Manuel R. Torres Soriano - I Congreso Internacional de Estudios

CUESTIONES PROBLEMÁTICAS EN EL
ESTUDIO DE LA CIBERGUERRA
Manuel R. Torres Soriano
Nota biográfica del autor:
Manuel Ricardo Torres es Profesor Titular en el Área de Ciencia Política y de
la Administración de la Universidad Pablo de Olavide de Sevilla. Es Director
del Curso de Especialista Universitario en Análisis del Terrorismo Yihadista,
Insurgencias y Movimientos Radicales de esta Universidad, así como profesor
del Máster en Estudios sobre Terrorismo de la Universidad Internacional de la
Rioja (UNIR) y del Máster en Estudios Estratégicos y Seguridad Internacional
de la Universidad de Granada.
Palabras clave: ciberseguridad, internet, conflictos, hacktivismo, metodología.
Resumen:
El uso de ciberespacio como escenario y herramienta de enfrentamiento entre
actores estatales y no estatales constituye en la actualidad uno de los principales
objetos de reflexión por parte de los estudios estratégicos. El acercamiento científico a este objeto de estudio presenta numerosos limitaciones cognitivas y problemas de verificación que deben ser tenidos en consideración como paso previo
a cualquier investigación. El objeto de esta ponencia es sistematizar y analizar
las implicaciones de este conjunto de obstáculos al conocimiento académico de
la ciberguerra. Entre ellos se abordarán las percepciones erróneas sobre la naturaleza técnica del ciberespacio, el reducido número de casos de estudio sobre el
cual basar las generalizaciones, el carácter sesgado de las fuentes de información
disponibles, el carácter opaco de las interacciones entre el sector público y el
ámbito empresarial, y las consecuencias del dilema de seguridad en el ámbito de
los ciber-conflictos.
1
1. Introducción
Históricamente, la irrupción de una tecnología “disruptiva” no produce de
manera inmediata una doctrina clara y contrastada sobre su uso militar. Antes
bien, requiere de un considerable periodo de aprendizaje organizacional, no exento de ambigüedades y contradicciones. Aunque en la década de los noventa
se produjeron los primeros intentos por comprender las repercusiones de estas
nuevas herramientas, la reflexión sobre la ciberguerra es aún muy reciente. A
pesar de que son ya varios los países han redactado y publicado sus respectivas
estrategias de ciberseguridad, existe cierto acuerdo en considerar que aún no se
logrado una visión clara sobre como se actúa estratégicamente en el ciberespacio
en cuestiones tan importantes como: los movimientos ofensivos y defensivos, la
disuasión, el establecimiento de normas comunes, el control de armamentos, o
como integrar y coordinar la ciberguerra dentro de una estrategia de seguridad
nacional.
Esta falta de claridad tiene en buena medida su origen en la falta de fundamentación empírica sobre la que se sientan las reflexiones sobre la ciberguerra
(Nye, 2011). A excepción de varios ciber-incidentes puntuales, hasta el momento no ha tenido lugar ningún enfrentamiento bélico donde la ciberguerra
haya desempeñado un papel preferente. Esto convierte al pensamiento sobre
la ciberguerra, en un saber con un alto contenido especulativo, cuyas aseveraciones pueden verse profundamente modificadas por las experiencia procedente
de nuevos episodios de enfrentamiento en el ciberespacio.
2. Los problemas de atribución
Una de las principales particularidades de la ciberguerra reside en los problemas de atribución de responsabilidades. Un ciberataque no siempre deja tras de
sí una estela que pueda ser rastreada hasta llegar al responsable. Los procesos de
investigación forense son complejos técnicamente y consumen gran cantidad de
tiempo y esfuerzo. Los ataques pueden ejecutarse utilizando cientos de miles de
ordenadores repartidos por todo el planeta, los cuales son utilizados de manera
2
temporal sin el conocimiento de sus propietarios.
Los países atacados se ven en la necesidad de gestionar las consecuencias
del ataque, pero también de articular de manera inmediata una respuesta frente
a una agresión que procede de diferentes puntos del planeta, sin que pueda
conocerse la culpabilidad real de cada uno de los equipos atacantes.
En este sentido una de las facetas más controvertida del uso de la ciberguerra
como recurso de poder, es la compleja relación que se establece entre los Estados
y los actores no estatales. Aunque, como se ha señalado anteriormente, la
posibilidad de hacer realidad algunas de las dimensiones más destructivas de
la ciberguerra está reservada a los Estados que han sido capaces de desarrollar
dichas capacidades, sin embargo, los grupos de hackers y otros elementos que
actúan fuera de las estructuras estatales pueden ejercer un papel complementario
en este tipo de operaciones.
Los Estados pueden alentar, tolerar e incluso subcontratar a estos grupos
para que lleven a cabo ciberataques en la línea de los intereses gubernamentales.
La motivación de estos actores privados puede oscilar entre el patriotismo, el
narcisismo técnico, o el mero lucro criminal. Su existencia otorga a los Estados patrocinadores una serie de ventajas. Así, por ejemplo, las unidades de
ciberguerra del país pueden llevar a cabo operaciones encubiertas, negando su
responsabilidad ante un ataque que parta de su territorio, y atribuyendo su
origen a la iniciativa de grupos “descontrolados” que no siguen directrices gubernamentales.
Los Estados pueden contratar los servicios de organizaciones dedicadas a la
ciberdelincuencia, para llevar a cabo operaciones de menor envergadura, disipando su responsabilidad, y dificultando las represalias del país atacado. Así,
por ejemplo, un experto en ciberguerra de la OTAN no dudaba en afirmar: “si
quieres tener una ciber-capacidad de negación plausible, necesitas ser capaz de
aceptar cierto nivel de ciber-crimen” (Klimburg, 2010: 43).
Es lógico, por tanto, que algunos gobiernos encuentren útil la existencia
dentro de sus fronteras de una amplia comunidad de ciberdelincuentes, la cual
puede ser utilizada a modo de reserva estratégica cuando las necesidades del
3
enfrentamiento en el ciberespacio lo aconsejen.
3. Disuasión y represalias a través del ciberespacio
Los Estados tratan de disuadir a sus potenciales enemigos desarrollando
capacidades de respuesta que les permitan sobrevivir y responder militarmente
a una agresión previa. La capacidad de infligir un daño similar o mayor al
causado, reduce el los incentivos de un primer ataque. Sin embargo, en el
ámbito de la ciberguerra este razonamiento pierde parte de su eficacia.
En primer lugar, es posible que un Estado posea los medios técnicos y humanos necesarios para realizar una agresión de ciberguerra contra otro Estado,
pero al mismo tiempo puede ser inmune en gran medida a una ciber-represalia.
Esto es lo que sucede, por ejemplo, con Corea del Norte, cuyo aislamiento con
respecto al resto del mundo la mantienen desconectada de las redes globales de
comunicación, comercio e intercambio de información que podrían ser utilizadas
en un ciberataque. La posibilidad de desplazar las represalias hacia otros ámbitos, como un mayor incremento de las sanciones económicas o diplomáticas ha
demostrado históricamente una reducida eficacia. El uso de represalias militares
convencionales sólo es viable si sus consecuencias fuesen proporcionales al daño
causado por el ciberataque. Sin embargo, un ataque contra un régimen, como el
norcoreano, provocaría seguramente una escalada bélica de enorme peligrosidad.
La legitimidad de una respuesta de este tipo queda igualmente en entredicho
si la opinión pública no percibe cierta equidad entre la agresión y la respuesta.
En ocasiones es posible que la sociedad desconozca la existencia, o la magnitud
de una agresión cibernética, sobre todo si esta se ha consistido en acciones
preparatorias para hacer viable en el futuro un ciberataque de gran escala, o
para facilitar una acción militar convencional.
En el ámbito de la ciberespacio, las agresiones pueden ser muy graves, sin
que por ello sus consecuencias sean visibles. En ocasiones, los Estados afectados
pueden ser los primeros interesados en no divulgar la existencia del ataque.
Aunque, en sentido estricto, no suponen actos de ciberguerra, algunos países
como, por ejemplo, Rusia y China, han sacado partido a sus capacidades en este
4
ámbito para llevar a cabo operaciones de ciberespionaje a través de la infiltración
de las redes informáticas y el robo agresivo de secretos de sus adversarios. Las
víctimas pueden sentirse tentadas a no divulgar públicamente la existencia de un
tipo de acciones que evidencian la existencia de vulnerabilidades en los propios
sistemas, o la fuga de información susceptible de comprometer la seguridad
nacional. La necesidad de mantener el secretismo y por tanto la imposibilidad de
concitar apoyos entre la opinión pública reduce el abanico de posibles respuestas
ante el agresor. Así, por ejemplo, se especula con que el bombardeo producido en
septiembre de 2007 por parte de la aviación israelí contra un reactor nuclear en
construcción en territorio sirio, fue posible por una acción previa de ciberguerra
que engañó a los sistemas antiaéreos de Siria, e hizo posible la penetración en
el espacio aéreo (Clarke, 2010). La necesidad de no transmitir debilidad ante
el fracaso de los recién adquiridos y costosos sistemas de radar rusos explicaría
la contradictoria y dubitativa respuesta que tuvo el gobierno sirio, que no pudo
incluir en su lista de agravios contra de Israel el ciberataque sufrido.
En otros casos, los países afectados pueden verse tentados a minimizar la
gravedad de un ciberagresión para eludir sus responsabilidades o para no asumir
que se encuentran envueltos en un conflicto frente a un enemigo poderoso (Torres, 2011). Podemos encontrar un ejemplo en la reacción de la OTAN ante los
ciberataques contra Estonia en 2007. El gobierno de este pequeño Estado acusó
a Rusia de estar detrás de una serie de ataques cibernéticos dirigidos contra
las páginas webs gubernamentales, al tiempo que, como miembro de OTAN,
invocaba el artículo V del Tratado referido a la obligación de defensa mutua
entre todos los aliados ante la agresión a uno de sus miembros. Sin embargo, la
perspectiva de iniciar una confrontación armada contra Rusia como respuesta
ante una serie de daños producidos en el ámbito virtual, no resultó apetecible
para sus miembros, y eludieron catalogar los ciberataques contra Estonia como
un caso de agresión militar que justificase la activación de la clausula de defensa
mutua.
Más compleja aún, es la respuesta hacia operaciones de ciberguerra cuyos
efectos son un peligro potencial, como por ejemplo, las llamadas bombas lógi5
cas. Bajo esta denominación se aglutina un amplio conjunto de operaciones de
software cuyo propósito consiste en permitir al manipulador tener una “puerta
abierta” (pero oculta) en los sistemas de su enemigo para poder utilizarla cuando
considere necesario, activando un conjunto de comandos capaces de provocar un
daño al sistema o de lograr que este lleve a cabo un comportamiento anómalo.
Así, por ejemplo, una de las formas más simples, pero más efectivas de bomba
lógica son los comandos destinados a borrar toda la información contenida en
el propio equipo donde se encuentra alojada, incluyendo la propia bomba. Esto
supone la posibilidad de llevar a cabo un ataque que no deja rastro y que puede
inutilizar los sistemas informáticos del enemigo. Otras versiones más avanzadas
de las bombas lógicas son aquellos comandos que propician que el hardware
se provoque así mismo daños a través de una subida de tensión eléctrica, un
aumento de temperatura o cualquier otra operación que provoque un estrago.
¿Cómo debería reaccionar un país ante el descubrimiento de que otro país ha
sembrado sus sistemas de defensa con comandos cuya activación generaría consecuencias similares a las del bombardeo de esas instalaciones?
Es lógico pensar que los diferentes países con capacidades de ciberguerra
preparan en tiempos de paz el campo de batalla cibernético. Buscan las vulnerabilidades del potencial adversario, y se esfuerzan por infiltrar sus sistemas
y plagarlos de bombas lógicas y puertas traseras, para poder utilizarlas ante un
eventual enfrentamiento.
Otro elemento que afecta profundamente a los cálculos sobre la disuasión en
ciberguerra, es la propia naturaleza de las armas con las que se combate (Libicki,
2011). En la disuasión convencional es habitual que los Estados hagan una
demostración pública de sus arsenales para desanimar potenciales agresiones.
Los gobiernos no sólo recurren al efecto demostración en desfiles militares y
maniobras; también emplean su mejor armamento en conflictos en los cuales
no existe una necesidad operacional, pero donde, sin embargo, se puede hacer
alarde de una superioridad tecnológica.
Sin embargo, las ciberarmas basan gran parte de su eficacia en el secreto y la
sorpresa. La posibilidad de desbaratar e infiltrar la infraestructura informática
6
del adversario descansa generalmente en el descubrimiento de vulnerabilidades
en el diseño de sus sistemas y el software que los mantiene operativos. Son
las llamadas zero-day vulnerabilities: una serie de carencias y errores inéditos
que han pasado inadvertidos a los programadores o que, una vez detectados,
no ha habido tiempo suficiente para diseñar y distribuir los “parches” que los
corrijan. La utilidad de las ciberarmas depende directamente de que la víctima
potencial desconozca la existencia de brechas en su seguridad. Es, por tanto,
improbable que un actor decida hacer una demostración de sus capacidades de
ciberguerra con una finalidad exclusivamente disuasoria. Además, la ejecución
de un pequeño ataque, si pretende ser disuasorio, debe dejar tras de sí un rastro
digital hasta su autor, un conjunto de datos que puede ser estudiado y que
permite implementar las soluciones que eviten un nuevo ataque utilizando el
mismo procedimiento. En este sentido, los actos de ciberguerra generan una
curva de aprendizaje muy rápida.
De igual manera, la utilización de una ciberarma conlleva el riesgo añadido
de que su diseño pueda ser descubierto y descifrados por otros actores a través
de “ingeniería inversa”, lo que la hace susceptible de convertirse en una especie
de “software libre” que puede ser modificado, mejorado y adaptado para otros
fines, incluyendo el ataque contra su propio creador (Zetter, 2011)
El carácter necesariamente secreto de estas armas, junto a su atractivo
para actores incapaces de desafiar convencionalmente a sus adversarios, hace
muy difícil que se pueda alcanzar un “Tratado de control y limitación de ciberarmas”. De hecho, la lógica de la ciberguerra no sólo complica la disuasión, sino
que también beneficia al contendiente que decide tomar la iniciativa y lanzar el
primer golpe (Crosston, 2011). El tiempo transcurrido entre la decisión atacar
y sus efectos es prácticamente imperceptible, lo que dificulta la existencia de
sistema de alerta temprana y anticipación.
4. Ciber-defensa: La difusa línea entre lo público y lo privado
La gestión del ciberespacio es responsabilidad de múltiples actores públicos
y privados. A pesar de la indiscutible dimensión militar de la ciberguerra no
7
resulta posible limitar las labores de defensa únicamente al entramado estatal.
La lista de objetivos potenciales de ataque incluye las infraestructuras críticas
operadas tanto por el gobierno como por el sector privado.
Una estrategia de ciberdefensa centrada únicamente en las redes gubernamentales sería insuficiente a la hora de evitar el daño a servicios administrados
por bancos, sistemas de transporte o abastecimiento energético. La protección
de la seguridad nacional podría justificar la injerencia del Estado en la seguridad
informática de individuos y actores sociales y económicos.
Las brechas de seguridad en el sector privado, convenientemente explotadas
por un Estado hostil, pueden tener consecuencias desastrosas para la viabilidad
económica de los principales proyectos empresariales un país y de la construcción de sus sistemas de defensa. Al mismo tiempo, la necesidad de mejora de
los productos y servicios informáticos privados no sólo es una cuestión de importancia para la sociedad, sino que buena parte de los sistemas informáticos
militares proceden de los mismos productos desarrollados para su venta en el
mercado público.
Sin embargo, el desarrollo de la estrategia global de ciberseguridad que implique al sector privado se enfrenta con varios problemas. Las empresas no
siempre están dispuestas a asumir nuevos costes para conjurar una amenaza
sobre la que existe escasa conciencia. A la vez, existe una relación de suma cero
entre el gasto en la mejora de la seguridad del software comercial, y los beneficios obtenidos por la distribución de esos productos. Las empresas informáticas
generalmente están dispuestas a gastar en seguridad, siempre y cuando el incremento del precio no encarezca en exceso y reste competitividad a sus creaciones.
Normalmente las grandes empresas apuntan hacia un mercado global, lo que dificulta que estén dispuestas a asumir acuerdos o reglamentaciones nacionales.
Más delicada aún es la posibilidad de que los Estados exijan de manera encubierta a corporaciones extranjeras que desean introducir sus productos en nuevos
mercados la obligación de desvelar el diseño de seguridad de su software. En
caso de hacerlo los sistemas basados en su software se vuelven vulnerables. Esta
situación ya ha tenido lugar en el caso del gobierno chino, el cual se ha mostrado
8
muy susceptible ante la posibilidad de que los nuevos productos tecnológicos,
(especialmente aquellos que incorporan encriptación de datos) pudiesen debilitar la capacidad de monitorización de las comunicaciones de sus ciudadanos.
El acceso a dicho código, permite a China ejercer un estrecho control sobre sus
internautas, al tiempo que potencia sus capacidades de ciberguerra contra otros
Estados que utilizan esos mismos productos (Harris, 2008).
Las repercusiones estratégicas que las iniciativas empresariales pueden tener
para la ciberguerra no sólo se limitan al acceso por parte de algunos gobiernos
de tecnologías y productos orientados hacia el ciberespacio. Algunas ciberarmas son aplicaciones informáticas de un solo uso que han sido desarrolladas de
manera específica para atacar las vulnerabilidades de un determinado sistema.
La viabilidad de este tipo de acciones depende de la capacidad de acceder y
estudiar sin limitaciones la red o maquinaria que se quiere atacar, así como de
testar el ciberarma en un entorno controlado y discreto.
Una última faceta interesante de la relación entre lo público y lo privado
en el ámbito de la ciberguerra tiene lugar cuando una empresa privada ayuda a
Estado para que mejore sus capacidades de ciberdefensa o desarrolle su arsenal
cibernético. Tales iniciativas, pueden involucrar a un tercer Estado en un conflicto ajeno. Así, por ejemplo, durante el transcurso del conflicto militar entre
Georgia y Rusia en el verano de 2008, una empresa norteamericana, sin que
mediase autorización ni conocimiento por parte de Washington, decidió prestar
sus servicios al gobierno georgiano, trasladando su información a servidores estadounidenses. Los hackers rusos ataques también esos servidores, afectando a
otros servicios, lo que extendió los daños de la guerra ruso-georgiana a Estados
Unidos.
5. Paralelismo con la estrategia nuclear
A pesar de las evidentes diferencias en cuanto a su naturaleza, capacidad
destructiva y el contexto geopolítico en el cual tienen su origen, el desarrollo de
una estrategia sobre ciberguerra puede alimentarse de la experiencia proveniente
de varias décadas de pensamiento estratégico sobre el uso de armas nucleares.
9
Así, por ejemplo, existen numerosos paralelismos (Nye, 2011) entre ciber-armas
y armas nucleares con respecto a:
a) La superioridad de las acciones ofensivas sobre las defensivas.
b) Su potencial aplicación para fines tácticos y estratégicos.
c) La existencia de escenarios diferenciados de primer y segundo uso de estas
armas.
d) La posibilidad de crear respuestas automatizadas cuando el tiempo es escaso.
e) La existencia de consecuencias imprevistas y efectos en cascada cuando una
tecnología es nueva y escasamente comprendida.
f) La creencia en que las nuevas armas pueden ejercer el papel de “niveladores”,
que permiten que un Estado pequeño pueda desafiar directamente, aunque de
manera asimétrica, a un Estado mucho más poderoso.
Según el profesor Joseph S. Nye, estas similitudes hacen aconsejable tener presentes varias lecciones provenientes de la estrategia nuclear y que son aplicables
al ámbito de la ciberguerra:
a) El cambio tecnológico transforma continuamente los pilares sobre los que se
asienta la estrategia. Así, por ejemplo, inmediatamente después de la invención
de la bomba, existía la percepción de que los materiales que hacían posible la
fisión nuclear eran escasos, y por tanto, la disponibilidad de bombas atómicas
muy limitada. Esto no sólo condicionaba la elección de los objetivos, buscando
maximizar el impacto de un arsenal finito, sino que también explicaba la visión
dentro de los estrategas de que, por un lado, era posible desarmar nuclearmente
a un Estado si se neutralizaba su arsenal, y por otro lado, de que la disuasión nuclear sólo era posible si se mantenían disponible un número suficiente de bombas
atómicas para llevar a cabo represalias. Sin embargo, la invención de la bomba
de hidrógeno en la década de los cincuenta, no sólo aumento la capacidad destructiva de estas armas, sino que permitió que su fabricación fuese ilimitada.
Al mismo tiempo, hizo posible su miniaturización, lo que hizo factible desplegarlas en nuevos tipos de dispositivos como, por ejemplo, los misiles intercon10
tinentales, algo que alteró el cálculo estratégico. La doctrina de la Destrucción
Mutua Asegurada (MAD) era no tanto una estrategia, sino un hecho consecuencia del cambio tecnológico que convirtió a estas armas en inutilizables, debido
a la imposibilidad de escapar de las represalias de un enemigo nuclear.
En la actualidad se hace hincapié en la necesidad de reducir las
vulnerabilidades en el ciberespacio rediseñando Internet para hacer la
atribución de responsabilidades más fácil, mejorando el diseño del software, o manteniendo fuera de las redes comerciales a los sistemas más
sensibles. Sin embargo, es inevitable que se sigan produciendo nuevas
innovaciones tecnológicas que conviertan en obsoletas algunas de las
actuales premisas sobre seguridad. Por tanto, toda estrategia para la
ciberguerra deberá someterse a un rápido y reajuste de sus principales
premisas.
b) Las nuevas tecnologías provocan un reajuste de las relaciones cívico-militares.
La introducción de una nueva tecnología provoca que los diferentes componentes
de una institución compleja, como el Estado, obtengan diferentes lecciones y a
distinto ritmo. La nueva herramienta provoca un cambio en el status quo, alentando la competición entre los diferentes órganos burocráticos. Al comienzo
de la era nuclear, las élites políticas desarrollaron instituciones para mantener
y reafirmar el control civil sobre esta tecnología. Sin embargo, este proceso
fue complejo debido a las existencia de diferentes visiones y culturas organizacionales en él ámbito político y militar, sobre cómo se veía afectada la operatividad de la fuerza nuclear y la capacidad de respuesta como consecuencia de
la restructuración de las cadenas de mando y el establecimiento de mecanismos
de autorización múltiple. Resulta lógico que en el ámbito de la ciberguerra,
están tensiones se reproduzcan, y alcance una mayor complejidad debido a la
necesidad de sumar en el proceso a un ámbito tan heterogéneo como el sector
empresarial de ámbito internacional.
c) Los usos civiles de la nueva tecnología complican el establecimiento de estrategias de seguridad efectivas. La energía nuclear tuvo originariamente un
desarrollo militar, sin embargo, pronto tuvo un desarrollo civil motivado por
11
el optimismo con el cual se contempló sus posibles aplicaciones pacíficas. En
este proceso también desempeñó un importante papel el deseo político de evitar que los movimientos antinucleares pudiesen deslegitimar este armamento,
lo que originó la transferencia tecnológica al sector empresarial internacional a
través de iniciativas como el programa Átomos para la Paz. La aparición de
un poderoso lobby pro-nuclear facilitó la proliferación militar de esta tecnología
dentro países que inicialmente se habían interesado por sus usos civiles.
En el ámbito de la ciberseguridad, el sector privado no es sólo una parte
afectada, sino una pieza fundamental que gestiona la mayoría de las
redes e infraestructuras que sustentan el ciberespacio, lo que provoca
que la capacidad de actuación del Estado sea mucho más reducida.
Aunque el sector empresarial está interesado en incrementar su propia
seguridad y la del conjunto, la puesta en marcha de una estrategia de
ciberseguridad capaz de aglutinar y coordinar a todas las partes, se ve
obstaculizada por la existencia de diferentes perspectivas y un entorno
de competencia económica y recelo que hace difícil la cooperación.
d) El consenso puede originarse sin necesidad previa de cooperación. Tanto la
Unión Soviética como Estados Unidos, a partir de visiones distintas, llegaron
en paralelo a compartir una misma visión sobre las normas de conducta con
respecto al uso del uso del arma nuclear. La experiencia acumulada a partir
de falsas alarmas y numerosos incidentes propiciaron que ambos gobiernos tuviesen una visión similar sobre los peligros de la escalada militar, la difusión de
esta tecnología y la necesidad de establecer mecanismos específicos de control y
autorización. Los acuerdos explícitos se limitarían a constatar unas creencias a
las que ambas partes habían llegado por separado.
La reticencia de algunos países a sumarse a la cooperación internacional para establecer mecanismo de gobierno del ciberespacio puede
verse superada cuando estos actores lleguen a las mismas conclusiones
a partir de una experiencia individual. Así, por ejemplo, es posible
que Rusia y China abandonen su negativa a suscribir los acuerdos internacionales en contra de la cibercriminalidad, cuando empezasen a
12
percibir que los costes de tolerar a estos grupos superan los beneficios
que su presencia les proporciona. Aunque este aprendizaje puede producirse de manera discontinua y como consecuencia de crisis específicas,
no es descartable, por tanto, una visión internacional homogénea sobre
las grandes cuestiones de la ciberguerra sin que se haya producido una
cooperación activa.
e) La disuasión es compleja y no se limita sólo a las represalias. Durante la
Guerra Fría, la existencia de capacidades para un segundo ataque y la “Destrucción Mutua Asegurada” parecían constituir la base de la disuasión nuclear, lo
cierto es que las estrategias de disuasión se hicieron más complejas, sobre todo
cuando afectaban a las partes menos valiosas del espectro de intereses. La amenaza de represalias nucleares se vio complementada con el establecimiento de
bases avanzadas de fuerzas convencionales, declaraciones de intenciones, cambios en el sistema de alerta y el movimiento de fuerzas militares.
En el ámbito de la ciberguerra cabe la posibilidad de generar una disuasión que vaya más allá del desarrollo de ciber-capacidades ofensivas
para una respuesta inmediata. Así, por ejemplo, cabría la posibilidad
de proteger los ciber-intereses desarrollando defensas activas (similar al
papel que ejerce una “valla electrificada”) que permitan que el atacante
se infrinja asimismo el daño. De igual modo, se puede implementar
acciones que apunten al “poder blando” del atacante, erosionando la
reputación y credibilidad de aquellos actores que no respeten las reglas
básicas de conducta en el ciberespacio.
Bibliografía
Berkowitz, Bruce (2003), The New Face of War, New York, The Free Press.
Betz, David J. & Stevens, Tim (2011), “Cyberspace and the State: Toward a
strategy for cyber-power”, Adelphi Series, Vol. 51 Nº 424.
13
Betz, David J. & Stevens, Tim (2011), “Power and cyberspace”, Adelphi Series,
Vol. 51 Nº 424, pp. 35-54.
Broad, William J.; Markoff, John & Sanger, David E. (2011), “Israeli Test on
Worm
Called Crucial in Iran Nuclear Delay”, The New York Times, January 11.
Carr, Jeffrey (2010), Inside Cyber Warfare, Sebastopol, O’Reilly Media.
Clarke, Richard A. & Knake, Robert K (2010), Cyber War. The Next Threat to
National Security and What to do about it, New York, Harper Collins.
Clarke, Richard A. (2008), Your Government Failed You: Breaking the Cycle of
National Security Disasters, New York, Ecco.
Crosston, Matthew D. (2011), “World gone cyber MAD. How “mutually assured
debilitation” is the best hope for cyber deterrence”, Strategic Studies Quarterly,
Vol. 5 Nº 1, pp. 100-116.
Farwell, James P. & Rohozinski, Rafal (2011), “Stuxnet and the Future of Cyber
War”, Survival, Vol. 53 Nº 1, pp. 23- 40.
Harris, Shane (2008), “China’s Cyber-Militia”, The National Journal, May 31.
Joyanes, Luis (Coord.) (2011), Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio, Madrid, Ministerio de Defensa - Cuadernos de
Estrategia.
Klimburg, Alexander (2011), “Mobilising Cyber Power”, Survival, Vol. 53 nº 1,
pp. 41-60.
14
Kramer, Franklin D.; Starr, Stuart H. & Wentz, Larry (Eds.) (2009), Cyberpower and National Security, Washington D.C, Potomac Books Inc.
Langevin, J. R.; Mccaul, M. T.; Charney, S. & Raduege, H. (2008), Securing
cyberspace for the 44th presidency, Washington D.C., Center for Strategic and
International Studies.
Libicki, Martin (2007), Conquest in Cyberspace. National Security and Information Warfare, Cambridge, Cambridge University Press.
Libicki, Martin (2009), Cyberdeterrence and cyberwar, Santa Monica (CA),
Rand Corporation.
Libicki, Martin (2011), “Cyberwar as a Confidence Game”, Strategic Studies
Quarterly, Vol. 5, Nº 1, pp. 132-146.
Lord, Kristin M. & Sharp, Travis (Eds.) (2011), America’s Cyber Future. Security and Prosperity in the Information Age Vol. II, Washington D.C., Center
for a New American Security.
Lynn III, William J. (2010), “Defending a New Domain”, Foreign Affairs, Vol.
89 Nº 5, pp. 97-108.
National Academy of Sciences (2010), Proceedings of a Workshop on Deterring
CyberAttacks: Informing Strategies and Developing Options for U.S. Policy,
Washington D.C, The National Academies Press.
Nye, Joseph S. Jr. (2010), Cyber Power, Cambridge (MA), Belfer Center for
Science and International Affairs – Harvard University.
Nye, Joseph S. Jr. (2011), ”Nuclear Lessons for Cyber Security?”, Strategic
15
Studies Quarterly, Winter 2011, pp. 18-38.
Rattray, Gregory J. (2001), Strategic Warfare in Cyberspace, Boston, The MIT
Press.
Rizzi, Andrea & Prados, Luis (2010), “La cúpula del Partido Comunista Chino
dirigió el ataque a Google”, El País, 4 de diciembre.
Ruus, Kertu (2008), “Cyber War I: Estonia Attacked from Russia”, European
Affairs, Vol. 9 Nº 1-2.
Shachtman, Noah (2011), Pirates of the ISPs: Tactics for turning online crooks
into international pariahs, Washington D.C, Brooking Institution.
Torres, Manuel R (2011), "Los dilemas estratégicos de la ciber-guerra", Ejército,
Vol. LXXII Nº 839, pp. 14-19.
Zetter, Kim (2011), “DHS Fears a Modified Stuxnet Could Attack U.S. Infrastructure”, Threat Level, July 26. http://www.wired.com/threatlevel/2011/07/dhs-fears-stuxnet-attacks/
16