Tal y como describe la OTAN —tradicionalmente convertida en doctrina— un dominio de operaciones militares debe responder a características diferenciales que tienen como objetivos (1) operar en él, (2) no estar completamente incluido en otro dominio, (3) implicar la actuación de fuerzas de los bandos, (4) ejercer el control sobre el oponente, (5) impulsar la sinergia con otros dominios, y (6) proporcionar la oportunidad de generar desequilibrios con otros dominios.
Utilizando esta definición, resulta evidente que la transformación digital de la sociedad ha traído consigo un 5º dominio de acción que se ha convertido en un nuevo entorno de operaciones militares, tanto ofensivas como defensivas. Un entorno al que se ha denominado ciberespacio.
Reglas en el ciberespacio
En este nuevo ‘campo de batalla’ el control del entorno se hace casi inabordable. Cada cinco años nos encontramos con que los equipos en red se multiplican por tres. Equipos que interactúan unos con otros ampliando sus límites. De facto, se estima que para el año 2040 el número de elementos interconectados superará los 5.000 millones a nivel mundial.
Desde la perspectiva militar, una particularidad de este dominio es que menudo se desconoce cuál es el adversario, no existen alertas previas, los engaños y señuelos son más sencillos de desplegar y la gestión de las amenazas resulta compleja —más aún cuando las acciones que podrían anticipar un ataque se muestran ambiguas.
Mientras las beligerancias que preceden una guerra tradicional son bien conocidas, el comienzo de una ciberguerra está aún por conocer. Los límites entre vigilancia y ataque real son difusos y a ello hay que unir la proporcionalidad de la respuesta.
Si se piensa detenidamente, algunas de las acciones contra intereses económicos, industriales o sociales, llevadas a cabo históricamente por numerosos hackactivistas, podrían en algún momento ser consideradas como acciones hostiles de una potencia extranjera.
Ciberoperaciones
Las operaciones militares de ciberdefensa implican conceptos que interrelacionan operaciones de recogida de información (IO), operaciones de manipulación de la información (PSYOP), servicios de suplantación de identidad o “deception” (MILDEC) y finalmente la guerra electrónica (EW). Hasta el momento, podríamos decir que hemos visto acciones que encajan en los tres primeros conceptos; respecto al cuarto mantendremos una tensa prudencia.
Si analizamos los modelos tradicionales de un ciberataque encontraremos que existen tres patrones que se utilizan con cierta asiduidad: (a) la explotación de vulnerabilidades conocidas y que normalmente son empleadas por los ciberdelicuentes; (b) el descubrimiento de nuevas vulnerabilidades que son comercializadas en el mercado negro de la Dark Web para su explotación en entornos restringidos; y (c) la creación de nuevas vulnerabilidades —incluyendo la ingeniería social. En estas últimas es donde se suelen centrar las unidades militares y/o los servicios de inteligencia.
Hostilidades
Sin embargo, sea cual sea el patrón utilizado, ninguno de ellos resulta fácilmente verificable como un verdadero acto militar. Los daños ocasionados por el robo de datos, su manipulación o la indisponibilidad de servicios son habituales dentro de todos los ámbitos de la sociedad. No son fácilmente relacionables con objetivos militares pese a que los ciberdelincuentes mantienen estrechas relaciones o incluso parecen protegidos por los propios Estados. Se trata normalmente de actuaciones que muestran “la fortaleza tecnológica” a través de actos que podrían percibirse como disuasorios —igual que las maniobras militares que se organizan entre países aliados.
Una característica relevante es que, en muchas ocasiones, el coste de realizar esos ataques resulta relativamente bajo. Las técnicas de ingeniería social facilitan mucho el proceso. En otros casos, el valor del “armamento” empleado resulta principalmente estratégico, más aún si se tiene en cuenta que la explotación de una vulnerabilidad creada o descubierta tiene un tiempo limitado de uso después de ser empleada ya que rápidamente impulsará el desarrollo de contramedidas. De ahí que los actores cuiden con exquisito celo su utilización.
Ciberejércitos
En la actualidad los países mejor preparados para un afrontar un ciberataque son EEUU, Rusia, Israel, China, Corea del Norte… Nada sorprendente, por otra parte, si se tiene en cuenta que todos tienen unidades de ciberdefensa; un verdadero ejército de efectivos tecnológicos.
Por lo general resulta difícil calcular el tamaño de los ciberejércitos que existen en el mundo. Se habla de más de 6.000 efectivos en EEUU, entre 3.000 y 6.000 en Corea del Norte o más de 100.000 en China. Es evidente que en el ciberespacio la fortaleza no reside solo en el número de efectivos disponibles sino más bien en su cualificación y en las “armas” que tienen a su disposición. Y de nuevo el conocimiento y la tecnología marcan la diferencia.
Por eso, no sorprende que muchos países comiencen a plantearse la idea de reclutar a modo de reservistas a aquellos selectos —y escasos— profesionales —y no profesionales— del sector de la ciberseguridad que puedan contribuir con su dilatada experiencia a la defensa de su integridad territorial y “sus fronteras digitales”. Se trata de una iniciativa controvertida que aún está siendo analizada y que progresivamente va tomando forma en Europa, con países como Francia o Reino Unido como referencias destacadas. En España, la idea lleva siendo estudiada desde hace varios años.
El perfil del cibersoldado
Es probable que en algún momento Europa lo convierta en una realidad común. Su implantación, pese a todo, no estará exenta de importantes aristas. Una de ellas relacionada con los perfiles que serán necesarios —desde expertos tecnológicos hasta profesionales del derecho internacional, por poner un ejemplo.
Y cuando hablamos de perfiles también nos referimos a la personalidad de los candidatos. ¿Asumirán algunos de estos perfiles unas normas castrenses que choquen con las pautas y formas de actuar que precisamente los convirtieron en atractivos valores para actividades de defensa y ataque en el ciberespacio?
La respuesta no parece sencilla. Por eso, es probable que tengamos más éxito si la pregunta la planteamos a la inversa. Conocidas las singularidades, ¿estarán dispuestos los Estados a convertir a los hackers en soldados? Se admiten apuestas.
Juanjo Galán, business strategy de All4Sec