Últimamente, se ha estado utilizado el concepto de «guerra cibernética» para describir las acciones realizadas por un Estado para vulnerar la seguridad en computadores o redes de otro Estado, con la finalidad de causar perjuicio o alteración en dichos elementos o los sistemas que operen. Sin embargo, el término «conflicto cibernético» caracteriza más apropiadamente la naturaleza esencial de las operaciones militares modernas. El conflicto cibernético enmarca la complejidad y la ambigüedad de la lucha que involucra el ciberespacio, incluida la guerra híbrida y las campañas insurgentes que explotan en su interior. El conflicto cibernético simboliza “viejas y nuevas formas de conflicto nacidas, habilitadas a través o alteradas drásticamente por el ciberespacio”.
Como ejemplo, una actividad maliciosa ocurrió en el ciberespacio durante las acciones militares rusas en Crimea. Las operaciones comenzaron con la incautación de las oficinas de Ukrtelecom y el corte físico de los cables de teléfono e Internet. Grupos como OpRussia y Russian Cyber Command que se oponían a la anexión llevaron a cabo ataques de denegación de servicio (DDos) contra sitios rusos, mientras CyberBerkut pro ruso estaba activo contra la OTAN, en particular dirigiéndose a su sitio web público principal antes de la votación de Crimea en marzo de 2014 para separarse de Ucrania y unirse a Rusia.
Ante este tipo de conflicto, es importante preguntarse si las estrategias tradicionales de la disuasión – usado de manera amplia y recurrente en nuestros libros de la defensa nacional – son suficientes para disuadir a los actores maliciosos en el ciberespacio, o bien si existe alguna estrategia alternativa más eficaz. Como referencia, en el marco de la Guerra Fría sobre cómo disuadir mejor los ataques nucleares, estos se dividieron en «disuasión por castigo» (amenaza de represalia imponiendo altos costos) y «disuasión por negación» (limitación del daño por negación del éxito), y finalmente la disuasión por enredo (presumiblemente, la cooperación en intereses mutuos fomenta la moderación para evitar consecuencias no deseadas), como resultado de la interdependencia estratégica en el marco de la globalización. Estas tres opciones tradicionales de disuasión estratégica podrían aplicarse de alguna manera al ciberespacio.
El número de actores a ser disuadido es el primero de muchos desafíos en la aplicación del enfoque tradicional de disuasión. Para que una estrategia de disuasión sea efectiva, debe basarse en la capacidad (poseer los medios para influir en el comportamiento), en la credibilidad (mostrar de que realmente se pueden implementar acciones contrarias) y en la comunicación (enviar el mensaje correcto a la audiencia deseada). El logro de estas condiciones para una disuasión efectiva es extremadamente difícil en un conflicto cibernético. Las capacidades nacionales para influir en el comportamiento de los actores maliciosos en el ciberespacio están limitadas por su capacidad para operar con el anonimato, la impunidad y la negación; incluso si los actores están convencidos de que se pueden desplegar acciones contrarias, su racionalidad no puede ser asumida; y la audiencia de actores que realizan ciberataques es vasta y variada en motivaciones e intenciones.
No obstante, afectar a la amplia gama de actores en el ciberespacio es un problema, ya que la disuasión debe funcionar en la mente de cada atacante en diferentes circunstancias. Incluso si el atacante es racional, sus motivaciones para alcanzar objetivos políticos, satisfacción personal o ganancia económica no son fácilmente despreciables. Chris Demchak ha elaborado una «teoría de la acción» alternativa, en la que la decisión de un actor o grupo malintencionado es una función de legitimidad, necesidad y confianza relacionada con el acto en sí, esta última principalmente a través de la transformación de la facilidad de acción, independientemente de la cultura del actor. Cuanto más se empuja cada uno de esos elementos por debajo de un umbral, el acto malintencionado se «interrumpe», pero empujar los elementos para una amplia gama de actores a la vez es difícil.
Ante esto, se requiere un nuevo medio de disuasión para el mundo cibernético. Según los expertos, una opción estratégica para esta nueva forma de conflicto cibernético continuo corresponde a la «defensa cibernética activa». La estrategia refuerza tanto la disuasión por negación como la disuasión por represalia. Combina la resistencia interna sistémica para detener la actividad cibernética maliciosa después de una intrusión con capacidades de interrupción como medida para frustrar los objetivos de los actores maliciosos. Por lo tanto, la defensa cibernética activa apoya la negación al hacer que sea más difícil llevar a cabo un ataque cibernético y apoya las represalias al proporcionar más opciones para infligir un castigo.
Estos nuevos medios para lograr la disuasión también fomentan la restricción del adversario en los conflictos cibernéticos en tiempos de paz, al configurar las percepciones de los costos y beneficios de un ataque cibernético, independientemente del carácter o la cantidad de actores a ser disuadidos. La defensa cibernética activa implica la detección, el análisis y la mitigación sincronizada con las brechas de seguridad del área que sea víctima.
En base de los antecedentes anteriormente expuestos, creo que las definiciones en estas materias serán interesantes de debatir en las próximas directrices de la Estrategia Nacional de Ciberdefensa del Ministerio de Defensa, las cuales seguramente serán incluidas de lleno en los próximos libros de la defensa nacional.
Bruno Barrera Chevecich
Ingeniero Civil Industrial. MBA en Gestión y Dirección de Empresas