridad Nacional, engloba la Defensa Militar. “La Seguridad
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
68
Nacional debe garantizarse pues en todos y desde todos los ámbitos o espacios estratégicos que cada país tiende a dominar o controlar” (Feliu, 2012). No obstante, llegados al punto de análisis de la situación en el que nos encontramos, podemos entender que la Defensa no puede preverse únicamente considerando la Seguridad Nacional, sino también la Seguridad Nacional de los considerados aliados. Y es aquí donde encontramos un nuevo escollo. La existencia de cosmovisiones en cuanto al concepto de ciberseguridad. Siguiendo a Sánchez de Rojas, conviven tres cosmovisiones: la ciberliberal ofensiva que supone la conceptualización de EEUU, la ciberliberal defensiva de la mano de la Unión Europea y la cibernacionalista-aislacionista propia de los aliados en la materia Rusia y China (Robles, 2016). Por otro lado, hay que ir más allá, puesto que la realidad en la que nos encontramos, resumida en el concepto de revolución 4.0, hace necesario en el momento actual redefinir el concepto de ciberseguridad por otro más comprehensivo, el de Seguridad Digital, con el fin de recoger elementos derivados de la transformación digital que no son asumidos por las IT tradicionales. Nos referimos a la conjunción de las tecnologías de operaciones (OT) con las de la información (IT) en lo que se conoce como Internet of Things (IoT), o también, el Internet de todo (Lima, 2019), “la fusión de la ciberseguridad de los sistemas de información y redes (OT) que interconectan los distintos elementos de producción en planta y de los sistemas de información corporativos (IT) presenta nuevos desafíos para la seguridad industrial” (Alonso, 2019).
14 Evolución de la transformación digital (Olías, 2019)
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
69
Ulrich Beck decía hace más de veinticinco años que vivimos en la sociedad del riesgo (Beck, 2019). Hoy más que nunca podemos abrazar dicha máxima, ya que en la sociedad de la información se ha asumido la idea de que la de que la seguridad total no existe y como afirma Sánchez de Rojas, “la ciberseguridad va relacionada inherentemente al riesgo” (Gómez J. A., 2013). A lo que podemos responder con un informe publicado por la OCDE y titulado “Reducción del riesgo sistémico en ciberseguridad”. En él se recoge la cooperación internacional como una de las claves para reducir los riesgos de ciberseguridad (Brown, 2011). Además de esta necesaria cooperación dada la incapacidad de hacer frente a esta realidad por actor alguno en solitario, “el ciberespacio implica un modelo diferente de sociedad en el que se cuestionan desde los paradigmas clásicos sobre seguridad y defensa, hasta los mecanismos de defensa de los derechos y libertades fundamentales” (Robles, 2016). Cuando se habla de la llamada “Sociedad de la Información” o de la “Sociedad en Red” de Manuel Castells, el imaginario colectivo se ciñe a visualizar el paradigma que vino a sustituir la sociedad industrial. No obstante, esta era informacional ya dibuja su propio devenir, patentiza su propia evolución y permite que hablemos de su propio ayer. Jason Healey divide la historia del conflicto cibernético en tres fases: “realización” en la década de 1980, “despegue” de 1998 a 2003 y “militarización” desde 2003 hasta el presente (Mazanec, 2015). Hasta fechas recientes: La ciberseguridad respondía a la exigencia de tutelar la información (Information Security), lo que determinaba un enfoque legislativo destinado a sancionar los accesos, usos, revelaciones, o daños ilícitos no autorizados. Sin embargo, en la actualidad, la evolución conduce hacia la gestión de riesgos del ciberespacio (Information Assurance) en la que los riesgos para la seguridad se encuentran vinculados al uso, procesamiento, almacenamiento y transmisión de información o datos, y los sistemas y procesos utilizados” (González J. L., 2010). Además, el nuevo concepto de Seguridad Digital que hay que abrazar, demanda aplicar la gestión de riesgos a todos los elementos que hasta ahora quedaban fuera de la ciberseguridad: Seguridad Digital = Transformación Digital x Gestión del Riesgo Digital (Lima, 2019).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
70
5.2. Infraestructuras críticas Algunos analistas, políticos y académicos argumentan que la guerra cibernética representa una gran amenaza cuando se atacan infraestructuras críticas y advierten sobre un “ciber Pearl Harbor” o “ciber 9/11” (Mazanec, 2015). Los principales responsables de la toma de decisiones, como el Secretario de Defensa de los Estados Unidos, Leon Panetta, se han alineado con los defensores del impacto y la gravedad de la amenaza de la ciberguerra. Panetta advirtió en octubre de 2012 que “una nación agresora o un grupo extremista podría usar este tipo de ciberarmas para controlar dispositivos de red o conmutadores de infraestructuras críticas”. Podrían descarrilar trenes de pasajeros, o incluso más peligroso, descarrilar trenes de pasajeros cargados con químicos letales. Podrían contaminar el suministro de agua en las principales ciudades o apagar la red eléctrica en grandes partes del país (Shanker, 2012). En Occidente, los ataques cibernéticos de Rusia hasta ahora han estado al servicio de sus operaciones de desinformación: datos robados utilizados para avergonzar a individuos, hacer una narrativa, desacreditar instituciones y valores democráticos y sembrar la discordia social. Éste fue el patrón que siguieron los operadores rusos en Estados Unidos, Francia, España y Alemania durante sus procesos electorales de 2016-17. Hackear cuentas de correo electrónico de individuos o campañas, filtrar esa información robada a través de un proxy (principalmente WikiLeaks) y luego desplegar un ejército de agentes de desinformación (bots, trolls, medios controlados por el estado) para difundir y amplificar una narrativa políticamente dañina. La interferencia cae por debajo del umbral de “ataques cibernéticos de consecuencias significativas” de los que pudiesen derivar “pérdida de vidas, destrucción significativa de propiedad o impacto significativo en intereses de seguridad nacional” (The Secretary of Defense, 2015). Por esta razón, los gobiernos occidentales, objetivos de la guerra de información impulsada en el ciberespacio, no han sabido responder de manera decisiva y visible (Polyakova, 2018). En Occidente, la pesadilla de los ataques cibernéticos que paralizan los sistemas de infraestructura crítica (redes eléctricas, hospitales, sistemas financieros, transporte) aún tiene el sonido de ciencia ficción para el ciudadano común. Pero en el este de Europa, este escenario de pesadilla es una realidad, y una señal de lo que es muy probable que ocurra en Europa y en otros lugares. Como laboratorio de actividades rusas, Ucrania ha visto un aumento significativo en los ataques a sus sistemas de IC desde la revolución de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
71
Maidan en 2013. Una gran cantidad de malware, ataques de denegación de servicio y campañas de phishing bombardearon los entornos de las infraestructuras críticas de Ucrania a diario. En diciembre de 2015, un ataque sofisticado y bien planificado contra la red eléctrica de Ucrania se dirigió a los centros de distribución de energía y dejó a 230.000 residentes sin electricidad el día antes de Navidad. Los atacantes pudieron anular el acceso de los operadores al sistema y también desactivar los generadores de copia de seguridad. Gracias a los interruptores manuales de la era soviética, el apagón duró solo unas pocas horas y, por lo tanto, pasó casi desapercibido en Occidente. El gobierno ucraniano atribuyó los ataques al grupo ruso de Amenaza Persistente Avanzada, APT, “Sandworm”. Y el mismo malware usado por este grupo que causó el apagón en Ucrania, el malware llamado “BlackEnergy”, ha sido detectado en las empresas de servicios eléctricos en los Estados Unidos. Es el peor ataque conocido en un sistema de una infraestructura crítica, y los sistemas de Ucrania, defendidos por una combinación de cortafuegos, acceso segmentado, autenticación de dos factores y controles manuales, eran más seguros en el momento del ataque que los de los Estados Unidos (Greenberg, 2017). Los ataques que se llevan a cabo sobre Ucrania y otros países de Europa del Este no siempre son fáciles de contener. En junio de 2017, el llamado virus “NotPetya”, que se originó en un ataque dirigido a los sistemas contables de Ucrania, se propagó a 64 países y afectó a las principales compañías internacionales, operadores logísticos, agencias gubernamentales, proveedores de telecomunicaciones e instituciones financieras. El nombre, NotPetya, se refería a la naturaleza disfrazada del ataque; apareció como un ataque de ransomware lanzado previamente, Petya, pero, de hecho, fue diseñado para destruir y eliminar sistemas de información en Ucrania. En efecto, NotPetya era una forma cibernética de “maskirovka” (engaño táctico) utilizada en operaciones militares soviéticas para engañar a los adversarios sobre la verdadera fuente e intención de un ataque. En febrero de 2018, la administración de EEUU atribuyó NotPetya al ejército ruso. La experiencia de Ucrania con la piratería electoral en Rusia también debería compeler a la acción. Las máquinas de votación electrónica ampliamente utilizadas tienen una seguridad débil y un software lleno de lagunas fácilmente explotables. En la conferencia Defcon de 2017 para hackers, los asistentes tuvieron la tarea de irrumpir en una gama de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
72
máquinas de votación estadounidenses, ya fuese encontrando vulnerabilidades forzando el acceso físico en las máquinas u obteniendo acceso de forma remota. Los piratas informáticos lo hicieron en menos de dos horas (Darrow, 2017). Los participantes lograron romper todos los equipos al final de la reunión. Un ataque masivo a las infraestructuras críticas en Europa occidental y los Estados Unidos es inevitable. Probablemente seguirá un patrón similar al ataque de ransomware WannaCry, de mayo de 2017, que paralizó a los hospitales en Europa occidental al explotar una vulnerabilidad en Microsoft Windows. El exploit fue originalmente identificado por la NSA y posteriormente se filtró. The Shadow Brokers, un grupo de hackers, publicó la información de la filtración de la Agencia de Seguridad Nacional (NSA) que contiene la información sobre la vulnerabilidad de abril de 2017. Estados Unidos identificó a Corea del Norte como responsable del ataque de WannaCry en el otoño de 2017 (Bossert, 2017). WannaCry presenta un claro vector de amenaza: los actores maliciosos (Rusia, China, Corea del Norte, etc.) piratean las herramientas de las agencias de inteligencia occidentales y las publican, lo que permite que otros actores maliciosos de todo el mundo ataquen infraestructuras críticas. Y Occidente parece estar mal equipado para disuadir y responder a semejante evento (Hennessey, 2017), como se ha puesto de manifiesto en el capítulo 4. El Plan Nacional de Protección de Infraestructuras Críticas las define como: Instalaciones, redes, servicios, equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las AAPP (Ley 8/2011, de 29 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas). Definición acorde con la Directiva europea: 2008/114/CE del 8 de diciembre de 2008, la cual subraya la importancia de “la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección” (Consejo de la Unión Europea, 2008). Se definen doce sectores estratégicos: los servicios básicos que gestiona la Administración así como sus instalaciones, redes de información, los bienes considerados Patrimonio Nacional, las propiedades y centros del Ministerio de Defensa, la Industria
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
73
Química y Nuclear, los servicios de emergencia, embalses, canalizaciones de agua, las Centrales y Redes de Energía, Aviación, Tecnologías de la Información y las Comunicaciones (TIC), el sistema sanitario, Transportes, el sistema legal, Alimentación, y el Sistema Financiero y Tributario. “Cada una de las áreas diferenciadas dentro de la actividad laboral, económica y productiva que proporciona un servicio esencial o que garantiza el ejercicio de la autoridad del Estado o de la seguridad del país” (Ley 8/2011, de 29 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, 2011). Francisco J. Vanaclocha, catedrático de la universidad Carlos III y director del Curso Superior de Director de Seguridad, hace la estimación de que España cuenta con 400 IC, de las cuales 12 instalaciones se sitúan en sectores estratégicos. Si alguno de estos no estuviera disponible, aunque fuese por un breve período de tiempo el impacto sería masivo afectando al desarrollo de las actividades esenciales de la sociedad (La información, 2017). No sorprende así que se acuñen términos como los de “armas de disrupción masiva”, empleados por la periodista y especialista en ciberseguridad Perlroth. En 2017 publicaba en el NYT un artículo cuyo titular rezaba “Decenas de países reportan haber sufrido un ciberataque masivo”. Seguía el artículo exponiendo cómo el extenso ataque, llevado a cabo por el grupo Shadow Brokers, había conmocionado a los expertos en ciberseguridad evidenciando la vulnerabilidad de las redes y la facilidad de afectar servicios esenciales como el National Heath Service británico, además de hospitales y empresas de telecomunicaciones en varias partes de Europa, Rusia, Asia, Turquía y Japón, así como a Telefónica en España (Perlroth, 2017). La pérdida de la fe en la seguridad de la aviación después de los ataques del 9/11 tuvo graves impactos económicos. La pérdida de confianza en la integridad de nuestros sistemas e infraestructuras críticas también debe ser un valor a proteger. En EEUU el concepto de IC incluye además determinados monumentos que de ser atacados y vulnerados afectaría a la moral ciudadana. Según Agustín Solís, director de Sistemas de Seguridad de Thales España: Aunque nunca se puede estar tranquilo y siempre se puede mejorar, hay un consenso de que en España –que en el pasado se vio amenazada por el terrorismo– las infraestructuras criticas están bastante bien preparadas frente a amenazas físicas. No es el caso contra los ataques cibernéticos que, por distintas razones, son la gran área de mejora para la protección de este tipo de instalaciones” (THALES, 2018).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
74
Los activos de las corporaciones como cuentas de correo electrónico, secretos comerciales, registros financieros, las políticas, propuestas y decisiones organizativas, tienen un valor primordial para la competencia. Dependiendo de la naturaleza de la información, Estados, organizaciones criminales, hacktivistas e insiders pueden estar tras diferentes partes de la empresa. Datos personales como registros de salud e información financiera (cuentas bancarias y de tarjetas de crédito) son objetivos de alto valor para las compañías de seguros, delincuentes y objetivos de espionaje. Si alguien tiene en el punto de mira a un miembro de alto rango del ejército de los EEUU, rastrear todo lo que haya disponible en Internet sobre la persona, sería el primer paso. Los llamados nativos digitales ponen cada vez más y más información personal en la web. Lo que nos lleva a dos grandes temas: robo de identidad e ingeniería social. En la noticia del NYT comentada más arriba, se explicaba que malware fue circulado por correo electrónico con un archivo cifrado y comprimido que, al ser descargado por algún empleado de las organizaciones diana, permitía la infiltración de los archivos de todos los sistemas” (Perlroth, 2017). La infraestructura de TI es un objetivo por dos razones. Los hackers pueden querer usar la infraestructura para ellos mismos (es decir, crear una red de bots) o quieren saber qué sistemas operativos (es decir, Windows/OS X) y qué dispositivos de red (es decir, VoIP, aplicaciones y dispositivos específicos de Cisco) están disponibles para permitirles encontrar vulnerabilidades. Los servicios básicos ofrecidos por los Estados se sustentan en infraestructuras gestionadas en su mayoría por el sector privado. La Ley 8/2011 configura el sistema de protección de las IC, integrado por: Diferentes agentes con responsabilidad en el correcto funcionamiento de los servicios esenciales. Incluye, por tanto, diferentes departamentos ministeriales, en particular el Ministerio del Interior, a través de la Secretaría de Estado de Seguridad y del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), adscrito a ésta, así como Administraciones Públicas (nacionales, regionales o locales), Fuerzas y Cuerpos de Seguridad del Estado, comisiones y grupos de trabajo. A la lista anterior se añaden los denominados operadores críticos, es decir, todas aquellas empresas y organismos que gestionan al menos una IC. Sobre ellos recae, entre otras, la responsabilidad de definir
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
75
los oportunos planes de seguridad para proteger adecuadamente los activos de las IC bajo su control (Pastor, 2013). Tal cantidad de agentes de naturaleza pública y privada implicados en el sistema hace necesario el fomento de la colaboración público-privada. Por otro lado, no se puede ignorar la interrelación entre las diferentes infraestructuras y la interdependencia entre los servicios de forma que un ataque a uno puede comprometer el funcionamiento de otros servicios produciendo una reacción en cadena. A estas debilidades hay que añadir la dependencia tecnológica. Se ha procedido a la automatización y al control remoto de procesos industriales. “Esta presencia de redes y equipamientos TIC utilizados para la gestión y la operación de los procesos industriales es lo que se conoce como ciberdependencia de las IC” (Paul Cornish, 2011), “concepto que describe la posibilidad de que una perturbación de los activos cibernéticos que soportan a las IC tenga importantes impactos negativos en el funcionamiento de éstas, así como en la provisión de los respectivos servicios esenciales que soportan” (Jason Kopylec, 2007). Así pues, la ciberdependencia expresa la exposición de las infraestructuras y servicios esenciales a los avatares del ciberespacio. Las TIC de las IC fueron diseñadas en su origen primando los criterios de funcionalidad, pero se han visto sometidas a importantes alteraciones en su concepto de operación, de modo que se han introducido cambios en las tecnologías, arquitecturas y entornos de trabajo que han ido más allá de los requisitos de seguridad para los que habían sido diseñadas originalmente. Seguramente, el cambio más importante ha sido el de interconectar las TIC de las IC con redes abiertas, como Internet, para ganar en interoperabilidad y reducir costes, lo que ha supuesto un gran impacto en su seguridad (Pastor, 2013). 5.3. Respuestas a las ciberamenazas En el primer apartado del presente capítulo hemos hablado del riesgo como consustancial a la era informacional. Pero ¿qué es el riesgo sino un constructo que evoluciona y que en su dinamismo demanda herramientas para su gestión proactiva? Sánchez de Rojas encuentra tales herramientas en la información y en la formación, o desde otra perspectiva, en el conocimiento y la comunicación (Rojas, 2013).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
76
5.3.1. Principales actividades de ciberdefensa en el ámbito de la OTAN La OTAN le ha tomado el pulso a la situación a raíz del Concepto Estratégico de 2010. Ese año nace la ESCD (Emerging Security Challenges Division), División de Desafíos Emergentes, reconociendo la ciberdefensa como parte central de la misión de garantizar la defensa colectiva. Los aliados también hicieron un compromiso de defensa cibernética en julio de 2016 para mejorar sus defensas cibernéticas, como cuestión prioritaria. Desde entonces, casi todos los aliados han mejorado sus defensas cibernéticas (NATO, 2018). Además, desde el 12 de febrero de 2019 los ciberdefensores de la Alianza tienen una nueva comunidad donde pueden intercambiar información, compartir las mejores prácticas y trabajar juntos en un área de trabajo cifrada con prestaciones seguras de video, voz, chat y recopilación de información (NATO, 2019). Dicha cibercomunidad ha sido auspiciada por la Agencia de Comunicaciones e Información de la OTAN (NCIA), agencia que se proclama como líder en tecnología y en el ámbito ciber y que se atribuye como misión el dirigir el esfuerzo digital de la OTAN (NATO, 2012). Los equipos de respuesta a emergencias informáticas de cinco países ya están conectados a la red comercial protegida de la OTAN: Bélgica, Francia, Países Bajos, Reino Unido y Estados Unidos. El acceso a la red se extenderá a las 29 naciones más adelante este año. El lanzamiento de la comunidad de ciberdefensores es el primer paso hacia la creación de un centro de información para los aliados, denominado Centro de colaboración de seguridad cibernética. Esta iniciativa fue anunciada el año pasado por el secretario general de la OTAN, Jens Stoltenberg, quien dijo que uno de los roles clave de la OTAN en el ciberespacio es “actuar como un centro de intercambio de información, capacitación y experiencia”. Para hacer frente al riesgo, se debe diseñar procesos que, en primer lugar, detecten, analicen, monitoricen y cuantifiquen la amenaza. En segundo lugar, estrategias que prevengan, minimicen y respondan ante tales amenazas. El DoD de EEUU define el ya tan oído “Computer Network Defence” (CND) como “acciones tomadas para proteger, monitorear, analizar, detectar y responder a actividades no autorizadas dentro de los sistemas de información y redes de computadoras del Departamento de Defensa”. Este concepto en su sentido más amplio envuelve los dos componentes de los que hemos hablado a lo largo del trabajo, el denominado Computer Network Exploitation (CNE) y el Computer Network Attack (CNA). A su vez hay que señalar que tales conceptos se
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
77
asientan en el de Computer Network Operation (CNO), término que tiene su aplicación tanto en el ámbito militar como en el civil debido al empleo de las mismas tácticas y equipamiento. En tercer lugar, es interesante la evaluación de las capacidades de gestión y respuesta ante estos nuevos retos, así como el entrenamiento de los que han de constituirse en ciberdefensores y entre ellos la PN. Desde la OTAN se avanza en dicha dirección. El principal ejercicio de defensa cibernética de la OTAN, Cyber Coalition, uno de los más grandes del mundo, se inaguró el 27 de noviembre de 2018 en Tartu, Estonia. El ejercicio pone a prueba y capacita a los defensores cibernéticos de toda la Alianza en su capacidad para defender a la OTAN y las redes nacionales. Ahora en su undécimo año, Cyber Coalition cuenta con alrededor de 700 participantes de Aliados, socios, la industria y el mundo académico. Las ciberamenazas son cada vez más frecuentes, complejas y destructivas. Un ciberataque contra un Aliado puede afectarnos a todos. Es por eso que el fortalecimiento de la defensa cibernética es una de las principales prioridades, y los ejercicios como la Coalición Cibernética son esenciales para desarrollarla con un nuevo Centro de Operaciones del Ciberespacio y la capacidad de aprovechar las capacidades cibernéticas de los Aliados en las misiones y operaciones de la OTAN. Todos estos pasos ayudarán a que la OTAN sea tan fuerte en el ciberespacio como en tierra, mar y aire (NATO, 2018). 5.3.2. Estrategias regionales En EEUU se crea en 2009 US Cyber Command (CYBERCOM) por el Departamento de Defensa y en 2011 queda publicada su Estrategia en materia de ciberdefensa y ciberguerra. En el ámbito europeo, se aprobó en 2003 la Estrategia Europea de Seguridad (UE, 2009). En 2004 se creó la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), la cual respaldó el primer ejercicio transeuropeo de Seguridad Informática, el “Cyber Europe 2010”. En 2013 se aprobó la Estrategia de Ciberseguridad de la Unión Europea, documento que se complementa con la Directiva NIS, Directiva UE 2016/1148 del Parlamente Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión. La transposición al ordenamiento jurídico español la ha realizado el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (CCNCERT, 2018). En 2017 la Comisión aprobó la CyberSecurity Act y pretende empoderar
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
78
a ENISA como Agencia Europea de Ciberseguridad (Colom, ENISA: el reto de convertirse en la Agencia Europea de Ciberseguridad, 2019). En el seno de ENISA se elaboró una Guía de Buenas Prácticas en Estrategias Nacionales de Ciberseguridad, tras lo cual países como Reino Unido han procedido a publicar sus propias Estrategias. Del mismo modo que lo han hecho diversos Estados de la Organización de Estados Americanos (OEA) como Colombia. Tal escenario evidenció la necesidad de diseñar una Estrategia de Ciberseguridad Nacional integrada en la Estrategia de Seguridad Nacional (Presidencia del Gobierno, 2017). El documento se aprueba en 2013 dejando definido un marco de coordinación de la política de seguridad, los principios, objetivos y líneas de acción, así como la estructura orgánica del sistema (Presidencia del Gobierno, 2013). 5.3.3. Estrategia española El marco institucional se basa en la coordinación de una serie de actores:
2 Consejo Nacional de Ciberseguridad (Presidencia del Gobierno, 2017)
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
79
El Consejo Nacional de Ciberseguridad (CNCS), presidido por el Secretario de Estado Director del Centro Nacional de Inteligencia (CNI) y Director del Centro Criptológico Nacional (CCN), configurándose como órgano de apoyo al Consejo de Seguridad Nacional y se diseña una estructura centralizada y bien definida en la que queda definido por un lado las autoridades competentes y los CSIRT (Computer Security Incident Response Team) de referencia y por otra parte, la cooperación púbico-privada El INCIBE: Instituto Nacional de Ciberseguridad. Dependiente del Ministerio de Economía y Empresa. Tiene como misión el desarrollo de la ciberseguridad y la confianza digital de los ciudadanos, la red académica y la investigación y las empresas españolas. El CERTSI (CERT de Seguridad e Industria) es el centro de respuesta, análisis, diseño de medidas preventivas y de ciberresiliencia del INCIBE. El CCN-CERT que es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español(CCN-CERT, 2018), le compete el Sector Público local, autonómico y local.
Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC). Cuyo ámbito se circunscribe a las infraestructuras críticas y operadores críticos
Mando Conjunto de Ciberdefensa. Es el órgano de la estructura operativa, subordinado al Jefe de Estado Mayor de la Defensa (JEMAD), con competencia en las redes y sistemas de información y telecomunicaciones de las FFAA, así como las que le encomienden y afecten a la Defensa Nacional.
Brigada Central de Investigación Tecnológica, que actúa como Centro de Prevención y Respuesta E-Crime de la Policía Nacional. Es la Unidad encargada de la investigación y persecución de las actividades delictivas relacionadas con las TIC y el ciberdelito de ámbito nacional e internacional .
Departamento de Seguridad Nacional (DSN). Es el órgano asesor del presidente del Gobierno en materia de Seguridad Nacional.
15 Actores de la ciberseguridad (elaboración propia)
16 Actores en la Ciberseguridad Nacional (Presidencia del Gobierno, 2017)
Es destacable que España se configura como el primer país de la UE que diseña una Guía Nacional de Notificación y Gestión de Ciberincidentes, elaborado por el Ministerio del Interior a través del CNPIC. Proporciona las directrices para reportar incidentes, los
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
80
cuales clasifica en 38 tipos, y un marco único de notificación, mediante una ventanilla única (CNCS, 2019).
3 Flujograma del sistema de ventanilla única
5.4. ¿Cuál es el objeto directo de la protección? De la definición de CND dada por el Departamento de Defensa de EEUU, comentada más arriba, se deduce que dicha defensa incluirá acciones tanto de CNE y CNA (conceptos ya reseñados). Para tratar la cuestión de la respuesta a los ciberataques, es útil detenernos a examinar qué es lo que estamos defendiendo. En un sentido muy general, nos preocupa la protección de la información de una forma u otra (Winterfeld, 2013). La información sensible, a los ojos del público en general, a menudo se clasifica como Información Personal, conocido como Personally Identifiable Information (PII) o por ejemplo, Información Médica del Paciente, Protected Healthcare Information (PHI), e incluye nombres, direcciones, números de seguridad social, registros médicos, registros financieros y una multitud de información similar. La obtención de dicha información puede llevar a una variedad de actividades fraudulentas, comúnmente reunidas bajo el término general de robo de identidad. Dichas actividades pueden abarcar desde cuentas de crédito que se abren con credenciales robadas, hasta el robo de fondos de cuentas bancarias. En el mundo del ejército y del gobierno, la información de naturaleza sensible que se expone puede tener consecuencias mucho mayores que la mera pérdida financiera. La información se clasifica en Unclassified (U), Unclassified For Official Use Only (U //
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
81
FOUO), Confidential (C), Secret (S) y Top Secret (TS). También puede haber espacios especiales por encima de TS. Se les conoce como Información Sensible, Sensitive Compartmented Information (SCI) o Programa de Acceso Especial, Special Access Programm (SAP). La información manejada a nivel estatal puede incluir planes operativos, planes bélicos, movimientos de tropas, especificaciones técnicas para armas o sistemas de recolección de inteligencia, identidades de agentes encubiertos y cualquier otro elemento crítico para el funcionamiento del gobierno, FFAA y FFCCS. Cuando se accede a dicha información de manera no autorizada, se pueden perder vidas a gran escala y el equilibrio de poder se puede cambiar significativamente. No se puede obviar asimismo que debe preocupar la agregación de datos (compilación de información tomada de base de datos, con el objetivo de preparar conjuntos de datos combinados para el procesamiento de datos), ya que los documentos clasificados a bajo nivel cuando se combinan pueden producir información que debería estar en un nivel más alto de confidencialidad. 5.4.1. Confidencialidad, Integridad y disponibilidad Las medidas que se adoptan en aras a proteger nuestros activos de información se pueden describir en términos de la tríada clásica de confidencialidad, integridad y disponibilidad. No obstante, existe una alternativa menos conocida, denominada como el Hexad de Parker (Parkerian hexad) desarrollada por Donn Parker, que divide los mismos conceptos generales en las categorías de confidencialidad, posesión, integridad, autenticidad, disponibilidad y utilidad, permitiendo una discusión 4 CIA triad (Winterfeld, 2013)
más detallada de los conceptos de seguridad
relevantes en una situación dada. La confidencialidad se refiere a asegurar que los datos quedan fuera del alcance de aquellos no autorizados para su acceso. La integridad de los datos se refiere a evitar modificaciones no autorizadas a datos o funciones del sistema. La disponibilidad de datos se refiere a poder acceder a ellos cuando sea necesario. Estos principios básicos rigen la forma en que se manejan los datos que nos conciernen. Esto a menudo significa controles de acceso y cifrado para proporcionar tales
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
82
protecciones. Al aplicar estas medidas, debemos considerar tanto los datos en reposo como los datos en movimiento. Dependiendo de dónde se encuentren los datos en un momento dado, es posible que debamos usar diferentes controles de seguridad o diferentes métodos dentro de un control dado. Podemos ver los efectos de las fallas de confidencialidad con las grandes violaciones de PII que parecen ocurrir con demasiada frecuencia en los últimos tiempos. Como la violación de datos de más de 3.000 millones de cuentas de Yahoo en 2013. Podemos usar el cifrado para ayudar a proporcionar integridad haciendo que los datos sean difíciles de manipular con éxito sin la autorización adecuada. En particular, los hashes o los resúmenes de mensajes, como MD5 y SHA1, se utilizan a menudo para garantizar que los mensajes o archivos no se hayan alterado del original al crear una huella digital de los datos originales que pueden ser rastreados en el tiempo. Las fallas en la integridad pueden tener efectos graves si no somos conscientes de que han ocurrido, ya que los datos en forma de comunicaciones o archivos pueden modificarse libremente para revertir su significado o para alterar el resultado de las decisiones basadas en los datos en cuestión. La disponibilidad de datos simplemente significa que podemos acceder a ellos cuando necesitamos hacerlo. Asegurar la disponibilidad significa que debemos ser resilientes frente a los ataques que podrían dañar o eliminar nuestros datos o negarnos el acceso a ellos atacando el entorno en el que se encuentran. También significa que debemos tener un entorno lo suficientemente sólido para hacer frente a las interrupciones del sistema, los problemas de comunicación, los problemas de alimentación y cualquier número de problemas que puedan impedirnos acceder a nuestros datos. La disponibilidad a menudo se logra mediante el uso de copias de seguridad para nuestros datos y nuestros entornos. 5.4.2. Autenticación, autorización y auditoría Los principios más importantes que se ofrecen de manera preventiva para tratar de materializar la seguridad de los datos son la autenticación, la autorización y la auditoría. Lo que se conoce comúnmente como AAA. Estos son los medios a través de los cuales podemos controlar y rastrear cómo se accede a nuestros datos, y por quién, lo que nos permite aplicar las políticas que hemos creado para mantener la seguridad de los datos. La autenticación es el medio por el cual verificamos la identidad de un individuo o sistema contra un conjunto de credenciales presentadas. Una implementación muy común de un esquema de autenticación es la combinación de inicio de sesión y contraseña. En este caso
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
83
particular, el nombre de inicio de sesión del usuario es la identidad presentada, y se verifica contra una forma almacenada de la contraseña que el usuario ha dado. Una implementación común de la autenticación utilizada por el Departamento de Defensa de EEUU es la Tarjeta de Acceso Común, Common Access Card (CAC). El CAC tiene áreas de almacenamiento que se pueden usar para almacenar credenciales, como un certificado, y también se puede usar con formas de autenticación adicionales, como un Número de Identificación Personal (PIN). Lo que en España se ha implementado como los certificados electrónicos del DNI 3.0. Otros tokens basados en hardware ahora también son de uso común, uno de los más conocidos es el RSA SecurID. Una de las claves principales para el futuro de la autenticación es el uso de identificadores biométricos, tales como huellas digitales, reconocimiento del iris, IRIS (Iris Recognition Immigration System), y otras herramientas basadas en atributos físicos. Dichos identificadores son ubicuos, portátiles y difíciles de falsificar; por tanto, sistemas de autenticación diseñados adecuadamente. Una vez autenticada una identidad, podemos verificar qué actividades puede realizar esa identidad en particular, lo que se conoce como autorización. La auditoría ofrece la capacidad de controlar qué actividades se han llevado a cabo en un sistema determinado o en un entorno. Si bien la autenticación y la autorización permite controlar y establecer límites en el acceso de los usuarios a los activos, también se debe mantener un registro de lo que estas personas autorizadas han hecho. Esto permite equilibrar adecuadamente las cargas del sistema y de la red, así como monitorear las actividades autorizadas pero inapropiadas o no deseadas. 5.4.3. Conciencia y formación cibernética. Hemos hecho mención a cómo Sánchez de Rojas destaca el conocimiento y la formación como herramientas para hacer frente a las amenazas. Información, conciencia y formación del eslabón más débil de la cadena de vulnerabilidades cibernéticas, las personas (Rojas, 2013). Con la mayoría del resto de problemas de seguridad, se puede aplicar un parche, cambiar una configuración o instalar una infraestructura de seguridad adicional para solucionar el problema. Con la gente, lamentablemente no se puede hacer esto. Las personas pueden ser perezosas, descuidadas o simplemente cometer errores no intencionados, menoscabando las medidas de seguridad cuidadosamente planificadas desde el interior y dejando la puerta abierta al ataque. Si bien se puede intentar aplicar medidas técnicas para evitar que se lleve a cabo una actividad dañina, y se puede crear
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
84
políticas que indiquen claramente el comportamiento correcto e incorrecto, tales medidas no servirán de nada si no se imbuye en las personas una dosis de conciencia con respecto a los problemas de seguridad, y se les capacita en comportamientos adecuados que les mantengan, tanto a ellos como a la organización en la que operan, en el mejor nivel de seguridad posible. El concepto de Security Awareness, conciencia de seguridad, puede no ser un constructo evidente para aquellos que carecen de una cierta familiaridad con los conceptos básicos. Bruce Schneier (2008) afirmó que: La seguridad requiere una mentalidad particular. Los profesionales de la seguridad, al menos los buenos, ven el mundo de manera diferente. No pueden entrar a una tienda sin darse cuenta de cómo podrían robar. No pueden usar un ordenador sin saber sobre estas vulnerabilidades de seguridad. No pueden dejar de intentar averiguar cómo votar dos veces. Simplemente no pueden evitarlo. Esta mentalidad consciente de la seguridad no sólo es crucial para los profesionales de la seguridad, los administradores de sistemas, los ingenieros de redes y otros empleados en los campos técnicos, sino que también es importante para los secretarios, médicos y maestros, soldados, desempleados, es decir, cualquier persona que mande información que de alguna manera podría considerarse importante o sensible. Evaluar qué datos pueden o no ser sensibles, y en qué situaciones se debe tomar consciencia de las implicaciones de seguridad de nuestras acciones es una función de conciencia de seguridad, y también debe enseñarse. Para ilustrar las consecuencias de tales fallas tanto de juicio como de mentalidad, solo necesitamos observar las brechas de seguridad diarias que aparecen en los medios de comunicación. Si bien se pueden implementar medidas técnicas de seguridad para ayudar a prevenir este tipo de eventos, mientras se siga fallando en el aspecto de la conciencia de seguridad, continuaremos teniendo estos problemas. Cuando se intenta enseñar estos conceptos a los usuarios, el punto principal es simple: intente pensar como un atacante. En cualquier situación dada, ya sea un correo electrónico de suplantación de identidad (phishing), un ataque de ingeniería social, una violación de la política o la mayoría de los problemas con los que se pueda uno enfrentar, dicha máxima generalmente nos mantendrá dentro de los parámetros de seguridad.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
85
La capacitación debe dar como resultado que los cambios en la actitud y el comportamiento sean efectivos. Al impartir capacitación a los miembros más técnicos de una organización, como administradores de sistemas, ingenieros
de redes,
desarrolladores, personal de seguridad y demás, aunque sea importante seguir los principios básicos de un programa de capacitación en seguridad, es necesario componer capacitación adicional para abordar los aspectos específicos de dichas categorías de especialización. Para los administradores de sistemas e ingenieros de redes se tendrá que abordar la seguridad de los sistemas operativos y la infraestructura de red, para los desarrolladores será necesario tratar las normas y prácticas de codificación seguras, y para el personal de seguridad es necesario que tomen conciencia de las prácticas de seguridad de la organización, tanto interna como externa. 5.5. Defensa contra los ciberataques Cuando se defienden ciberataques, muchos de los pasos que se van a realizar son de naturaleza proactiva e implican el fortalecimiento de los entornos y el seguimiento de las actividades que se llevan a cabo en ellos. Ésta es una declaración fácil de hacer, y es relativamente simple de lograr en un entorno de red de tamaño pequeño o mediano, como lo que se puede encontrar en una empresa o corporación. Cuando se trata de realizar tales actividades en un entorno más grande, cuando se opera a escala global, ésta se convierte en una posibilidad considerablemente más difícil. En la actualidad se están desarrollando estrategias en un intento por monitorear y abordar los ataques cibernéticos a gran escala, pero aún está en fase embrionaria. Actualmente, gran parte del esfuerzo que se está realizando en la CND es en las áreas de políticas públicas y su cumplimiento, particularmente en los círculos gubernamentales. En julio de 2012, el presidente Obama firmó una orden ejecutiva que muchos dicen que constituye, entre otras cosas, el interruptor de Internet discutido durante mucho tiempo para los Estados Unidos. Ante la amenaza de un ataque a una infraestructura crítica, se dice que una medida de este tipo pudiese ser preferible a la potencial destrucción y pérdida de vidas humanas que puede derivarse de un ataque a un sistema SCADA (Supervisory Control and Data Acquisition) y los entornos que controlan. No obstante, no es una
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
86
solución ideal y probablemente sería extremadamente difícil de llevar a cabo. Así pues, aunque no es necesariamente un plan confiable, este es un buen indicador del estado actual de toda la CND. 5.5.1. Política y cumplimiento Una de las claves principales para el éxito de la defensa recae en el área de la política de seguridad. A través del uso de políticas, podemos establecer las expectativas para aquellos que desarrollan y utilizan los entornos que esperamos mantengan seguros. La política de seguridad define el comportamiento de nuestros usuarios, la configuración de nuestro software, sistemas y redes, y otros innumerables elementos. En última instancia, nuestras políticas de seguridad definen lo que queremos decir exactamente cuando decimos que algo es seguro. Además, es importante tener en cuenta que la política implementada sin la autoridad adecuada para hacerla cumplir es completamente inútil y, a menudo, se ignora. Además de la adecuación a lo largo de la política, hemos tenido que asegurarnos de que la política se sigue, esto se hace a través de instancias que obliguen al cumplimiento. 5.5.2. Detección y prevención de intrusiones La detección y la prevención de intrusiones a escala nacional es una perspectiva difícil. En la actualidad, las redes que conforman Internet no están segmentadas a lo largo de las fronteras nacionales, en su mayor parte. Además, contamos con una amplia variedad de medios que se pueden usar para transportar comunicaciones de red, incluidos: cables de cobre y fibra óptica, comunicaciones por satélite, redes inalámbricas diseñadas específicamente para este fin, paquetes Radio, y un sin número de otros medios. Esta falta de segmentación de la red a lo largo de las fronteras físicas y la amplia variedad de métodos de comunicación hacen de IDS/IPS (Intrusion Detection Systems/Intrusion Prevention System) una posibilidad técnicamente difícil de implementar. Existen dos estrategias principales para lograr la detección y/o prevención de intrusiones en esta escala; podemos estructurar redes para proporcionar un número limitado de conexiones fuera del área que deseamos proteger y monitorear, o implementar IDS / IPS distribuidos de forma masiva; cualquiera de los métodos tiene sus problemas inherentes. Reestructurar nuestras redes para proporcionar solo unos pocos puntos de choque es sin duda la ruta más limpia a tomar, y puede ser viable cuando se crean nuevas redes, pero es
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
87
probable que sea prohibitivo para las redes existentes. Del mismo modo, es probable que el IDS / IPS distribuido de forma masiva, aunque tenga la ventaja de no requerir que modifiquemos nuestras redes, pierda parte del tráfico que entra y sale de dichas redes. En cualquier caso, en la actualidad, es probable que la realización de tales operaciones resulte difícil en una variedad de formas. 5.5.3. Evaluación de vulnerabilidad y pruebas de penetración La evaluación de vulnerabilidades y las pruebas de penetración son dos de las herramientas principales de CND. Estos métodos nos permiten descubrir las debilidades en nuestros sistemas y redes que les permiten a los atacantes realizar reconocimientos y vigilancia, obtener asistencia u otros ataques. La evaluación de vulnerabilidades y las pruebas de penetración son solo algunos aspectos de algo que se llama Red Team Assessment. Red teaming es utilizado tanto por el gobierno como por entidades comerciales por igual. La evaluación de vulnerabilidad nos permite, en general, utilizar herramientas de escaneo, para descubrir vulnerabilidades en la superficie de nuestros sistemas. Por lo general, dichas evaluaciones involucran todo el proceso de registro de datos de su sistema y el análisis de las vulnerabilidades en cada una. Si bien esto puede exponer algunos de los medios de entrada que pueden usar los atacantes, no es una imagen completa de cómo nuestros sistemas podrían ser vulnerables. Para obtener una imagen más completa de los agujeros en nuestros sistemas, debemos ser mucho más exhaustivos en nuestros esfuerzos y realizar pruebas de penetración. La prueba de penetración, cuando se realiza de manera apropiada, puede ser muy importante para reflejar las actividades de un atacante que intenta comprometer nuestro medio. La prueba de penetración se puede realizar desde una perspectiva de caja blanca, en la que se nos proporciona información sobre el entorno a atacar, o se puede hacer desde una perspectiva de caja negra, en la que no tenemos información adicional que normalmente tendría un atacante. Se pueden presentar muchos argumentos a favor de cada enfoque, pero en general las pruebas de caja blanca son menos costosas y las pruebas de caja negra representan más de cerca un ataque externo. También podemos desear considerar elementos adicionales en nuestros esfuerzos de pruebas de penetración, como la ingeniería social. Uno de los peligros en la planificación y en la confianza en los resultados de la penetración Las pruebas son para asegurar que las pruebas no se vean obstaculizadas hasta el punto de no ser útiles. Si aplicamos
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
88
restricciones a nuestras pruebas de penetración para que no se permita que afecte a ataques específicos, entornos o incluso el sistema legal, entonces ya no estamos logrando el objetivo de utilizar los mismos métodos que utilizarán los posibles atacantes. Dichas restricciones son demasiado comunes en los escenarios de prueba de penetración y no solo pueden inutilizar nuestros esfuerzos, sino que también pueden proporcionarnos una falsa sensación de seguridad. 5.5.4. Planificación de la recuperación de desastres La planificación de recuperación ante desastres (DRP), como medida defensiva, puede permitirnos resistir o recuperarnos de los ataques, interrupciones y desastres que no pudimos prevenir directamente. Dichas medidas se logran habitualmente mediante el uso de copias de seguridad de nuestros datos y mediante el uso de diversos grados de sistemas e infraestructura redundantes. 5.5.5. Defensa en profundidad Uno de los principios más importantes de una estrategia defensiva exitosa es la defensa en profundidad. La defensa en profundidad propone un enfoque de seguridad en capas. En particular, puede usar defensas en el nivel de red, el nivel del servidor, el nivel de la aplicación y el nivel de datos. Podríamos 5 Defensa en profundidad (Winterfeld, 2013)
tener, como ejemplo, firewalls e IDS / IPS a
nivel de red, firewalls de software y herramientas antimalware a nivel de host, controles de acceso a nivel de aplicación y cifrado a nivel de datos. Además, la capacitación sobre concienciación del usuario sobre seguridad, así como las capas de seguridad física como el control de acceso con distintivo, los puntos de control y las guardas, podrían integrarse fácilmente en nuestras capas de seguridad. En el centro de todas estas capas de defensa se encuentra nuestra información crítica. Las capas y las medidas de seguridad en cada capa pueden variar según el entorno en cuestión, pero los principios básicos seguirán siendo los mismos (Winterfeld, 2013).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
89
6. EXIGENCIAS PARA LAS FFCCSE. EL PAPEL DE LA POLICÍA NACIONAL 6.1. Necesidad de un cambio de paradigma Incluso para organizaciones, empresas y gobiernos, un ciberataque no deja de ser personal. En su esencia, consiste en el despojo a estos establecimientos y empleados que son atacados, de sus identidades, propiedad intelectual, privacidad, reputación y activos monetarios. ¿Y no son dichas actividades, conductas tipificadas en el Código Penal cuya violación nos impele a responder como PN? Ya no es suficiente con un Plan Estratégico que tenga como visión la lucha contra el ciberdelito. Es necesario comprender el escenario de Guerra Total en el que nos hallamos, que involucra a personas, empresas, administraciones, instituciones y gobiernos. Estamos siendo testigos de una carrera armamentística cibernética. Según el Informe de amenazas cibernéticas de SonicWall, los ataques de ransomware han crecido un 11%; los ataques a aplicaciones web lo han hecho un 56 %; y los de internet de las cosas se dispararon un 217,5% en 2018 (Conner, 2019). Y pese a que, en este conflicto híbrido, se explotan las debilidades del mundo estratificado y westfaliano, por el mundo anárquico de los actores excluidos de dicho sistema, al final, las víctimas son siempre humanas. Ya sea como directores de grandes empresas, propietarios de negocios que han sido extorsionados, o simplemente un único contacto inocente en un volcado de datos masivo en la dark web. Como ha quedado retratado a lo largo del trabajo, se puede hablar de una realidad bajo la dinámica de “dos mundos de la política” (Rosenau, 1990), dos fuerzas centrífugas con concepciones contrapuestas respecto a la forma de hacer política, intereses contrapuestos y narrativas fagocitadoras. En este sistema, el recurso a la guerra para lidiar con los pulsos internacionales también presenta su dinámica contradictoria entre, por un lado, las potencias emergentes, Estados fallidos, Estados antioccidentales, etc., donde prolifera este recurso en sus manifestaciones convencionales y no convencionales; y por otro, el mundo occidental. Nuestra sociedad occidental ha dejado de concebir el uso de la fuerza como forma de hacer política, incluso rechaza la amenaza del empleo de la fuerza para defender los intereses o la soberanía nacional (Colom, La revolución militar posindustrial, 2014).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
90
El escrutinio público condena el enfrentamiento armado y pone de manifiesto la incapacidad de los ejércitos posindustriales de resolver el conflicto de forma satisfactoria (Kaldor, 1998). La crisis del modelo militar contemporáneo que ha conducido a un nuevo paradigma vía la Revolución en los Asuntos Militares (Colom, 2013) no pretende ser analizado por el presente trabajo; no obstante, evidencia los cambios sociopolíticos de la sociedad posmoderna, que reducen la capacidad de maniobra de gobiernos cada vez más sujetos al control público. La opinión y escrutinio público doméstico, el temor a los daños colaterales de las operaciones militares, a las propias bajas, la obsesión por los efectos electorales y políticos del empleo de las Fuerzas Armadas presiona para relegar a “los ejércitos a labores humanitarias y gestión de crisis” (Colom, 2014). Por otro lado, el sometimiento a unos usos y costumbres de la guerra restrictivos y anacrónicos, la exigencia de restringir su alcance, impacto y duración, la renuencia a usar fuerzas terrestres en operaciones o la necesidad de emplear la fuerza de manera limitada y restrictiva son otros elementos que pueden ser explotados por los actores que se enfrentan contra un ejército occidental (Colom, 2019, pág. 13). Es por todo ello que la gestión de las nuevas amenazas en el contexto de la Guerra Híbrida ha dejado de ser monopolio del Ministerio de Defensa. El Ministerio del Interior ha de asumir su papel en el tablero de la Seguridad Global, haciendo uso de las Fuerzas y Cuerpos de Seguridad del Estado e invirtiendo recursos en la capacitación para la ciberguerra de lo que son las instituciones mejor valoradas por los ciudadanos españoles (Lucas-Torres, 2019). Así pues, en atención al “objetivo global” de la Estrategia Nacional de Ciberseguridad, que impone el “lograr que España haga un uso seguro
de
los
Sistemas
de
Información y Telecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección, y 17 Valoración de las principales Instituciones (LucasTorres, 2019)
respuesta
a
los
ciberataques”
(Presidencia del Gobierno, 2013),
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
91
hay que potenciar el papel de las FFCCSE y de la Secretaría de Estado de Seguridad en el Consejo de Seguridad Nacional. Desarrollar instrucciones de prevención y detección de incidentes de ciberseguridad y potenciar las capacidades de inteligencia para ejercer la respuesta oportuna, legítima y proporcionada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional, como marca la Estrategia de Ciberseguridad Nacional, en el ámbito de la Policía Nacional sin ceñirnos únicamente al ámbito de las IC. Asimismo, destaca la ECS como otra de las líneas de acción, el “fortalecer la cooperación policial internacional y fomentar la colaboración ciudadana, articulando los instrumentos de intercambio y transmisión de información de interés policial”. Del mismo modo, la Policía Nacional debe entender la necesidad de abrazar el imperativo que recoge la ECS de desarrollar la captación de talento en su sistema de ingreso y ascenso al cuerpo y la investigación avanzada en su plan de formación, capacitación en ciberseguridad en cooperación con Universidades y centros especializados. Por último, se debe impulsar sistemas, modelos, técnicas y tácticas para el análisis y detección de las ciberamenazas (Presidencia del Gobierno, 2013). 6.2. Sistemas, modelos, técnicas y tácticas para el análisis y detección de las ciberamenazas a desarrollar por la Policía Nacional “Information and Intelligence” is the “Fire and Maneuver” of the 21st Century. Mayor General Michael Flynn (Bautista, 2018). Tener la capacidad de recopilar información sobre un adversario ha sido un objetivo en el arte de la guerra durante siglos. Para entender cómo aplicar la Inteligencia en nuestras operaciones como fuerzas de seguridad, debemos entender qué es la Inteligencia. El Comisario de la Comisaría General de la Información, D. Ángel Marcos Montes, daba comienzo a una conferencia en la ENP, transmitiendo a los futuros Inspectores de la Promoción XXXI que “a diferencia de los cuerpos policiales de otros países que no pueden serlo, la Policía Nacional es Servicio de Inteligencia. Desde el área de Información se hacen Operaciones de Inteligencia”. La Inteligencia no es otra cosa que el conjunto de actividades encaminadas a satisfacer las necesidades de conocimiento del jefe, superiores y del gobierno, relativas al entorno
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
92
operativo y enemigo, necesarias para: identificar amenazas/oportunidades, planeamiento, conducción de operaciones y apoyar la toma de decisiones. Dentro de esta disciplina se desarrolla la ciberinteligencia, que consiste en la adquisición de conocimiento sobre un escenario, sus condiciones y capacidades, para determinar las posibles acciones de explotación de sus vulnerabilidades críticas inherentes. La misma utiliza múltiples disciplinas de seguridad de la información (inteligencia de amenazas, administración de vulnerabilidades, administración de configuración de seguridad, respuesta a incidentes, etc.) y conjuntos de herramientas para recopilar información sobre la red a través de monitoreo e informes para permitir que los tomadores de decisiones en todos los niveles prioricen la mitigación de riesgos (Bautista, 2018). Podemos distinguir distintos tipos de Inteligencia: -
HUMINT, human intelligence: obtención de información a través de fuentes
humanas: espionajes, interrogatorios, seguimientos y vigilancias. -
IMINT, image intelligence: información técnica, geográfica y derivados de la
interpretación o análisis de imágenes y materiales colaterales: fotos de reconocimiento aéreo, imágenes satelitales. -
SIGINT, signals intelligence.
-
COMINT, communications intelligence.
-
ELINT, electronic intelligence.
-
TECHINT, technical intelligence
-
MEDINT, medical intelligence
-
OSINT, open source intelligence: una de las principales herramientas, puesto que
casi el 70% de la información de un servicio de inteligencia proviene de fuentes abiertas (Rodriguez, 2019). El dominio de esta herramienta por parte de la Policía Nacional es una ventaja estratégica carente de peligros si se implementa correctamente y es relativamente rápida. La comunidad de inteligencia israelí diferencia como disciplina dentro de OSINT, la búsqueda en fuentes abiertas de Internet, “Web Intelligence” (WEBINT) y dividen la estrategia en cuatro fases: Plantearse la pregunta correcta (elegir el objetivo e identificarlo), planificación de la obtención, recolección y análisis. En la fase final se fusiona la información, se emplea herramientas analíticas (nivel de riesgo/indicadores) para diseñar hipótesis o escenarios alternativos y se definen los pasos futuros.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
93
El ciclo de inteligencia español consta de cuatro fases (dirección, obtención, elaboración y difusión) y se basa en los estudios de Sherman Kent (Ibáñez, 2019), diseñado como “proceso” tras la IIGM. Es por ello que debemos adaptarnos a un ciclo de inteligencia moderno, basado en el trabajo en “red” y colaborativo. El analista dirige el proceso, ofrece un producto final y se retroalimenta vía una suma de feedbacks, más que basarse en una dinámica jerarquizada, por lo que la estructura de la Policía Nacional se ajusta más a las exigencias del tipo de análisis moderno que las FFAA. Prevenir y reaccionar a los ataques en el ciberespacio implica un complejo y cambiante entorno de factores, que requieren una arquitectura flexible para análisis avanzados, consultas y visualización de grafos (Noel, 2015). El objetivo ha de ser la evaluación de la amenaza y la vulnerabilidad para implementar posteriormente las operaciones defensivas o represivas necesarias. Y dado que el escenario en el que se ha de operar es del tipo de redes complejas, la PN ha de especializarse en procesos de análisis de redes y en técnicas de la teoría de grafos para cuantificar la vulnerabilidad, resiliencia, robustez o fallos y predisposición al ataque. Las técnicas de la teoría de grafos permiten simular escenarios reales, representarlos y analizarlos (Goulter, 1989). Asimismo, son herramientas necesarias en la metodología de la investigación del ciberataque las siguientes: OBTENCIÓN • Maltego • Plugins navegador • Tinfoleaks • Thehardvester
ANÁLISIS DE METADATOS • FOCA • Exiftools
SEGURIDAD • Truecrypt • Keepass2
ANÁLISIS
CAPTURAS
• ACH softwarw • Gephy • NodeXL • Elastic Stack
• https://app.prnt scr.com/es/
VIRTUALIZA CIÓN • Vmware • VirtualBox
18 Herramientas de ciberinteligencia (elaboración propia)
Como recursos web, resultan de consulta obligada y una referencia en lo que respecta a la obtención: http://osintframework.com y https://inteltechniques.com. Una herramienta destacable para el análisis, la visualización y la gestión del conocimiento de la guerra cibernética es CyGraph. Dicha herramienta reúne datos y eventos aislados en una imagen global continua para el apoyo a la toma de decisiones y el conocimiento de la situación. Por lo que convierte la información de ciberseguridad en conocimiento. Da prioridad a las vulnerabilidades expuestas, asignadas a amenazas potenciales, en el contexto de activos de misión crítica. Frente a los ataques reales, correlaciona las alertas de intrusión con las rutas de vulnerabilidad conocidas y sugiere las mejores líneas de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
94
acción para responder a los ataques. Para los análisis forenses posteriores al ataque, muestra rutas vulnerables que justifican una inspección más profunda (Noel, 2015). Un enfoque integral para el análisis de los impactos de los ciberataques lo constituye AMICA (Analyzing Mission Impacts of Cyber Actions). AMICA combina el modelado de procesos, la simulación de eventos discretos, modelado de dependencia basado en grafos y visualizaciones dinámicas. Lo que constituye una novedosa convergencia de dos líneas de investigación: el proceso de modelado/simulación y la teoría de grafos en el tratamiento de los ciberataques. AMICA captura los flujos de procesos para las tareas de la misión, así como las tácticas, técnicas y procedimientos (TTP) del atacante y defensor. Los grafos de dependencia de la vulnerabilidad asignan rutas de ataque a la red, y los grafos de dependencia de la misión definen la jerarquía de los requisitos de la misión de alto a bajo nivel asignados a los activos cibernéticos. A través de la simulación del modelo integrado resultante, se cuantifica los impactos en términos de medidas basadas en la misión, para varios escenarios de misión y amenaza. La visualización dinámica de las ejecuciones de simulación proporciona una comprensión más profunda de la dinámica de la guerra cibernética, para el conocimiento de la situación en el contexto de conflictos simulados. Los modelos de proceso AMICA son probabilísticos y ejecutables, apoyado por la simulación de eventos discretos y el análisis estocástico de Monte Carlo. Mediante la simulación de misiones y cibermodelos, podemos evaluar cuantitativamente el impacto de los ciberataques. El análisis de Monte Carlo proporciona distribuciones en múltiples ejecuciones de simulación, para limitar la incertidumbre en los resultados. Para el modelado y simulación de procesos, se aplica el Business Process Modeling Notation (BPMN) estándar de la industria
implementada
en
una
herramienta comercial, iGrafx, que proporciona visualizaciones animadas de ejecuciones de simulación, que muestran los cambios en el estado ambiental durante la interacción de la ciberguerra (Steven Noel, 2015). 6 Ciberataque representado con grafos (Noel, 2015)
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
95
7. CONCLUSIONES 7.1. Respuesta a la hipótesis planteada Abríamos la reflexión que da cuerpo al presente trabajo, haciendo referencia a una de las obras de Fukuyama, “El fin de la Historia”, para remarcar lo lejos que está nuestro escenario geopolítico de ese “fin de la guerra” que se preconizaba tras el agotamiento de la guerra fría. Otras obras sí que se ajustan a la realidad que hemos perfilado a lo largo de los diferentes capítulos, “Un mundo feliz” de Aldous Huxley o “1984” de George Orwell. Puesto que, retomando las subpreguntas planteadas, ¿son las definiciones tradicionales sobre el concepto de guerra aplicable a lo que está pasando en Internet en el presente? Ya podemos responder diciendo que la world wide web (WWW) se ha convertido ahora en un wild wide west, una ciudad sin ley, que se emplea para implementar acciones de Guerra Híbrida, en la que se ha difuminado los límites entre la guerra y la paz, dibujando una sempiterna “zona gris”. Los conflictos no se dirimen ya en los campos de batalla y el nuevo paradigma supera al de Guerra Total y Guerra Asimétrica. Los actores estatales y no estatales buscan derrotar a sus oponentes sin recurrir a la actividad militar directa, extensa o sostenida. Se recurre a operaciones de información, psicológicas y operaciones de desestabilización política. Todo ello mientras somos testigos de una carrera armamentística cibernética y de una escalada de tensiones en el denominado ya quinto dominio, el ciberespacio. Las ciberamenazas suponen el mayor riesgo para la seguridad global, siendo España en 2018 el tercer país que más ciberataques ha recibido (Libertad Digital, 2018). Así pues, los conceptos tradicionales no se ajustan a la nueva realidad, la Guerra Híbrida va a requerir por tanto un nuevo tipo de respuestas igualmente híbridas. Y en todo este escenario los ciudadanos son los más vulnerables. Nuestros derechos y libertades se ven mermados con los sistemas de cibervigilancia global, con los sistemas de rastreo de las empresas convirtiéndonos nosotros en meros productos, no en vano se dice que los datos son “la nueva materia prima del siglo XXI” y, volviendo a Orwell, con ese “Ministerio de la Verdad” que supone las redes sociales con el control que ejercen sobre la información que consumimos y, con ello, sobre la influencia a la que somos sometidos (Gómez Á. , 2019).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
96
Cuando se ataca a organizaciones, empresas y gobiernos, el ciberataque no deja de estar dirigido a las personas, sus identidades, su privacidad, reputación, propiedad intelectual, industrial y otros activos tangibles e intangibles. Todo ello configura conductas tipificadas en el CP frente a las que la Policía Nacional tiene la obligación de actuar. Lo que nos conduce a la siguiente pregunta que nos planteábamos ¿la perspectiva militar sigue siendo la adecuada para enfrentarnos al nuevo statu quo? En la sociedad posmoderna en la que el escrutinio público condena el enfrentamiento armado y el temor político a los efectos electorales que puedan derivarse de operaciones militares ha conducido a una situación de crisis del modelo militar (Colom, 2013). Es por ello que la gestión de las amenazas en el contexto de la Guerra Híbrida debe ser asumida por el Ministerio del Interior en la institución que le corresponde por ámbito competencial, la Policía Nacional. La ciberguerra es una guerra que se libra en las ciudades, que es el verdadero campo de batalla, así como en las infraestructuras críticas y los servicios esenciales. Por ello, la Policía Nacional ha de asumir la responsabilidad que le es propia en el tablero de Seguridad Global. Lo que se está hackeando es la propia persona. Con el terrorismo se empezó a vivir una realidad de “guerra entre la gente” o en los espacios públicos, la ciberguerra se desarrolla ahora dentro de cada uno de nosotros. Afirma Ángel Gómez de Ágreda, representante español en el Centro de Excelencia de Cooperación en Ciberseguridad de la OTAN que “no van a venir a matarte (aunque queda poco también para que eso se pueda hacer por medios informáticos), pero lo que van a hacer es venir a cambiar la forma que tienes de pensar” (Rengel, 2019). Hemos hablado de la necesidad de asumir un nuevo concepto de seguridad global, de seguridad digital y por ello, de la improcedencia de considerar la ciberdefensa como un ámbito aislado. Las nuevas amenazas del ciberespacio desafían la seguridad trasatlántica, los valores democráticos y todo el sistema internacional. Se ha destacado asimismo la complejidad de la atribución de los ataques, de asociar una identidad digital a una identidad criminal, e incluso la dificultad de calificar un ciberataque como acto bélico, ciberespionaje o ciberterrorismo, por lo que la decisión sobre qué instancia nacional debe ser la competente para la prevención y la represión deja de ser obvio. La nueva realidad híbrida de riesgos y amenazas compele a reestructurar las instancias de Defensa, entendiendo ésta en sentido holístico: defensa civil, defensa militar, la protección de las IC y la gestión de crisis.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
97
Analistas del sector gubernamental y agentes del mundo militar y policial de EEUU y de la UE llevan décadas constatando cómo el mundo criminal se estructura como la sociedad en red de la que habla Manuel Castells, del mismo modo que los nuevos riesgos y amenazas. Desde la óptica estática del pasado resultaba difícil tratar con terroristas, delincuentes y fanáticos asociados con milicias y movimientos extremistas, en gran parte debido a que estos antagonistas se estaban organizando en redes extensas, sueltas, “sin líderes”. Es por ello que conceptos de netwar y counternetwar deben de tomarse en consideración, porque tienen el potencial para motivar a los agentes de las fuerzas de seguridad, especialmente a la PN por ser el cuerpo más preparado estructuralmente a nivel grupos de investigación y con experiencia en la lucha contra el cibercrimen, a construir sus propias redes, así como jerarquías híbridas, para tratar con las organizaciones en red, doctrinas y estrategias de sus adversarios en la era de la información (Ronfeldt, 2001). Hemos analizado la situación de ciberguerra desde un punto de vista jurídico, destacando la necesidad de incrementar el esfuerzo normativo a nivel internacional. Para que un elemento disuasivo sea efectivo, el adversario debe comprender las consecuencias de llevar a cabo una acción ofensiva y asumir la credibilidad y la capacidad de la otra parte para imponer las consecuencias. El gobierno de Obama, por ejemplo, no tuvo una estrategia de respuesta claramente definida para la interferencia de Rusia en las elecciones presidenciales de 2016. Finalmente, en los últimos meses de su presidencia, Obama firmó una orden ejecutiva que impone sanciones cibernéticas a Rusia, expulsó a 35 diplomáticos rusos de los Estados Unidos y cerró dos complejos diplomáticos rusos (Croft, 2017). Estas acciones no fueron acordes con la escala del ataque ruso. En su primer año, la administración de Trump tampoco desarrolló una estrategia integral, mientras que el presidente continuó cuestionando el alcance de las actividades rusas. Es probable que el gobierno ruso tampoco supiera qué esperar en respuesta a la desinformación y las operaciones cibernéticas que llevó a cabo. Moscú estaba probando la resolución de los Estados Unidos para responder. La debilidad de la respuesta de los Estados Unidos sin duda ha sido una lección útil para otros estados, China, Irán, Corea del Norte, que buscan socavar las sociedades occidentales. Como primer paso, los gobiernos occidentales deben desarrollar una estrategia de disuasión contra la guerra política con consecuencias claramente definidas para acciones ofensivas específicas. No obstante, una respuesta democrática a la guerra contra Occidente es posible. Tal respuesta debe tomar forma en las siguientes líneas de esfuerzo:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
98
1. Intercambio de información: Las empresas tecnológicas deberían cooperar voluntariamente con las agencias del sector público, en particular con la comunidad de inteligencia, para establecer un sistema de alerta temprana cuando se detectan actividades de desinformación en sus sistemas. Con ese fin, los gobiernos nacionales, la UE y la OTAN deben establecer un interlocutor designado dentro de las agencias de inteligencia como el punto de contacto para recibir y distribuir dicha información, según corresponda. En nuestro caso, debe asumir dicha responsabilidad la PN, como agencia de inteligencia en palabras del Comisario D. Ángel Marcos Montes y como competente en materia de las IC. 2. Responder en el ámbito de la narrativa: trabajar en la capacidad de influencia en el ciberespacio, en una narrativa propia, con las plataformas que cuenta la Policía Nacional, desde sus diversas cuentas en redes sociales. Contrarrestar las distorsiones de las percepciones y de la desinformación desde las campañas y labor de Participación Ciudadana. 3. Colaboración internacional, interministerial y cooperación público-privada: La política, para contrarrestar y disuadir las amenazas futuras debe ser transatlántica en su alcance, orientada hacia el futuro e inherentemente colaborativa. En el cibercrimen, se encuentra a menudo las evidencias fuera de España y su acceso depende de la cooperación del país en cuestión. Requiere un enfoque que implique a la sociedad, los gobiernos, las instituciones multilaterales, la sociedad civil, el sector privado y los ciudadanos individuales. Para lograr agilizar la respuesta es necesaria la integración interministerial, de procedimientos, de capacidad y de estructuras. Un enfoque de múltiples partes interesadas, en el que los individuos, los gobiernos, las organizaciones de la sociedad civil y las empresas privadas desempeñan su papel, es una fortaleza, no una debilidad, de las democracias. En definitiva, se necesita implementar una Defensa Híbrida. 4. Mejorar la seguridad y transparencia de la información mediante estándares de periodismo, códigos deontológicos, así como la comunicación estratégica. 5. Cultura digital: Es esencial imponer la ciberseguridad en todo el ecosistema de la empresa, la administración y el ciudadano, así como una política estatal en ciberconcienciación y cibereducación, por un lado, para crear una conciencia de ciberseguridad a todos los niveles y por otro, para identificar talentos. 6. Invertir en investigación y formación: En todos los ámbitos, empezando desde la
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
99
escuela, se debe cambiar la mentalidad para incluir la ciberseguridad en la formación reglada. En las universidades, empresas, desempleados, se debe
educar
en
el
mantenimiento de entornos cibernéticos seguros. Se debe 7 Porcentaje de especialistas en TIC (Presidencia del Gobierno, 2018)
asimismo potenciar una base
tecnológica e industrial nacional de ciberseguridad mediante programas I+D+I que nos permita disminuir nuestra dependencia de determinadas tecnologías claves, como el tema de cifrado e IA, mediante el impulso de un mercado nacional de ciberseguridad. Todo ello teniendo como base la colaboración público-privada y como referencia la ciudad israelí de Beersheba. Una ciudad surgida en el desierto en torno a la ciberseguridad donde trabajan estrechamente el gobierno, la universidad y más de 40 empresas nacionales e internacionales (Renaudie, 2016). En el campo que nos ocupa, en la ENP se está canalizando los recursos y esfuerzos en esa dirección, con la implantación de seminarios de ciberinteligencia dentro de un plan formativo avalado por ANECA y la organización del I Congreso de Seguridad Digital y Ciberinteligencia. No obstante, se debe luchar contra la fuga de talentos de la PN al sector privado. El éxito del hub mundial en ciberseguridad que supone la ciudad de Beerseba se basa en su preparado capital humano. 7. Potenciar las capacidades de inteligencia sobre la triada de la prevención, detección y resiliencia. La PN cuenta con los recursos y el talento para especializarse en inteligencia analítica y predictiva, en las técnicas de análisis de redes complejas, de análisis de grafos, de patrones de comportamiento y todas las disciplinas de inteligencia, especialmente la OSINT, para pensar como lo hace el atacante y adelantarse a sus jugadas. De nuevo podemos poner la vista en Israel donde en su principal unidad de inteligencia, la unidad 8.200, sus integrantes reciben dos años de formación en programación, seguridad informática y criptografía (Oficina Económica y Comercial de España en Tel Aviv, 2018). Se deben diseñar planes de adiestramiento para el manejo de las herramientas comentadas, así como implementar cyberejercicios donde se empleen redes simuladas en entornos de virtualización. No se puede ignorar que el Congreso está pidiendo un “ejército de civiles” para luchar contra ciberataques (Sierra, 2019), que la policía británica pretende predecir la producción de un delito mediante métodos
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
100
estadísticos y la inteligencia artificial, a través de un sistema llamado National Data Analytics Solution (NDAS) y que el análisis de sistemas de redes complejas ha demostrado su gran potencial, como demuestra el resultado del experimento de la predicción de la pandemia de la gripe aviar. La predicción proyectada fue prácticamente calcada a la real, al implementar herramientas cuantitativas para evaluar la interacción entre la estructura de la red y los procesos dinámicos internos y su impacto en los fallos que se producen. Analizando si los fallos siguen leyes reproducibles, se pueden cuantificar e incluso predecir su ocurrencia utilizando las herramientas de análisis de redes.
8 Pandemia real vs predicción proyectada
7.2. Nuevas líneas de investigación A lo largo del desarrollo del presente trabajo, ha resultado de alto interés para futura líneas de investigación las siguientes materias: -
Los problemas de seguridad derivados de áreas con potencial de disrupción, las armas de energía dirigidas mediante láser de alta potencia, los sistemas autónomos, la robótica y la bioingeniería, la nanotecnología, los sistemas portátiles de generación de energía.
-
Retos de la futura ECN a la que habrá que añadir a los objetivos enfocados en la ciberseguridad IT, la digitalización de la industria, la seguridad industrial operativa (OT), los dispositivos conectados (IoT), la inteligencia artificial y la computación cuántica (Alonso, 2019).
-
Como tema jurídico, la existencia o no de una cibersoberanía y cómo se extrapola el principio de neutralidad al ciberespacio.
-
El concepto de Seguridad Digital frente al de ciberseguridad.
-
La idea de Cyber-reserve o ciberejército de civiles: qué es, qué modelo sería deseable y si es oportuna su implementación en momentos de crisis.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
8. LISTADO DE ABREVIATURAS Y SIGLAS IIGM
Segunda Guerra Mundial
AAA
Autenticación, Autorización y Auditoría
AMICA
Analyzing Mission Impacts of Cyber Actions
ANECA
Agencia Nacional de Evaluación de la Calidad y Acreditación
APT
Amenaza Persistente Avanzada
BPMN
Business Process Modeling Notation
CAC
Common Access Card
CEO
Chief Executive Officer
CAN
Computer Network Attack
CND
Computer Network Defence”
CNE
Computer Network Exploitation
CNO
Computer Network Operation
COMINT
Communications Intelligence.
CP
Código Penal
CYBERCOM
US Cyber Command
DMZ
Zona desmilitarizada
DNC
Comité Nacional Demócrata
DNI
Director Nacional de Inteligencia de Estados Unidos
DoD
Departamento de Defensa de EEUU
DoJ
Departamento de Justicia de los Estados Unidos
ECN
Estrategia de Ciberseguridad Nacional
EEUU
Estados Unidos
101
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
102
ELINT
Electronic Intelligence.
ENISA
Agencia Europea de Seguridad de las Redes y de la Información
ENP
Escuela Nacional de Policía
EPL
Ejército Popular de Liberación chino
ESCD
Emerging Security Challenges Division
FFAA
Fuerzas Armadas
FFCCSE
Fuerzas y Cuerpos de Seguridad del Estado
GRU
Servicio de Inteligencia Militar ruso
GSM
Global System for Mobile communucations
HUMINT
Human Intelligence
IA
Inteligencia Artificial
IC
Infraestructuras Críticas
I+D+I
Investigación, desarrollo e innovación
IDS/IPS
Intrusion Detection Systems/Intrusion Prevention System
IMINT
Image Intelligence
IoT
Internet of Things
IP
Protocolo de Internet
IRIS
Iris Recognition Immigration System
IT
Information Technology
LOAC
Ley de Conflicto Armado
MEDINT
Medical Intelligence
MSS
Ministerio de Seguridad del Estado chino
NCIA
Agencia de Comunicaciones e Información de la OTAN
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
NDAS
National Data Analytics Solution
NYT
New York Times
OCDE
Organización para la Cooperación y Desarrollo Económico
OSINT
Open Source Intelligence
OT
Operational Technology
OTAN
Organización del Tratado del Atlántico Norte
PHI
Protected Healthcare Information
PII
Personally Identifiable Information
PN
Policía Nacional
SCADA
Supervisory Control and Data Acquisition
SIGINT
Signals Intelligence.
TECHINT
Technical Intelligence
TIC
Tecnologías de la Información y las Comunicaciones
TTP
Tácticas, Técnicas y Procedimientos
UE
Unión Europea
URL
Uniform Resource Locator
URSS
Unión de Repúblicas Socialistas Soviéticas
WEBINT
Web Intelligence
103
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
104
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
105
9. AUTORIZACIÓN PARA USO DOCENTE
“El autor del presente Trabajo Fin de Máster, autoriza a la Escuela Nacional de Policía su uso con fines docentes” mayo de 2019 Firma
Fdo.: Mayo María GRAU DOMÉNECH (El alumno es conocedor de que la elaboración del presente trabajo debe ajustarse a lo establecido en la Guía para la elaboración de los Trabajos de Fin de Master y demás instrucciones impartidas por la Escuela Nacional de Policía al respecto)
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
106
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
107
10.BIBLIOGRAFÍA U.S. Office of the Director of National Intelligence. (6 de enero de 2017). “Background to ‘Assessing Russian activities and intentions in recent U.S. elections’: The analytic
process
and
cyber
incident
attribution.
Obtenido
de
https://www.dni.gov/files/documents/ICA_2017_01.pdf (09
de
marzo
de
2014).
Obtenido
de
https://www.owasp.org/index.php/Buffer_overflow_attack Ackerman, S. (2 de enero de 2012). NATO Doesn't Yet Know How To Protect Its Networks. Obtenido de WIRED: https://www.wired.com/2012/02/nato-cyber/ Alina Polyakova, M. L. (noviembre de 2016). The Kremlin’s Trojan horses. Obtenido de Atlantic Council: https://www.atlanticcouncil.org/publications/reports/kremlintrojan-horses Alonso, J. (15 de enero de 2019). Hacia la fusión entre la ciberseguridad industrial y los sistemas de información corporativos. Obtenido de Real Instituto Elcano ARI 6/2019: http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GL OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari6-2019-lecuit-hacia-fusionentre-ciberseguridad-industrial-y-sistemas-informacioncorporativos?utm_source=CIBERelcano&utm_medium=email&utm Alonso, J. (18 de febrero de 2019). La revisión de la Estrategia de Ciberseguridad Nacional: una visión desde el sector privado. Obtenido de real Instituto Elcano: http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GL OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari18-2019-alonsolecuitrevision-estrategia-ciberseguridad-nacional-vision-sector-privado Archive,
N.
S.
(2019).
CyberWar
Map.
Obtenido
de
https://embed.kumu.io/0b023bf1a971ba32510e86e8f1a38c38#apt-index Asamblea General de Naciones Unidas. (24 de octubre de 1970). Resolución 2625 (XXV), de 24 de octubre de 1970, que contiene la declaración relativa a los principios de Derecho Internacional referentes a las relaciones de amistad y a la cooperación
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
108
entre los Estados. Obtenido de https://www.dipublico.org/3971/resolucion-2625xxv-de-la-asamblea-general-de-naciones-unidas-de-24-de-octubre-de-1970-quecontiene-la-declaracion-relativa-a-los-principios-de-derecho-internacionalreferentes-a-las-relaciones-de/ Asensio, P. d. (2000). Derecho Privado de Interne. Madrid: Civitas. Aznar, F. (14 de marzo de 2018). Repensando la guerra asimétrica. Obtenido de Instituto Español
de
Estudios
Estratégicos:
http://www.ieee.es/Galerias/fichero/docs_analisis/2018/DIEEEA112018_Guerra_Asimetrica_FAFM.pdf Baldwin, D. (1997). The concept of security. Review of International Studies, 5-26. Baqués, J. (2015). El papel de Rusia en el conflicto de Ucrania: la guerra híbrida de las grandes potencias. Revista de Estudios en Seguridad Internacional, 41-60. Baqués, J. (octubre de 2018). La versión china de la zona gris. Grupo de Estudios de Seguridad Internacional, 557-564. Obtenido de Grupo de Estudios de Seguridad Internacional. Bautista, W. (2018). Practical Cyber Intelligence. Birmingham: Packt Publishing Ltd. Beck, U. (2019). La sociedad del riesgo. Barcelona: Planeta. Bederman, D. (2001). International Law Frameworks. New York: Foundation Press. Bell, C. H. (2018). Cyber Warfare and International Law: The Need for Clarity. Obtenido de
Cyber
Warfare
and
International
Law:
https://cpb-us-
w2.wpmucdn.com/wp.towson.edu/dist/b/55/files/2018/05/SPRING-2018-BELLARTICLE-thj0tu.pdf Bensahel, D. B. (19 de junio de 2018). War in the Fourth Industrial Revolution. Obtenido de War on the Rocks: https://warontherocks.com/2018/06/war-in-the-fourthindustrial-revolution/ Bloomberg. (9 de noviembre de 2018). Symantec CEO Sees China's Cyber Warfare Increasing.
Obtenido
de
Bloomberg
https://finance.yahoo.com/video/symantec-ceo-sees-chinas-cyber-
Technology:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
109
181928230.html?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xl LmNvbS8&guce_referrer_sig=AQAAAGqvrZX3RUcvs1mQPrhr0R_EHf0Tia5 r1fUiu2euo71v1sH9O2pCDUueQFGDjBSZZaPQYjCuZfxuuzzMo1x_aXpVT9gxKb 3 Bossert, T. P. (18 de diciembre de 2017). It’s Official: North Korea Is Behind WannaCry. Obtenido de Thw Wall Street Journal: https://www.wsj.com/articles/its-officialnorth-korea-is-behind-wannacry-1513642537 Brierly, J. L. (1963). The Law of Nations: An Introduction to the International Law of Peace. Oxford: OUP Oxford. Brown, P. S. (14 de enero de 2011). Reducing Systemic Cybersecurity Risk. Obtenido de OECD/IFP
Project
on
"Future
Global
Shocks":
http://www.oecd.org/governance/risk/46889922.pdf Brzezinski, Z. (1997). The Grand Chessboard. Washington D.C.: BasicBooks. Caro, M. J. (2011). Alcance y ámbito de la Seguridad Nacional en el ciberespacio. Cuadernos de Estrategia, vol. 149, 49-81. Carr, J. (2011). Inside Cyber Warfare: Mapping the Cyber Underworld . CA: O'Reilly Media. CCN-CERT. (2018). Aproximación española a la Ciberseguridad. Madrid: Gobierno de España, CCN. CCN-CERT. (mayo de 2018). Ciberamenazas y Tendencias. Obtenido de CCN-CERT IA-09/18:
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-
publicos/2835-ccn-cert-ia-09-18-ciberamenzas-y-tendencias-edicion-20181/file.html CCN-CERT. (2018). Ciberamenazas y tendencias 2018. Obtenido de https://www.ccncert.cni.es/informes/informes-ccn-cert-publicos/2856-ccn-cert-ia-09-18ciberamenazas-y-tendencias-2018-resumen-ejecutivo-2018/file.html
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
110
Cimpanu, C. (11 de febrero de 2019). Russia to disconnect from the internet as part of a planned test. Obtenido de ZDNet: https://www.zdnet.com/article/russia-todisconnect-from-the-internet-as-part-of-a-planned-test/ Clapper, J. R. (12 de marzo de 2013). Worldwide Threat Assessment of the US Intelligence
Community.
Obtenido
de
Statement
for
the
Record
:
https://www.dni.gov/files/documents/Intelligence%20Reports/2013%20ATA%2 0SFR%20for%20SSCI%2012%20Mar%202013.pdf Clayton, M. (17 de junio de 2014). Ukraine election narrowly avoided wanton destruction from
hackers.
Obtenido
de
Christian
Science
Monitor:
https://www.csmonitor.com/World/Passcode/2014/0617/Ukraine-electionnarrowly-avoided-wanton-destruction-from-hackers CNCS. (9 de enero de 2019). Guía Nacional de Notificación y gestión de ciberincidentes. Obtenido
de
http://www.interior.gob.es/documents/10180/9771228/Gu%C3%ADa+Nacional +de+Notificaci%C3%B3n+y+Gesti%C3%B3n+de+Ciberincidentes.pdf/196760 87-0253-4c58-bbb0-2fc58a5fd63b Cohen, G. (20 de enero de 2014). Israeli Expert Seeks Ethics Code for Cyber Warfare . Obtenido de Haaretz: https://www.haaretz.com/expert-seeks-cyber-warfareethics-code-1.5313312 Colom, G. (2013). Cambio y continuidad en el pensamiento estratégico estadounidense desde el final de la Guerra Fría. Revista de Ciencia Política 33, n° 3, 675-692. Colom, G. (2014). La revolución militar posindustrial. Revista de Estudios Sociales, No. 50, 113-126. Colom, G. (marzo de 2019). ENISA: el reto de convertirse en la Agencia Europea de Ciberseguridad. Obtenido de Thiber Digest núm. 7: http://www.thiber.org/wpcontent/uploads/2019/03/Numero_07_Marzo_Optimizado.pdf Colom, G. (2019). La amenaza híbrida: mitos, leyendas y realidades. Instituto Español de Estudios Estratégicos, 1-14.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
111
Conner, B. (2019). SonicWall. Obtenido de Unmasking the threats that target global enterprises, governments & SMBs: https://www.sonicwall.com/lp/2019-cyberthreat-report-lp/ Consejo de la Unión Europea. (8 de diciembre de 2008). Directiva 2008/114/CE. Consejo de Seguridad de las Naciones Unidas. (14 de diciembre de 1974). Resolución de la
ONU
3314
(XXIX)
de
la
Asamblea
General.
Obtenido
de
https://www.acnur.org/fileadmin/Documentos/BDL/2007/5517.pdf Croft, E. B. (31 de julio de 2017). Putin contraataca a EE.UU. con sanciones a sus diplomáticos
en
Rusia.
Obtenido
de
CNN:
https://cnnespanol.cnn.com/2017/07/31/putin-contraataca-a-ee-uu-consanciones-a-sus-diplomaticos-en-rusia/ Crosston, M. (2012). El mundo de ha vuelto ciberloco: cómo el “debilitamiento mutuamente asegurado” es la mayor esperanza para la disuasión cibernética. Air & space power. Vol. XXIII, Nº 3., 24-35. Darrow, B. (31 de julio de 2017). How Hackers Broke Into U.S. Voting Machines in Less Than 2 Hours. Obtenido de Fortune: http://fortune.com/2017/07/31/defconhackers-us-voting-machines/ Demers, J. (12 de diciembre de 2018). China’s Non-Traditional Espionage Against the United States: The Threat and Potential Policy Responses. Obtenido de Comittee on
the
Judiciary
United
States
Senate:
https://www.judiciary.senate.gov/imo/media/doc/12-1218%20Demers%20Testimony.pdf Enríquez, C. (2012). Estrategias internacionales para el ciberespacio. Monografías del CESEDEN, Vol. 126, 71-115. Espona, R. d. (10 de mayo de 2018). Guerra híbrida y capacidades estratégicas de la OTAN: aportaciones de Lituania, Letonia y Estonia. Obtenido de Instituto de Estudios http://www.ieee.es/Galerias/fichero/docs_opinion/2018/DIEEEO552018_GuerraHibrida_OTAN_Lit-Est-Let_RafaelJEspona.pdf
estratégicos:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
112
Euro, C. (29 de abril de 2013). Corrupción y ciberwar en la red (I). Obtenido de OHIBE Blog de Política Global: https://ohibe.com/corrupcion-y-ciberwar-en-la-red-i/ Feliu, L. (2012). La ciberseguridad y la ciberdefensa. Monografías del CESEDEN, vol.126, 35-70. Feliu, L. (2012). La ciberseguridad y la ciberdefensa. Monografías del CESEDEN, vol. 126, 35-70. Ferreira-Snyman, A. (2007). Sovereignty and the changing nature of Public International Law: Towards World Law? The Comparative and International Law Journal of Southern Africa Vol. 4, No. 3, 406-407. Fojón, E. (27 de febrero de 2005). Vigencia y limitaciones de la guerra de cuarta generación.
Obtenido
de
Real
Instituto
Elcano
:
http://documentostics.com/component/option,com_docman/task,doc_view/gid,8 64/Itemid,5/ Foster, G. (4 de abril de 2019). The National Defense Strategy Is No Strategy. Obtenido de Defense One: https://www.defenseone.com/ideas/2019/04/national-defensestrategy-no-strategy/156068/ Ghoreishi, O. (14 de septiembre de 2018). The Risks of China’s Huawei to Canada. Obtenido de The Epoch Times: https://www.theepochtimes.com/the-risks-ofchinas-huawei-to-canada_2661441.html Gil, R. (2012). El Vacío Legal del Ciberespacio. Revista de Aeronáutica y Astronautica Nº. 817, 849-851. Gómez, Á. (2019). Mundo Orwell: Manual de supervivencia para un mundo hiperconectado. Barcelona: Ariel. Gómez, J. A. (2013). Necesidad de una conciencia nacional de ciberseguridad. La ciberdefensa: un reto prioritario. Monografía 137. Escuela de Altos Estudios de la Defensa, 307-331. Obtenido de file:///C:/Users/Usuario/Downloads/DialnetNecesidadDeUnaConcienciaNacionalDeCiberseguridadLa-537470.pdf
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
113
González, J. L. (2010). Estrategias legales frente a las ciberamenazas. En Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. Cuadernos de Estrategia, Nº 149, 85-127. González, M. (27 de marzo de 2019). Una “potencia extranjera” atacó los ordenadores de
Defensa.
Obtenido
de
El
País:
https://elpais.com/politica/2019/03/25/actualidad/1553543912_758690.html Goulter, P. J. (1989). Optimization of Redundancy in Water Distribution Networks Using Graph Theoretic Principles. Engineering Optimization, Vol. 15, No. 1, 71-82. Greenberg, A. (20 de junio de 2017). How An Entire Nation Became Russia's Test Lab for Cyberwar. Obtenido de WIRED: https://www.wired.com/story/russianhackers-attack-ukraine/ Hack2secure.
(28
de
marzo
de
2018).
Obtenido
de
https://www.hack2secure.com/blogs/buffer-overflow-attack Hashtag
campaign:
#MacronLeaks.
(6
de
mayo
de
2017).
Obtenido
de
https://medium.com/dfrlab/hashtag-campaign-macronleaks-4a3fb870c4e8 Heads of State and Government at the NATO. (20 de noviembre de 2010). Active Engagement, Modern Defence: Strategic Concept for the Defence and Security of the Members of the North Atlantic Treaty Organisation. Obtenido de http://www.nato.int/strategic-concept/pdf/Strat_Concept_web_en.pdf Hennessey, S. (diciembre de 2017). Deterring Cyberattacks. Obtenido de Foreinf Affairs: https://www.foreignaffairs.com/reviews/review-essay/2017-10-16/deterringcyberattacks Hidalgo, T. (2013). Guerra total, guerra asimétrica, ciberguerra. Necesidad de una conciencia nacional de ciberseguridad. La ciberdefensa: un reto prioritario. Núm. 137, 35-69. Ibáñez, G. (25 de febrero de 2019). Sherman Kent: El padre del análisis en Inteligencia Estratégica. Obtenido de Consultoría Empresarial. Planificación y Protección Financiera: https://www.economiapersonal.com.ar/sherman-kent-el-creador-dela-inteligencia-estrategica/#
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
International
Group
of
Experts.
(2013).
Tallinn
Manual.
114
Obtenido
de
http://csef.ru/media/articles/3990/3990.pdf Izquierdo, I. (3 de diciembre de 2007). Guerra irrestricta: nuevo concepto en un mundo globalizado.
Obtenido
de
Voltairenet.org:
https://www.voltairenet.org/article153437.html Jason Kopylec, A. D. (2007). Visualizing Cascading Failures in Critical Cyber Infrastructures. Obtenido de International Federation for Information Processing, vol. 253: https://link.springer.com/chapter/10.1007/978-0-387-75462-8_25 Jordán, J. (30 de noviembre de 2018). El conflicto internacional en la zona gris: una propuesta teórica desde la perspectiva del realismo ofensivo. Obtenido de Revista Española
de
Ciencia
Política
núm.
48:
https://recyt.fecyt.es/index.php/recp/article/view/64804/html_94#B50back Kaldor, M. (1998). New and Old Wars: Organized Violence ina Global Era. Cambrige: Polity Press. Kaspersky Lab’s Global Research and Analysis Team. (17 de febrero de 2015). Equation Group: The Crown Creator of Cyber-Espionage. Obtenido de Kaspersky Lab: https://www.kaspersky.com/about/press-releases/2015_equation-group-thecrown-creator-of-cyber-espionage La información. (26 de noviembre de 2017). España tiene 400 infraestructuras críticas susceptibles
de
sufrir
atentados.
Obtenido
de
La
Información:
https://www.lainformacion.com/economia-negocios-y-finanzas/espana-tiene400-infraestructuras-criticas-susceptibles-de-sufriratentados_OXmHHRXGfisFqO0jJrD9P5/ Ley 8/2011, de 29 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. (29 de abril de 2011). Boletín Oficial del Estado, núm. 102. España. Libertad Digital. (8 de junio de 2018). España ha sido el tercer país que más ciberataques recibe.
Obtenido
de
Libertad
Digital:
https://www.libertaddigital.com/espana/politica/2018-06-08/espana-ha-sido-eltercer-pais-que-mas-ciberataques-recibe-1276620178/
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
115
Lima, G. D. (12 de marzo de 2019). Digital Security en la nueva era de transformación digital
.
Obtenido
de
Real
Instituto
Elcano
:
http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GL OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari32-2019-dantoniooliasdelimapancorbo-digital-security-en-la-nueva-era-de-transformacion-digital López-Jacoiste, E. (marzo de 2015). Las guerras híbridas y a la luz del derecho internacional. Obtenido de Instituto Estañol de Estudios Estratégicos: http://www.ieee.es/Galerias/fichero/docs_trabajo/2015/DIEEET032015_GuerrasHibridas_DchoInternac_LopezJacoiste.pdf Lowe, V. (1989). International Law and the Effects Doctrine in the European Court of Justice. The Cambridge Law Review Vol. 48, Issue 1 , 9-11. Lucas-Torres, C. (4 de enero de 2019). El Español. Obtenido de El Español: https://www.elespanol.com/espana/politica/20190104/policia-guardia-civilejercito-instituciones-valoradas-podemos/365714320_0.html Luengo, M. (28 de enero de 2018). Cibercrimen. Ciberguerra. Ciberespionaje. Nadie está
a
salvo
en
Internet.
Obtenido
de
El
País:
https://elpais.com/elpais/2018/01/22/eps/1516637253_754345.html Maquiavelo, N. (2012). El Príncipe. Barcelona: Austral. Marsal, J. (mayo de 2015). Tecnologías disruptivas y sus efectos sobre la seguridad. Obtenido
de
Instituto
Español
de
Estudios
Estratégicos:
http://www.ieee.es/Galerias/fichero/docs_trabajo/2015/DIEEET122015_Tecnologias_Disruptivas_EfectosSeguridad.pdf Martín, J. (19 de febrero de 2018). El País. Obtenido de El secretario general de la ONU dice
que
hay
"ciberguerra
entre
Estados":
https://elpais.com/internacional/2018/02/19/actualidad/1519058033_483850.htm l Maurer, T. (septiembre de 2011). Cyber norm emergence at the United Nations. Obtenido de
Science,
Technology,
and
Public
Policy
Program:
https://www.belfercenter.org/sites/default/files/legacy/files/maurer-cyber-normdp-2011-11-final.pdf
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
116
May, L. (2015). The Nature of War and the Idea of “Cyberwar". En C. F. Jens Ohlin, Cyberwar: Law and Ethics for Virtual Conflicts (págs. 3-15). Oxford: Oxford University Press. Mazanec, B. M. (2015). The Evolution of Cyber War. Nebraska: University of Nebraska. Mazzeti, M. (24 de marzo de 2019). El nuevo campo de batalla: cibermercenarios que espían para cualquier gobierno. Obtenido de The New York Times: https://www.nytimes.com/es/2019/03/24/ciberespionaje-nso-darkmatter/ McKaughan, C. (22 de diciembre de 2016). No, the United States is not Losing the “Cyber War”. Obtenido de The Pensive Post: https://pensivepost.com/no-the-unitedstates-is-not-losing-the-cyber-war-fb3520a6387d Mearsheimer, J. (2013). The tragedy of great power politics. Nueva Yok: Norton. Michael Green, K. H. (2017). Countering coercion in maritime asia. The theory and practice of gray zone deterrence. Washington D.C: Center for Strategic and International Studies. Miller, Z. J. (19 de julio de 2018). Trump dice que le advirtió a Putin sobre entrometerse .
Obtenido
de
Associated
Press:
https://www.msn.com/es-
mx/noticias/mundo/trump-dice-que-le-advirti%C3%B3-a-putin-sobreentrometerse/ar-AAAhw7S Morales, S. (23 de noviembre de 2017). El futuro de la naturaleza de los conflictos armados.
Obtenido
de
Instituto
Español
de
Estudios
Estratégicos:
http://www.ieee.es/Galerias/fichero/docs_marco/2017/DIEEEM172017_Futuro_ConflictosArmados_SamuelMorales.pdf Münkler, H. (31 de marzo de 2003). Las guerras del siglo XXI. Obtenido de Revista Internacional
de
la
Cruz
Roja:
https://www.icrc.org/spa/resources/documents/misc/5tedfy.htm NATO. (1 de julio de 2012). The NATO Communications and Information Agency: Leading NATO´s Digital Endeavour. Obtenido de NATO Communications and Information Agency : https://www.ncia.nato.int/About/Pages/About-the-NCIAgency.aspx
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
117
NATO. (27 de noviembre de 2018). Cyber Coalition helps prepare NATO for today’s threats.
Obtenido
de
North
Atlantic
Treaty
Organization:
https://www.nato.int/cps/en/natohq/news_160898.htm?selectedLocale=en NATO. (16 de julio de 2018). Cyber defence. Obtenido de North Atlantic Treaty Organization: https://www.nato.int/cps/en/natohq/topics_78170.htm NATO. (12 de febrero de 2019). New NATO hub will gather the Alliance's cyber defenders.
Obtenido
de
North
Atlantic
Treaty
Organization:
https://www.nato.int/cps/en/natohq/news_163358.htm?selectedLocale=en Noel, S. (15 de octubre de 2015). CyGraph: Cybersecurity Situational Awareness That’s More Scalable, Flexible & Comprehensive. Obtenido de Neo4j Blog : https://neo4j.com/blog/cygraph-cybersecurity-situational-awareness/ Obama, B. (19 de julio de 2012). Taking the Cyberattack Threat Seriously. Obtenido de Wall
Streat
Journal:
https://www.wsj.com/articles/SB10000872396390444330904577535492693044 650 Oficina Económica y Comercial de España en Tel Aviv. (2018). Inversión Estrarégica en el sector de la Ciberseguridad: el caso israelí. Información Comercial Española Nº. 3096, 3-13. Olías, G. D. (12 de marzo de 2019). Digital Security en la nueva era de transformación digital
.
Obtenido
de
Real
Instituto
Elcano:
http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GL OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari32-2019-dantoniooliasdelimapancorbo-digital-security-en-la-nueva-era-de-transformaciondigital?utm_source=CIBERelcano&utm_medium=email&ut Pardo, J. (10 de enero de 2018). Xi Jinping y Putin, dos liderazgos que retan el orden occidental.
Obtenido
de
Instituto
Español
de
Estudios
Estratégicos:
http://www.ieee.es/Galerias/fichero/docs_analisis/2018/DIEEEA022018_Putin_XiJinping_JMPSGO.pdf Pastor, O. (2013). La conciencia de ciberseguridad en las empresas . Monografía 137. Escuela de Altos Estudios de la Defensa, 185-246.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
118
Paul Cornish, D. L. (septiembre de 2011). Cyber Security of the UK’s Critical National Infrastructure. Obtenido de The Royal Institute of International Affairs: Cyber Security and the UK’s Critical National Infrastructure Pérez, C. (23 de abril de 2014). Anécdotas y curiosidades jurídicas. Iustopia. Obtenido de La prohibición de la perfidia: http://archivodeinalbis.blogspot.com/2014/04/laprohibicion-de-la-perfidia.html Pérez,
I.
(29
de
abril
de
2015).
We
live
security.
Obtenido
de
https://www.welivesecurity.com/la-es/2015/04/29/vulnerabilidad-xss-cross-sitescripting-sitios-web/ Perlroth, D. B. (12 de mayo de 2017). Decenas de países reportan haber sufrido un ciberataque
masivo.
Obtenido
de
The
New
York
Times:
https://www.nytimes.com/es/2017/05/12/una-decena-de-paises-reportan-habersufrido-un-ciberataque-masivo/ Polyakova, A. &. (2018). The future of political warfare: Russia, the west, and the coming age of global digital competition. The New Geopolitics. Presidencia del Gobierno. (2013). Estrategia de Ciberseguridad Nacional. Presidencia del Gobierno. (2013). Estrategia de Ciberseguridad Nacional. Madrid: Imprenta del Boletín Oficial del Estado. Presidencia del Gobierno. (2017). Estrategia de Seguridad Nacional. Madrid: Imprenta del Boletín. Presidencia del Gobierno. (2018). Informe Anual de Seguridad Nacional. Madrid: Gobierno de España. Priestap, B. (12 de diciembre de 2018). China’s Non-Traditional Espionage Against the United States: The Threat and Potential Policy Responses. Obtenido de Statement Before
the
Senate
Judiciary
Committee
Washington,
D.C.:
https://www.fbi.gov/news/testimony/chinas-non-traditional-espionage-againstthe-united-states
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
119
Prieto, R. (abril de 2013). Guerra cibernética: Aspectos Organizativos. Obtenido de XXXIII Curso de Defensa Nacional: http://docplayer.es/amp/2279115-Guerracibernetica-aspectos-organizativos.html Quintana, Y. (2018). Ciberseguridad, una cuestión de Estados . Política Exterior, Vol. 32, Nº 185, 50-57. Ramírez, A. (mayo de 2012). Doctrina de Empleo de las Fuerzas Terrestres. Obtenido de
Ejército
de
Tierra
Español
nº854:
http://www.ejercito.mde.es/Galerias/multimedia/revistaejercito/2012/R_Ejercito_854.pdf Reguera, J. (18 de marzo de 2015). Aspectos legales en el ciberespacio. La ciberguerra y el Derecho Internacional Humanitario. Obtenido de Grupo de Estudios en Seguridad
Internacional:
http://www.seguridadinternacional.es/?q=es/content/aspectos-legales-en-elciberespacio-la-ciberguerra-y-el-derecho-internacional-humanitario#_ftnref21 Reguera, J. (18 de marzo de 2015). Aspectos legales en el ciberespacio. La ciberguerra y el Derecho Internacional Humanitario. Obtenido de Grupo de Estudios en Seguridad
Internacional
:
http://www.seguridadinternacional.es/?q=es/content/aspectos-legales-en-elciberespacio-la-ciberguerra-y-el-derecho-internacional-humanitario#_ftnref21 Renaudie, J.-L. (30 de enero de 2016). Israel´s cyber sector blooms in the desert. Obtenido de The Times of Israel: https://www.timesofisrael.com/israels-cybersector-blooms-in-the-desert/ Rengel, C. (14 de abril de 2019). Se está hackeando directamente a los usuarios, tirando de
egos
y
apetitos.
Obtenido
de
HUFFPOST:
https://www.huffingtonpost.es/entry/agreda-orwell-redes-socialesprivacidad_es_5ca34872e4b03e061e3a3ce6 Robles, M. (21 de enero de 2016). El ciberespacio: presupuestos para su ordenación jurídico internacional. Obtenido de Revista chilena de derecho y ciencia política: http://www.pensamientopenal.com.ar/system/files/2016/06/doctrina43501.pdf
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
120
Rodriguez, j. (5 de anbril de 2019). Formación en Inteligencia by I+ L Inteligencia y Liderazgo. Madrid. Rojas, E. S. (2013). Conclusiones de una conciencia de ciberseguridad y ciberdefensa. Necesidad de una conciencia nacional de ciberseguridad. La ciberdefensa: un reto prioritario. Monografías 137, 307-330. Ronfeldt, J. A. (2001). Networks and Netwars: The Future of Terror, Crime, and Militancy. Santa Mónica: RAND Corporation. Rosenau, J. N. (1990). Turbulence in world politics: A theory of change and continuity. Princeton: Princeton University Press. Rovira, R. (2017). Yo, Trump. Barcelona: Random House Grupo Editorial. Russell, W. (2014). The return of geopolitics: the revenge of the revisionist powers. Foreign Affairs, 69-79. Savater, F. (2013). La ética ante los dilemas de la globalización. XXVI Curso de Verano de la Universidad Complutense: Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. Madrid. Schneider, B. (20 de marzo de 2008). Inside the Twisted Mind of the Security Professional.
Obtenido
de
WIRED:
https://www.wired.com/2008/03/securitymatters-0320/ Shakarian, P. (2012). Stuxnet: Revolución de ciberguerra en los asuntos militares. Air & space power. Vol. XXIII, Nº 3, 50-60. Shanker, E. B. (11 de octubre de 2012). Panetta Warns of Dire Threat of Cyberattack on U.S.
Obtenido
de
The
New
York
Times:
https://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-ofcyberattack.html Sierra, M. (11 de marzo de 2019). El Congreso pide un 'ejército de civiles' para luchar contra
ciberataques.
Obtenido
de
Vozpopuli:
https://www.vozpopuli.com/economia-y-finanzas/Congreso-pide-poblacionEspana-ciberataques_0_1225078153.html
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
121
Starr, R. B. (14 de abril de 2016). Top Pentagon official: 'Right now it sucks' to be ISIS. Obtenido de CNN: https://edition.cnn.com/2016/04/13/politics/robert-workcyber-bombs-isis-sucks/index.html Steven Noel, J. L. (2015). Analyzing Mission Impacts of Cyber Action (AMICA). IST128 Workshop on Cyber Attack Detection, Forensis and Attribution for Assessment of Mission Impact, 80-86. THALES. (15 de febrero de 2018). Como se protegen las infraestructuras críticas. Obtenido de THALES: https://www.thalesgroup.com/es/espana/magazine/comose-protegen-las-infraestructuras-criticas The Editorial Board. (07 de mayo de 2013). China and Cyberwar. Obtenido de The New York
Times:
https://www.nytimes.com/2013/05/08/opinion/china-and-
cyberwar.html The Secretary of Defense. (abril de 2015). The DoD cyber strategy. Obtenido de http://archive.defense.gov/home/features/2015/0415_cyberstrategy/final_2015_dod_cyber_strategy_for_web.pdf The White House. (mayo de 2011). International Strategy for Cyberspace. Obtenido de Prosperity,
Security,
and
Openess
in
a
Networked
World:
https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/international _strategy_for_cyberspace.pdf Thielman, S. A. (8 de octubre de 2016). US officially accuses Russia of hacking DNC and interfering
with
election
.
Obtenido
de
The
Guardian:
https://www.theguardian.com/technology/2016/oct/07/us-russia-dnc-hackinterfering-presidential-election Torreblanca, J. I. (1 de mayo de 2016). El nuevo gran juego digital. Obtenido de El País: https://elpais.com/tecnologia/2016/04/27/actualidad/1461767882_557672.html Townsend, K. (07 de enero de 2019). The United States and China - A Different Kind of Cyberwar. Obtenido de Security Week: https://www.securityweek.com/unitedstates-and-china-different-kind-cyberwar
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
122
UE, S. G. (2009). Estrategia Europea de Seguridad. Luxemburgo: Oficina de Publicaciones de la Unión Europea. UIT. (2003-2005). Cumbre Mundial sobre la Sociedad de la Información. Obtenido de http://www.itu.int/net/wsis/index-es.html UIT-T. (abril de 2008). Recomendación UIT-T X.1205 (04/2008). Serie X: Redes de datos, comunicaciones de sistemas abiertos y seguridad. Obtenido de Serie X: Redes de datos, comunicaciones de sistemas abiertos y seguridad. United Nations. (26 de junio de 1945). United Nations: Article 51, Chapter VII: Actions with respect to threats to the peace, breaches of peace, and acts of aggression. Obtenido de https://www.un.org/en/sections/un-charter/chapter-vii/index.html Valeriano, B. (13 de julio de 2017). Cyberwarfare has taken a new turn. Yes, it’s time to worry.
Obtenido
de
The
Washington
Post:
https://www.washingtonpost.com/news/monkey-cage/wp/2017/07/13/cyberwarfare-has-taken-a-new-turn-yes-its-time-to-worry/?utm_term=.ff79a37655de Ventura, D. (07 de febrero de 2017). Ciberguerra: la lucha de las grandes potencias por controlar
internet.
Obtenido
de
Huffingtonpost:
https://www.huffingtonpost.es/2017/02/07/ciberguerrahackers_n_14248228.html Veracode. (s.f.). Obtenido de https://www.veracode.com/security/buffer-overflow Winterfeld, J. A. (2013). Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners. Waltham: Elsevier. Young, M. (2010). National Cyber Doctrine: The Missing Link in the Application of American Cyber Power. Journal of National Security Law and Policy 4, no. 1, 173-196. Zetter, K. (1 de enero de 2015). We're at Cyberwar: A Global Guide to Nation-State Digital
Attacks.
Obtenido
de
WIRED:
https://www.wired.com/2015/09/cyberwar-global-guide-nation-state-digitalattacks/
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
123
Zetter, K. (7 de junio de 2016). Hacker Lexicon: What Are CNE and CNA? Obtenido de Wired: https://www.wired.com/2016/07/hacker-lexicon-cne-cna/
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
124
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
125
11.ÍNDICE DE ILUSTRACIONES Y TABLAS 11.1. Ilustraciones 1 CyberWar Map. The Cyber Vault Project (Archive, 2019) ........................................ 47 2 Consejo Nacional de Ciberseguridad (Presidencia del Gobierno, 2017) .................... 78 3 Flujograma del sistema de ventanilla única ................................................................. 80 4 CIA triad (Winterfeld, 2013) ....................................................................................... 81 5 Defensa en profundidad (Winterfeld, 2013) ................................................................ 88 6 Ciberataque representado con grafos (Noel, 2015) ..................................................... 94 7 Porcentaje de especialistas en TIC (Presidencia del Gobierno, 2018) ........................ 99 8 Pandemia real vs predicción proyectada ................................................................... 100
11.2. Tablas 1 Incidentes gestionados por el CCN-CERT 2012-2018.................................................. 5 2 Tipología de incidentes en 2018 .................................................................................... 5 3 Acciones y respuestas en la Zona Gris ........................................................................ 20 4 Normas emergentes ..................................................................................................... 58 5 Evolución de la transformación digital ........................................................................ 68 6 Actores de la ciberseguridad (elaboración propia) ...................................................... 79 7 Actores en la Ciberseguridad Nacional (Presidencia del Gobierno, 2017) ................. 79 8 Valoración de las principales Instituciones (Lucas-Torres, 2019) .............................. 90 9 Herramientas de ciberinteligencia (elaboración propia) .............................................. 93
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la Guerra Híbrida.
126
View more...
Comments