Este viernes y sábado se celebrará en Varsovia la Cumbre de Jefes de Estado de la Alianza Atlántica. La agenda de la reunión cubrirá numerosos aspectos de actualidad, la mayoría relacionados con la Federación Rusa (las relaciones entre la OTAN y Ucrania o el refuerzo de la presencia militar aliada en los países bálticos), el compromiso suscrito en la Cumbre de Gales (2014) de incrementar los gastos en defensa de los Veintiocho o la ciberdefensa.
Este último punto es uno de los más esperados, puesto que en Varsovia no sólo se pretende que los gobiernos se comprometan a mejorar su seguridad informática y armonizar sus capacidades con las del resto de los aliados, sino también se propondrá -en línea con la doctrina estadounidense, británica o francesa- que el ciberespacio sea designado oficialmente como un dominio de las operaciones aliadas tras los cielos, la tierra o los mares. Eso permitirá integrar este entorno en el proceso de planeamiento de la defensa, gestionar mejor los recursos existentes y orientar la obtención de cibercapacidades ofensivas, pero además forzará a todos los aliados a desarrollar cibercapacidades reales y efectivas.
Estonia sufrió un conjunto de ciberataques supuestamente respaldados por el Kremlin que colapsaron el país
Desde la Cumbre de Praga en 2002, la OTAN ha venido dando significativos pasos para articular su ciberdefensa. Sin embargo, el punto de inflexión no se produjo hasta la primavera de 2007, cuando Estonia sufrió un conjunto de ciberataques que, supuestamente respaldados por el Kremlin, colapsaron al país más conectado del mundo.
Estos ataques abrieron un interesante y controvertido debate en el seno de la OTAN: ¿Un ciberataque puede estar incluido dentro de los supuestos contemplados por el artículo 5 del Tratado de Washington, aquel por el cual un ataque contra uno de los aliados llevara consigo una respuesta colectiva?
En 2010 la OTAN estableció que los ciberataques constituían una de las nuevas amenazas a las que debía hacer frente
En el Concepto Estratégico de la OTAN presentado en Lisboa (2010) se estableció que los ciberataques constituían una de las nuevas amenazas a las que debía hacer frente la Alianza, lo que motivó el desarrollo de capacidades específicas para garantizar su defensa en el ciberespacio y la integración formal de la dimensión cibernética en el proceso de planeamiento de la defensa, aunque no será hasta la Cumbre de Varsovia cuando ello se produzca de forma definitiva.
Un año más tarde, los ministros de defensa de la Alianza aprobaban la política de la OTAN en materia de ciberdefensa que marcaba los objetivos y prioridades en esta materia, respaldada por un ambicioso y costoso plan de acción. Además, durante la Cumbre de Chicago de 2012 la ciberseguridad se integró en la iniciativa "Defensa Inteligente" de la OTAN, con el objetivo de desarrollar cibercapacidades de manera conjunta, pero en la práctica el desarrollo de estas capacidades es liderada por un reducido número de aliados.
Las principales potencias cibernéticas son reticentes a compartir todo su arsenal cibernético con sus socios de la OTAN
A pesar de todos estos avances significativos, la Alianza Atlántica sigue teniendo ante sí dos retos importantes en relación a la ciberdefensa: el primero, homogeneizar las cibercapacidades de los estados miembros. Ocurre que el nivel de madurez de los miembros en esta materia es heterogénea y proporcional a su capacidad de asimilar la importancia estratégica de esta dimensión. Es por ello que muchos países -siendo un caso paradigmático el nuestro- están afrontado su adaptación al ciberespacio desde la urgencia de quien ha llegado tarde a este dominio. Esa heterogeneidad en materia de cibercapacidades está provocando que algunas de las principales potencias cibernéticas de la OTAN -Estados Unidos, Reino Unido, Canadá, Francia o Alemania- se muestren reticentes a desvelar todo su arsenal cibernético, máxime cuando la Alianza Atlántica no dispone de capacidades propias de ciberataque.
El segundo reto es definir y limitar la aplicación del artículo 5: la Alianza sigue trabajando en la conceptualización de lo que es un ciberataque y tiene que determinar el umbral a partir del cual éste debería ser calificado como una agresión contra un estado miembro. El secretario general de la OTAN, Jens Stoltenberg, ha declarado que un ciberataque severo podría ser constitutivo de una respuesta colectiva, aunque ello no ayuda mucho a resolver el asunto.
Para no quedarse atrás, España necesita dar un significativo paso adelante en el desarrollo de cibercapacidades propias
La determinación de la atribución de un ataque cibernético continúa siendo el mayor escollo con el que se halla la Alianza Atlántica en este ámbito, puesto que hoy en día no es posible, desde el punto de vista exclusivamente tecnológico, determinar con absoluta certeza el autor material de un ataque cibernético. Esto requiere un análisis más amplio que añada al problema de la atribución variables relacionadas con el contexto geopolítico de un conflicto. En este sentido, a pesar de que la Alianza está definiendo las opciones de respuesta ante un ciberataque enemigo -cibernética, convencional o la combinación de ambas- cabe preguntarse si un ciberataque presumiblemente llevado a cabo por una potencia adversaria implicaría una respuesta real, y mucho menos colectiva.
En definitiva, a pesar de que la ciberdefensa se ha consolidado definitivamente en la OTAN, es necesario que los aliados desarrollen cibercapacidades propias porque difícilmente podrán valerse de los medios propios de la Alianza o aprovecharse de las capacidades del resto de los miembros, muchos de los cuales son reticentes a compartir sus ciberfuerzas. En este sentido, es indudable que España necesita dar un significativo paso adelante.
*** Guillem Colom y Enrique Fojon son miembros de THIBER (The cybersecurity think tank).