Las ciberamenazas a la seguridad de la Alianza se están volviendo cada vez más frecuentes, complejas, destructivas y coactivas. Los aliados han dado pasos importantes en ciberdefensa las últimas décadas. Más recientemente, en 2018, acordaron cómo integrar los ciberefectos soberanos, proporcionados voluntariamente por los aliados, en las operaciones y misiones OTAN así como establecer en nuevo Cyberspace Operations Centre. Pero, ¿está haciendo OTAN lo suficiente para hacer frente a los complejos y cambiantes desafíos del ciberespacio?
Enfoque sobre cibernética
La necesidad de reforzar la capacidad para defenderse contra los ciberataques fue reconocida por primera vez por los aliados en la Cumbre de Praga en 2002. Desde entonces la cibernética se ha convertido en un punto importante de enfoque en las agendas de las Cumbres. En 2008 se adoptó la política de ciberdefensa OTAN. En 2014 hicieron de ciberdefensa una pieza nuclear de la defensa colectiva, declarando que un ciberataque podría derivar en la invocación de la cláusula de defensa colectiva (Artículo 5) del tratado fundacional de OTAN. Item más, en 2016 reconocieron el ciberespacio como un dominio para las operaciones militares y se comprometieron a mejorar la ciberdefensa de sus redes e infraestructuras nacionales de modo prioritario.
Los aliados están determinados a emplear toda la gama de la capacidad, incluyendo la cibernética, para disuadir, defenderse y contrarrestar todo el espectro de la ciberamenaza, incluyendo la que forme parte de una campaña híbrida.
OTAN y sus aliados han dado pasos estratégicos, operativos y técnicos significativos para tratar la ciberactividad ilícita. No obstante, los aliados advirtieron en su última Cumbre de Bruselas en 2018 que las ciberamenazas se están volviendo cada vez más recuentes, complejas, destructivas y coercitivas.
El constante desafío que implica la cambiante naturaleza de las ciberamenazas requiere que la Alianza evalúa constantemente si se adapta y responde adecuadamente. Tres cuestiones son claves para evaluar el papel de OTAN en el ciberespacio:
¿Cuál es el propósito primario de OTAN en el ciberespacio?
¿Qué otros problemas tiene OTAN para lograr este propósito?
¿Hace OTAN lo suficiente para tratar la complejidad del ciberespacio?
Propósito y desafíos
La declaración más clara del propósito de OTAN, como Alianza, en el ciberespacio se hizo en primer lugar en Varsovia y reiteró en Bruselas: “Debemos ser capaces de operar con tanta efectividad en el ciberespacio como en tierra<, mar y aire, para reforzar y ayudar a la postura absoluta de la Alianza de disuasión y defensa”.
Tal vez el mayor desafío para esta visión sea que, en tanto que planteamiento militar, no puede ser logrado únicamente por medios militares. Todas las operaciones y misiones de la Alianza tienen un cierto grado de dependencia del ámbito civil o empresarial, sea en el contexto de la infraestructura de las comunicaciones, logística, equipo, o infraestructura crítica nacional de la nación anfitriona.
Esta capacidad habilitadora, así como los tradicionales objetivos militares, han sido siempre objeto de ciberataques –y lo serían, sin la menor duda, durante crisis o conflictos-. Item más, la ciberactividad ilícita no ha sido única competencia de los militares, pero ha sido atribuida públicamente a actores que van desde hackers a los servicios de inteligencia. Por tanto, lo que puede ser un desafío militar está de hecho inextricablemente ligado tanto a la Administración, la empresa e, incluso, los particulares.
El tratamiento de las ciberamenazas se ve también complicado por la significativa cantidad de actividad que ocurre en el ámbito del umbral de un conflicto armado. Aunque es complicado determinar la respuesta proporcionada y efectiva a tal ciberactividad ilícita, los aliados han perseguido varias estrategias.
Algunos –incluyendo Dinamarca, Estonia, Lituania, Holanda, Reino Unido y EEUU- han intentado usar la pública atribución de la ilícita ciberactividad para cambiar el comportamiento. EEUU ha diseñado también una nueva política para intentar reducir esa ciberactividad. El Cyber Command de EEUU admite ahora que “el adversario opera continuamente por debajo del umbral de conflicto armado para debilitar las instituciones y lograr ventaja estratégica” y ahora va a perseguir un compromiso persistente por el que busca interactuar de modo semejantemente continuo con quienes intentarían explotar lo vulnerable de EEUU en el ciberespacio.
Mientras OTAN es identificada frecuentemente con el compromiso de la defensa colectiva de su Artículo 5, posee una historia significativa de compromiso por debajo del umbral de conflicto armado. El Concepto Estratégico de OTAN establece tres tareas fundamentales para la Alianza: defensa colectiva, gestión de crisis y seguridad cooperadora. Hoy, por ejemplo, OTAN desarrolla una misión de instrucción en Iraq y está comprometida en operaciones de seguridad marítima en el Mediterráneo. OTAN debe seguir explorando cómo comprometerse de modo similar en el ciberespacio, porque incluso un ciberataque por debajo del umbral de conflicto armado puede ser fuertemente perjudicial, disruptivo y desestabilizante.
Finalmente, estos problemas –muchos actores, miríadas de actores y acciones en el ciberespacio- se complican por el rápidamente creciente ritmo de cambio: la tecnología sigue cambiando y la posibilidad de ataque aumenta conforme una cantidad cada vez mayor de dispositivos se conectan entre sí y a internet. Simplemente mantenerse al tanto de la amenaza requiere información, inversión, talento y capacidad técnica significativos.
Una vez comprendido el objetivo fundamental de ciberespacio de OTAN y las características del ciberespacio que hacen difícil conseguirlo, vamos a explorar el programa de tareas ciberespaciales que ya ha sido emprendido antes de pasar a considerar si OTAN se muestra ambiciosa tanto en su objetivo como en sus acciones.
Estado actual del trabajo
OTAN ha prestado mucha atención a lograr el fin militar de operar en el ciberespacio mientras no es capaz de confiar sólo en medios o actores militares. Dos corrientes principales de su actividad van en esa dirección: primero, la implantación del ciberespacio como un campo o dominio de operaciones y, segundo, la promulgación del Cyber Defence Pledge (Compromiso de Ciberdefensa).
El ciberespacio como un campo de operaciones
Desde que los aliados reconocieron el ciberespacio como un campo o dominio de operaciones en 2016 OTAN ha logrado varios hitos importantes. Tal vez lo más importante, en octubre de 2018 OTAN anunció el establecimiento del Cyberspace Operations Centre (CyOC) en su estructura de ensayos. CyOC sirve como componente del teatro de operaciones OTAN y es responsable de proporcionar conciencia de la situación del ciberespacio, planeamiento centralizado para los aspectos ciberespaciales de operaciones y misiones de la Alianza y coordinación de los problemas operativos ciberespaciales.
Junto con esta adaptación organizativa crítica los aliados acordaron en la Cumbre de Bruselas cómo integrar los ciberefectos nacionales, proporcionados voluntariamente por los aliados, en operaciones y misiones de la Alianza. Esto es plenamente coherente con el mandato defensivo de OTAN porque alinea cómo se defiende OTAN en el ciberespacio como lo hace en otros campos, con la contribución de los aliados en carros, aviones o barcos a las operaciones y misiones de la Alianza.
La estrategia y las directrices están madurando también. En junio de 2018 los aliados aprobaron la Vision and Strategy on Cyberspace como un campo o dominio de operaciones. Se prevé que, en 2019, se complete la primea doctrina sobre ciberoperaciones de OTAN, sujeta a la aprobación de los aliados, que servirá de guía a los mandos de OTAN.
Estas estructuras y conceptos sólo tienen valor si se implantan y emplean. A este fin OTAN está adaptando sus programas de formación, instrucción y maniobras. El NATO Cooperative Cyber Defence Center of Excellence ha acogido la responsabilidad de identificar y coordinar formación e instrucción en el campo de las operaciones de ciberdefensa de toda la OTAN.
Las maniobras de ciberdefensa son actualizadas continuadamente a la luz de los cambios en política y doctrina. En 2018 la Cyber Coalition –maniobras señeras de ciberdefensa OTAN con más de 700 participantes de aliados, socios y OPTAN- fueron sobre la integración de los ciberefectos nacionales proporcionados voluntariamente por los aliados. Otras maniobras OTAN, tal como la Crisis Management Exercise (destinadas a los cuarteles generales OTAN) y Trident Juncture 2018 (destinadas a la cadena de mando) incluyen y seguirán incluyendo ciberescenarios más significativos.
El Compromiso de Ciberdefesa
Junto con estos avances se está fomentando la concurrente plena adaptación de gobierno para cada aliado mediante el Compromiso de Ciberdefensa. Tal compromiso fue adoptado conforme al Artículo 3 del Tratado de Washington, que dice: “Los aliados mantendrán y desarrollarán su capacidad individual y colectiva para resistir ataques armados”. Como es imposible separar del todo los problemas militares, civiles e industriales en este espacio, OTAN tiene marcado interés en la mejora de la capacidad de ciberdefensa de las organizaciones de fuera del campo de la defensa.
El compromiso subraya el desarrollo en áreas tales como la adecuada dotación de recursos por el gobierno; intercambio de información y las mejores prácticas; y apoyarlas prácticas innovadoras del sector académico y privado. Los aliados se evalúan anualmente mediante una serie común de pruebas. En su informe más reciente en la Cumbre de Bruselas los aliados subrayaron la continuada utilidad del compromiso –ha atraído la atención de los altos cargos políticos sobre la ciberdefensa y fomentado la colaboración entre gobiernos aliados-.
Respuesta a ciberataques inferiores al umbral de conflicto armado
Los aliados están también dando pasos para considerar cómo responder de modo más sistemáticos a la ciberactividad ilícita que no llegue al umbral de conflicto armado. En la Cumbre de Bruselas los aliados expresaron su determinación de “emplear toda su capacidad, incluyendo la cibercapacidad, para disuadir, defenderse y contrarrestar todo el espectro de ciberamenazas, incluyendo aquéllas de campañas híbridas”.
Item más, decidieron “continuar trabajando juntos para desarrollar medidas que nos capacitarían para imponer costes sobre quienes nos perjudican”. Este tipo de respuesta, siempre de acuerdo con la legislación internacional y el principio de restricción y proporcionalidad, es crítico para gestionar de modo efectivo la prevalencia de una problemática ciberactividad inferior al umbral de conflicto armado.
Trabajo con los socios
Por último, para adaptarse satisfactoriamente en esta cambiante situación, OTAN trabaja a fondo con una serie cada vez mayor de socios. En 2016 el Secretario General se reunió con los presidentes del Consejo Europeo y la Comisión Europea para emitir una Declaración Conjunta sobre cooperación OTAN-UE. Según ella, así como un acuerdo técnico concluido entre los equipo de OTAN y UE de respuesta a incidentes, ambas organizaciones han aumentado su colaboración, principalmente en campos tales como intercambio de información, instrucción, investigación y maniobras.
OTAN está también apretando sus lazos con la industria a través de la ciberasociación, NATO Industry Ciber Partnership. Este ambicioso programa proporciona numerosas plataformas de intercambio de información, tendencias de amenaza y mejores prácticas. Esta interacción ayuda a montar relaciones fiables con la industria y capacitar más a todos para prevenir y responder ciberataques.
Grado de ambición
Con ello, Alianza y aliados mejoran activamente su ciberdefensa ayudando a OTAN a defenderse tan efectivamente como en tierra, mar y aire –permitiendo que el ciberespacio contribuya a su absoluta posición de defensa y disuasión.
¿Hacen Alianza y aliados lo suficiente?
Dada la preeminencia del ciberespacio para la guerra moderna es imperativo que la Alianza sea tan capaz en este campo como en los otros. La postura de la Alianza es sensible: intenta gestionar los problemas más significativos asociados al ciberespacio En último extremo, y no obstante, la Alianza debe seguir considerando cómo puede hacer más, habida cuenta que las ciberamenazas no hacen más que tender a impactos más graves.
Entonces, ¿qué más debería hacerse?
Es posible que los aliados quieran saber qué aspectos de su trabajo actual deberían ser prioritarios y recibir más recursos. El CyOC, por ejemplo, es el más significativo de la adaptación de la Estructura de Mando OTAN al ciberespacio. Según pase de su capacidad de operación inicial a la final será crítico que se le den suficientes recursos de plantilla –suficientemente experta-.
El nivel de ciberactividad ilícita inferior al umbral de conflicto armado seguirá siendo un continuo problema; si la Alianza se pregunta cómo responder mejor, individualmente y como Alianza, es posible que quiera considerar las herramientas existentes. Además del Artículo 5, por lo general el más conocido del Tratado, también tienen el 4, que permite consultas siempre que un aliado crea que se amenaza la “integridad territorial, independencia política o seguridad” de uno de ellos.
Finalmente, cuando quieran mantenerse al día con los cambios en este campo los aliados podrían encontrar beneficioso seguir evaluando cómo podría variar la colaboración con la industria –tanto cómo comparte la información como de qué modo adquiere la tecnología-.
En resumen, la Alianza debería seguir su ritmo actual, asegurar que, mediante una continuada atención y aportación de recursos, el ciberespacio puede convertirse en un asunto ordinario para ella.
Laura Brent está destinada en NATO’s Emerging Security Challenges Division y anteriormente ha estado en el cibercampo público y privado.
NATO Review, 12 de febrero de 2019.
Por la trascripción:
Leopoldo Muñoz Sánchez
Coronel de Intendencia ET (R).