Legitimados para «hackear», prevenidos para el enemigo silencioso

El último, recibido esta pasada semana, se inició en Ucrania, desde donde saltó a otros países. La táctica fue, como en el caso de hace un mes, Wannacry , un secuestro de datos o «ransomware» que provoca el cifrado del equipo informático a cambio de un rescate, generalmente en bitcoins, la moneda virtual. El objetivo no fue tanto económico como perpretar el mayor daño posible . Aunque tuvo poca incidencia en España, este ataque puede enmarcarse en la ciberguerra que desde hace tiempo se está dando a nivel mundial. Y el problema es que, ante esta coyuntura especial, no existe una doctrina clara.

La estrategia de seguridad informática de los países suele centrarse más en la prevención que en una respuesta ofensiva clara, máxime teniendo en cuenta que muchas veces un ataque informático no se produce desde una ubicación concreta, sino en varias . Incluso desde varios puntos diferentes. Y tampoco por una sola persona. Puede darse el caso que un grupo de cibercriminales actúe en connivencia de un determinado país, que financian sus recursos. Y que el ataque planificado se produzca en otra región pero que, en realidad, el origen no esté en ninguno de esas localizaciones delimitadas. La lucha contra el cibercrimen es contra un enemigo silencioso, desconocido, que deja escasos rastros de su actividad, dificultando así su detección. Es como combatir a un fantasma.

Las continuas intentonas de penetrar en los sistemas son demasiado habituales. Hasta el punto, que incluso el secretario general de la Alianza Atlántica, Jean Stoltenberg , ha considerado recientemente que un ciberataque puede ser objeto de aplicación del artículo 5 del Tratado de la OTAN. En él se recoge que un ataque a cualquier estado aliado es considerado un ataque contra todos. Él se suma a las voces autorizadas que piden la creación de un ámbito virtual dentro del dominio militar por los potenciales riesgos que supone estar expuestos a los ciberatacantes.

En la Cumbre de la OTAN de Varsovia, celebrada en julio de 2016, los Jefes de Estado y de Gobierno acordaron, entre otros asuntos, que «el ciberespacio se reconoce como un nuevo dominio de las operaciones, al igual que el terrestre, naval, aéreo y espacial». Un nuevo escenario para articular mecanismos de defensa. Lo que se sigue sin saber es el autor detrás de la última ofensiva, el virus Petya , potencialmente más dañino y sofisticado que el del pasado mayo (Wannacry).

Aunque se sospecha que Rusia está detrás del ataque dirigido por sus rencillas con Ucrania , todas las opciones continúan abiertas, por lo que instituciones judiciales investigan este nuevo caso y las empresas de seguridad trabajan para que se recupere la normalidad. Inmediatamente después de que se notificaran las primeras infecciones, la Europol, la oficina europea de policía, estableció una «célula urgente de coordinación» que sigue «vigilando activamente» la difusión del virus y que está en coordinación con las autoridades de los países afectados y con la industria informática para intentar evaluar y mitigar su impacto.

Fuentes del Mando Conjunto de Ciberdefensa han confirmado a ABC que «la opacidad del ciberespacio y su anonimato son los mayores retos a los que se enfrentan los Estados ante un ataque cibernético». En este sentido -relatan desde el organismo- las diferencias entre un conflicto en el ciberespacio y una guerra «tradicional son muchas», entre las que se destacan: la dificultad para determinar la autoría y atribución del ciberataque, el lugar donde se inicia, el «armamento» utilizado (virus o gusanos informáticos) o la falta de «fronteras» nacionales.

En ese sentido, el anonimato de internet puede complicar la atribución de esta responsabilidad. Aún en el caso de que un ciberataque pueda ser atribuido a un individuo o grupo de individuos, la responsabilidad de esta acción «no es atribuible» al Estado, «salvo que estos agentes estén bajo su control, les preste asistencia en su territorio o bien contribuya con otro tipo de asistencia o apoyo», sostienen las mismas fuentes.

En esa misma línea se sitúa César Lorenzana , del Grupo de Delitos Informáticos de la Guardia Civil, quien asegura a este diario que para llevar a cabo una contramedida de tales dimensiones existen cuatro problemas que resolver: el escenario concreto de la respuesta, la atribución del delito, la proporcionalidad de la respuesta y la inmediatez en la que resolver todo lo anterior. «Uno de los motivos por los que los países, entre ellos España, se están volcando más en la parte defensiva es que la parte ofensiva plantea una serie de retos e interrogantes que no son fáciles de solucionar», asegura.

Desde el punto de vista de la jurisprudencia, si detrás del ciberataque se encuentra un grupo de particulares y no de un estado en particular no sería razón para aplicar el artículo. «Hay que partir de la base que la OTAN fue creada como una alianza ofensivo-defensiva en el contexto de la Guerra Fría en el que se planteaban ataques de estado a estado», comenta a este diario Justo Corti , investigador del instituto de estudios europeos y profesor de la universidad CEU-San Pablo.

El quid de la cuestión es determinar la naturaleza jurídica del ciberespacio, la cual se sitúa al margen de lo conocido, espacios marítimo, aéreo y terrestre. Sin embargo, sí cree que tras este tipo de ataques que se llevan a cabo a través de internet suele haber por regla general estados que acogen, financian o dan cobijo -aunque sea en contra de la autorización del territorio- a grupos de cibercriminales. En ese hipotético caso sí se puede utilizar ese argumentario en materia de derecho internacional y que los países aliados salgan en tromba en defensa de sus amigos. El problema -sostiene este experto- es que a día de hoy, al menos, el ciberespacio es «una suerte de nuevo mundo en alta mar donde todos navegamos pero, en principio, no existe una jurisdicción clara», argumenta Corti.

En aras de reforzar la lucha contra el cibercrimen, los expertos creen que es necesario un mayor esfuerzo ante el cambio de paradigma que se está produciendo en los últimos años a raíz de la proliferación de dispositivos conectados. «Todo esto es tan absolutamente nuevo y muy cambiante. Ahora, está trascendiendo, tocando el mundo físico», apunta José Rosell , socio director de la firma de seguridad S2 Group . La atribución del ciberdelito es, en muchas ocasiones, casi imposible, lo que puede limitar las acciones de los cuerpos de seguridad del estado y ejércitos para iniciar una respuesta. «¿Cómo demuestras que esa persona ha hecho eso? Hemos tenido incidentes que aparentemente parecían que provenían de un país concreto y resulta que se trataba de la empresa de la competencia», recuerda.

Por esta razón -insiste este experto- dada la la legislación internacional vigente en esta materia «es imposible hacer seguimiento» de un ciberataque, con lo que atribución del mismo es difícil. Y duda: «si no tienes enemigo… ». En su opinión, dado el contexto actual, es necesario desarrollar un marco legal para contemplar este tipo de medidas que se llevan a cabo en un entorno digital. «En otras cuestiones globales como puede ser el negocio marítimo se sabe que es algo internacional y aceptado . En internet no hay nada parecido, por lo tanto es improbable hacer un seguimiento de un ataque. Estamos vendidos, no hay herramientas». Este experto considera que la medida de contención es más bien defensiva y centrada en «la protección de España como país, de sus infraestructuras críticas, las instituciones públicas y los propios ciudadanos».

Una acción militar, en la actualidad, contempla nuevas posibilidades al margen del empleo de armamento tradicional. «No viene por las fronteras como una invasión», considera Borja Adsuara , experto en derecho en Red, en declaraciones a este diario. El empleo de otras «armas» más accesibles como un ordenador y la capacidad de un profesional informático pueden, incluso, provocar importantes estragos en caso de afectar a infraestructuras críticas de los estados. Hoy en día, los «límites entre la seguridad interior y exterior son muy difusos» y «no necesariamente viene de potencias extranjeras, sino de grupos de cibercriminales», que algunos de ellos están al servicio de gobiernos o actúan de mercenarios al mejor postor.

En su opinión, las vicisitudes del pasado ciberataque masivo por el virus Petya, que secuestraba virtualmente los equipos informáticos, no es motivo para invocar el artículo 5 del Tratado de la Alianza. «No hemos llegado a este momento», sostiene. Para ello -recuerda este experto- es necesario el consenso de los Estados miembros y su aplicación no es automática. Además, el desconocimiento de los verdaderos autores de la amenaza (según los expertos, Rusia estaría detrás por sus rencillas con Ucrania, epicentro del ataque) limita la respuesta militar.

El sistema nacional de ciberseguridad de países como España contempla la colaboración público-privada de profesionales y agencias de seguridad informática, que prestan sus conocimiento en la defensa nacional cuando la batalla, en estos casos, se libra en el ciberespacio. Además, existen mecanismos de colaboración internacional entre empresas y organismos de seguridad para la lucha contra el cibercrimen. «Mientras solo sea un ataque, que además es viral, y encontrar quién lo ha hecho, es un poco exagerado pensar en activar el mecanismo de la OTAN», considera este experto.