NUEVA VISIÓN DEL CIBERMANDO DE EEUU: QUÉ IMPLICA Y POR QUÉ IMPORTA
El Cyber Command de EEUU (USCYBERCOM) ha redactado de modo efectivo una nueva estrategia de mando (formalmente denominada “Command Vision” aunque se refiere a fines, modos y medios) basado en el reconocimiento de que el dominio del ciberespacio ha cambiado de forma fundamental desde que se estableció el Command en 2009. Según su experiencia de los últimos ocho años el Command ofrece un nuevo punto de vista que se alinea con la realidad estratégica dentro de la que puede operar satisfactoriamente. El documento “Achieve and Maintain Cyberspace Superiority: A Command Vision for US Cyber Command” marca una evolución significativa en las ciberoperaciones y el pensamiento estratégico; presagiando una oportunidad de lograr unas mayores seguridad y estabilidad en la situación digital global interconectada.
Recientemente en Lawfare, Michael Sulmeyer, anterior director de planes y operaciones de política cibernética del ministerio de Defensa de EEUU, elaboró una evaluación relativamente positiva del nuevo punto de vista de la United States National Security Strategy (NSS) sobre ciberseguridad, observando que la “Administración muestra su comprensión de que el ciberespacio es una parte fundamental de prácticamente todos los aspectos de la seguridad nacional”. El nuevo punto de vista del Command se basa claramente en la NSS, proporciona una hoja de ruta para dirigir las ciberoperaciones y apunta a un marco político que debe evolucionar para asegurar que tales operaciones triunfan a la hora de hacer avanzar los intereses nacionales de EEUU. Ese punto de vista también se centra en reducir la erosión de la potencia competitiva de EEUU contenida en la recientemente publicada National Defense Strategy.
Esta Command Vision se alinea claramente con el contexto estratégico y la situación operativa que se han producido a lo largo de la década pasada y proporciona una amplia visión sobre cómo hacer frente a estas nuevas realidades. La implantación satisfactoria de este nuevo punto de vista estratégico y operativo requerirá una nueva idea del gobierno y el mundo académico para asegurar que se dispone de las correctas estructuras de organización, procesos de toma de decisiones, vías de desarrollo de la capacidad y autoridades. Ha proporcionado el fundamento para tal nuevo ciberpensamiento.
Contexto estratégico
El punto de vista estratégico del Command realiza una serie de suposiciones sobre el ciberespacio como un dominio que no han sido explícitas en el pasado o representan importantes cambios de la anterior idea en EEUU. Primero y principal está el reconocimiento de que el comportamiento del adversario establecido intencionadamente por debajo del umbral de la agresión armada tiene un efecto estratégico. Esta idea se aleja de la bifurcación convencional de considerar la ciberactividad como “hackeo” y relacionado bien como una molestia (delito) o un posible ataque pro sorpresa contra una infraestructura crítica. En lugar de ello, la estrategia se centra sobre las ciberoperaciones adversarias por lo que son –campañas muy pensadas que intentan degradar el poder de EEUU y hacer avanzar su propia capacidad relativa mientras evitan una significativa reacción de EEUU-. Alejándose del marco de “hackeo”, “incumplimiento”, “incidente”, “ataque”, hacia un reconocimiento de que lo que está poniendo en peligro significativamente la fuerza de EEUU son las sofisticadas campañas que socavan el poder diplomático económico militar así como la cohesión social es un paso importante adelante en el pensamiento de EEUU. La visión reconoce que, a diferencia de los espacios terrestres en donde los efectos estratégicos tienen una necesaria agresión territorial (o la amenaza de ello), las ciberoperaciones han abierto una nueva brecha en la distribución de poder y pueden impactar sobre el poder relativo sin ninguna agresión armada tradicional. En su ensayo de Lawfare Sulmeyer admitía el borrador de NSS en su reconocimiento de la relación entre ciberseguridad y poder de EEUU. La estrategia del USCYBERCOM procede de ese marco de NSS.
La segunda suposición fundamental es que, ahora, EEUU hace frente a competidores equiparables en el dominio del ciberespacio. Así, la cibersuperioridad, que es fundamental para la superioridad en otros ámbitos militares, no está asegurada y se encuentra actualmente en continua tensión. La estrategia da por supuesto que el ciberespacio es un terreno congestionado y polémico, como que, mientras la capacidad varía entre los países, las organizaciones extremistas violentas, los grupos criminales organizados y los hackers, todos ellos pueden contribuir a dañar los intereses de EEUU (incluyendo cuando apoyan a estos otros actores para hacer avanzar sus objetivos mientras conservan una capacidad negativa y de incertidumbre sobre la aportación).
La realidad estratégica importante final que reconoce el documento es que el statu quo se está deteriorando por las normas que, por defecto, está estableciendo el adversario. Esto es algo que no solo pone en peligro los intereses de EEUU sino orienta al ciberespacio hacia un futuro caótico. La nueva estrategia apunta a compensar estas normas negativas. La visión concede adecuadamente al adversario una razonable suposición de cálculo inteligente. USCYBERCOM admite que el adversario “explota nuestras dependencia y vulnerabilidad en el ciberespacio y usa nuestros sistemas, procesos y valores contra nosotros para debilitar nuestras instituciones democráticas y obtener ventajas económicas, diplomáticas y militares”. La consecuencia, por supuesto, no es sólo la necesidad de un nuevo punto de vista, que ahora nos ofrece, sino la necesidad de atender más toda nuestra infraestructura estratégica nacional del ciberespacio si queremos eliminar la iniciativa de manos del adversario que operan sin restricciones de ninguna clase por debajo del umbral de la amenaza de guerra.
Contexto operativo
Basados en la experiencia de USCYBERCOM la visión distingue explícitamente las características del ciberespacio como un dominio operativo. Concretamente el documento reconoce que la interconectada naturaleza del ciberespacio lleva a una situación de constante contacto y terren0o cambiante en donde la persistente acción desafía continuamente la propia capacidad de defensa y maniobra. Se vuelve a definir la seguridad como basada en recuperar la iniciativa para lograr una “ventaja continua táctica, operativa y estratégica”. Lo que se podría olvidar en la presentación pública de esta declaración es que la iniciativa no es la de la ofensa sino, más bien, anticiparse a dar un paso adelante en el espectro de las ciberoperaciones.
Por supuesto, este punto de vista resalta notablemente ligar la capacidad de recuperación, la defensa y la capacidad de respuesta en un marco operativo continuo. Estas orientaciones operativas reconocen que los puntos de vista previos de EEUU le llevan en último extremo a efectuar “una limpieza del pasillo nueve” (una operación de limpieza) al tratar con demasiada frecuencia al adversario dentro de nuestras redes (o después de que las exploten) más bien que frenarlo antes de que pueda entrar. Lo que es interesante es cómo se relaciona este esfuerzo con la capacidad de recuperación para producir resultados estratégicos. La estrategia reconoce que, junto con la capacidad de recuperación del gobierno, una mejor alineación entre el desarrollo de tecnología por el sector privado y el objetivo de seguridad nacional así como una mejor coordinación entre los servidores de internet, las empresas de seguridad y los objetivos políticos del gobierno, puede hacer inútiles las actividades del adversario. Esto hará posible que USCYBERCOM dirija su mirada hacia las amenazas con consecuencias reales. Aquí se puede encontrar una importante semejanza con la Cyber Strategy de Gran Bretaña en 2016 que creó su National Cyber Security Centre con una misión similar de enfoque sobre reducir proactivamente los efectos de las persistentes ciberoperaciones del adversario. Mientras la estrategia apunta a este objetivo, no establece cómo se producirá esta alineación crítica entre el sector privado y el punto de vista de las ciberoperaciones militares. Un nuevo punto de partida a considerar es que se refiere más a la alineación de la acción que a la asociación –concepto aún usado en el documento de visión (uno del que hemos estado hablando en EEUU durante más de 20 años pero que no ha resultado en nada)-.
Dejando aparte esa limitación, en este caso la innovación es la mayor claridad de lo que pudieran ser las consecuencias debido a una cada vez menor superficie de vulnerabilidad (de usuario y técnica), responder a las restantes ciberoperaciones del adversario puede producir entonces un efecto estratégico como la “fricción táctica” que el adversario experimenta mediante la continua actividad de EEUU que le impulsa a cambiar sus recursos (y su idea) hacia su propia vulnerabilidad y defensa. De este modo, el punto de vista del Command intenta sustituir la actual situación de que el adversario actúe con relativa impunidad por un cálculo diferente, más complicado por su parte. Esto puede llevar, con el tiempo, a una normalización del ciberespacio que sea menos “libre para todos” y potencialmente más estable. No resulta contradictorio suponer que, en una situación de acción constante, hará falta una acción contraria para moderar efectivamente el comportamiento.
No deja de ser interesante que la estrategia anticipe la crítica de los oponentes, que acusarán a EEUU de potencialmente militarizar el ciberespacio mediante esta postura. La idea apunta explícitamente a que el ciberespacio ha sido militarizado por las acciones del adversario durante la última década. Y lo que es más importante, la idea resalta que ésta no es una doctrina ofensiva sino un punto de vista operativo continuado que integra la capacidad de recuperación, la defensa y la respuesta a la actividad del adversario. Sulmeyer sugería en diciembre que NSS “perdía la oportunidad de resaltar la necesidad de que la Cyber Mission Force del Cyber Command debe ser una fuerza presta a combatir”. La estrategia de USCYBERCOM no sólo cubre esa omisión de NSS sino que nos ofrece una comprensión única de lo que significa “combatir” en el ciberespacio mediante su reconocimiento de una capacidad de recuperación, una defensa y una capacidad ofensiva continuadas. Esto es recogido por un objetivo operativo denominado “crear fricción al adversario”. En estas tres formas de operación –capacidad de recuperación, defensa y respuesta al adversario- se puede ver el modo en que cada una crea fricción en el planeamiento y las operaciones del adversario. Una mejor capacidad de recuperación incrementará el esfuerzo inicial que un adversario necesita para operar, la defensa creará una interrupción temprana y la respuesta hará que el adversario tenga que reordenar sus recursos para su defensa. La constitución de tal fricción puede tener un efecto potencial absoluto de conformación, pero se genera por la fricción producida, no por la amenaza de infligir costes asociada a la previa estrategia de disuasión por la capacidad de anulación o la sanción. Esto supone un importante avance conceptual.
De la parte del documento del comandante, almirante Michael S. Rogers, se deducen cinco imperativos diferentes, pero relacionados y que refuerzan, para hacer avanzar la estrategia hacia el éxito. Sin exponerlos aquí en detalle lo principal es que representan acciones que, como un nuevo mando unificado de combate USCYBERCOM puede lograr.
Marco político
El documento apunta que se alinea por completo con las nuevas National Security Strategy y National Defense Strategy. Detalla la relación entre las ciberoperaciones y el espectro del poder de EEUU. La estrategia se centra principalmente en cómo tales operaciones contribuyen a: el poder de la diplomacia de EEUU (la posibilidad de apoyo a las sanciones o la presión reversible de modo discrecional); combatir las actividades de información de otros; facilitar “la superación de la capacidad militar del adversario” y, muy importante, hacer la fuente del poder económico de EEUU “más recuperable y defendible”. Es importante considerar las ciberoperaciones como un componente fundamental de la política de seguridad nacional del gobierno. (Téngase en cuenta, por ejemplo, que no hace más de 12 años la palabra “ciber” aparecíó sólo una vez en todo NSS).
Dentro de ese contexto político, un problema significativo es la inclinación de EEUU a dividir los papeles y las responsabilidades del gobierno según un modelo marcadamente jerárquico, burocrático. Sin embargo, en un dominio interconectado la respuesta no es la segmentación sino, más bien, la sinergia. Una vez más parece que los británicos buscan una mayor sinergia organizativa con su National Cyber Security Centre. Australia e Israel están organizando algo parecido. Mientras que la estrategia de USCYBERCOM no trata directamente la cuestión organizativa pendiente de separar los dos gorros de jefe y director de la National Security Agency, bueno sería que la administración Trump se dedicara un poco a pensar en tal paso como inevitable y abierto a una nueva consideración –es posible que nos hayamos adelantado demasiado en organizar un área de ciberseguridad correctamente (una fuerte relación entre nuestra principal unidad ciberoperativa militar y nuestra agencia de inteligencia)-. La prioridad inmediata debería ser, al menos, implantar la nueva estrategia de USCYBERCOM en el contexto de su nueva condición superior de mando unificado para, luego, hacer una comprobación real de dónde ir desde el punto de vista organizativo (por ejemplo, se podría considerar un modelo híbrido de delegaciones con más poder en ambas organizaciones que informen a un jefe con doble gorro).
Decisiones valientes
Siguen estando pendientes las decisiones importantes. Mientras que alinear las ciberoperacines con la política nacional es fundamental, es de esperar que la estrategia catalice al resto de la comunidad política para volver a pensar valientemente en el proceso de toma de decisiones, las autoridades operativas y el desarrollo de la capacidad –todo lo cual debe quedar alineado para responder a la realidad del ciberespacio-. En la actualidad nada responde a lo que el ministro de Defensa, James Mattis, llama “Rapidez en la relevancia”. Dos variables fundamentales que apunta la estrategia son el tiempo y la fluidez: las cosas ocurren deprisa y cambian con regularidad. La estrategia resalta sucintamente cómo (con continuidad), dónde (global), cuándo (continuadamente) y por qué (lograr ventaja operativa), pero nada de esto logrará un efecto total si no está apoyado por un marco político alineado que se pueda ajustar a la velocidad y fluidez de este dominio operativo. La revolución nuclear ha traído cambios fundamentales en las organizaciones de seguridad, desarrollo de capacidad y proceso de toma de decisiones que describen las realidades nucleares de EEUU. Mientras que está fuera del ámbito de la estrategia de un mando combatiente unificado realizar tal cambio, la visión de USCYBERCOM debería ser tomada como un punto de partida para una investigación y un debate (y una acción) significativos para tratar ampliamente cómo se debería organizar EEUU para asegurar el ciberdominio. Desde hace 70 años el Strategic Command todavía mantiene simposios anuales para investigar las consecuencias de su estrategia fundamental de la disuasión nuclear. Necesitamos el mismo sostenido análisis de las ciberoperaciones.
Una más amplia investigación y la comunidad académica, junto con los principales departamentos del gobierno, necesitan evaluar más intensamente los ajustes necesarios para lograr el éxito en un dominio interconectado de contacto constante, un campo en cambio continuo y una persistente disputa sobre quién puede mantener la iniciativa. Tenemos mucho trabajo por delante. El problema, por supuesto, es que el adversario está ganando ventaja activamente, de modo que hay que empezar a trabajar inmediatamente. Se podría sospechar que, en las capitales de algunos de nuestros ciberadversarios, la alineación de la estrategia de USCYBERCOM con las realidades del espacio operativo se logrará mediante “maldita sea, lo han encontrado, esto va a ser más difícil”. Ésa será el efecto inmediato de la visión. Pero, tal vez más importante, la nueva estrategia de USCYBERCOM pueda ser un acicate para una clase de pensamiento más firme sobre ciberoperaciones, estrategia y poder en el siglo XXI. Ése podría ser su legado específico.
Richard J. Harknett (23 de marzo de 2018)
IEEE, Boletín de Novedades 18/04/2018
MCCD, Boletín de Noticias Nº 7.
Por la trascripción:
Leopoldo Muñoz Sánchez
Coronel de Intendencia ET (R)