Mensajes clave
- En el tablero del siglo XXI, la ciberdefensa no puede ser sólo un escudo. Sin la capacidad de proyectar fuerza en el ciberespacio, sin una espada, los Estados tienden a la irrelevancia en un mundo en el que el código es el nuevo acero.
- La fabricación de esa espada no puede encomendarse a terceros, pues significa delegar la última línea de defensa. Desarrollar una industria especializada en capacidades ofensivas para el ciberespacio no es solo una urgencia de seguridad nacional, es la única opción posible para garantizar debidamente la disuasión y la supervivencia frente a las nuevas amenazas.
- Solo a través del compromiso firme de todos los actores implicados será posible transformar este complejo desafío en una ventaja estratégica sostenible.
Análisis
Introducción
El ciberespacio se ha convertido en un ámbito más de las operaciones militares, junto a tierra, mar, aire y espacio. En él existen intereses que hay que proteger del adversario, así como objetivos enemigos que pueden ser atacados. Además, un cúmulo de circunstancias da lugar a que en el ciberespacio exista una permanente actividad hostil, con independencia de lo que ocurra en el “mundo real”, y un ecosistema de actores muy heterogéneo en cuanto a capacidades y motivaciones.
Este contexto obliga a los Estados a proveerse de capacidades para operar en el ciberespacio, al igual que lo hacen en los otros dominios, integradas y formando parte esencial del entramado que constituye su defensa nacional.
Lo convulso del entorno geopolítico y la pérdida de confianza en las alianzas tradicionales recomiendan alcanzar el mayor grado posible de autonomía en la obtención de capacidades militares. Y ello obliga a la potenciación de las industrias nacionales de defensa (incluyendo las de ciberdefensa), sector cada vez más tecnificado y complejo.
Este artículo analiza la necesidad actual para un Estado como España de disponer de una capacidad ciberofensiva potente y soberana, así como los condicionantes y dificultades que ello entraña.
Las operaciones militares en el ciberespacio
Desde el origen de los tiempos, el ser humano ha combatido en los ámbitos y con las armas que la tecnología disponible se lo ha permitido. Primero, en los espacios terrestres y marítimos, hasta la aparición sucesiva, ya alcanzado el siglo XX, del dominio aéreo, del espacial y, finalmente, del ciberespacial.
El ciberespacio ofrece al atacante múltiples ventajas (negación plausible, asimetría, accesibilidad, opacidad, agilidad, etc.), motivo por el cual está siendo profusamente empleado por todo tipo de actores para una amplia variedad de fines. Por otra parte, la creciente conectividad, digitalización y automatización amplía enormemente las posibilidades de actuar contra un adversario. Y si en un principio los objetivos se limitaban a las redes y sistemas de información y telecomunicaciones, la convergencia de las tecnologías de la información (IT) y las tecnologías operacionales (OT) ensancha enormemente el abanico de objetivos potenciales, hasta tal punto que raro es el activo que no puede ser afectado por medio de alguna técnica de ciberataque. Adicionalmente, es muy probable que el agresor no limite su acción contra objetivos militares, sino que la amplíe a todo el abanico de posibilidades, incluyendo infraestructuras críticas y servicios esenciales, que se encuentran mayoritariamente en el ámbito privada, como es el caso de los cables submarinos.[1]
La publicación doctrinal conjunta de la Organización del Tratado del Atlántico Norte (OTAN) AJP-3.2 define las operaciones en el ciberespacio (ciberoperaciones) como aquellas acciones en o a través del ciberespacio destinadas a preservar la libertad de acción amiga o a crear efectos para lograr los objetivos del mando. Esta misma publicación establece los principios rectores de operaciones conjuntas de la OTAN en el ciberespacio, en las que se integrarían las ciberoperaciones ofensivas.
Esta publicación ha sido adoptada por España como norma doctrinal mediante la publicación doctrinal conjunta PDC-3.20, si bien presenta, mediante el procedimiento de “páginas verdes”, algunos matices diferenciales. Entre ellos, algunos relativos a la taxonomía de las operaciones en el ciberespacio. Así, mientras la doctrina OTAN contempla tan sólo dos tipos (defensivas y ofensivas), en la española se incorporan dos categorías adicionales: una denominada de Infraestructura CIS (CISIO) y otra que engloba las operaciones de inteligencia, vigilancia y reconocimiento en y a través del ciberespacio (CISRO), tal y como se muestra en la Figura 1.
Figura 1. Tipos de operaciones en el ciberespacio según la doctrina española (PDC-3.20)
| Tipos de ciberoperaciones | Finalidad principal |
|---|---|
| De Infraestructura CIS (CISIO) | Preservar la disponibilidad, integridad y confidencialidad de los datos y la disponibilidad e integridad de los propios sistemas. |
| Defensivas (DCO) | Preservar la libertad de acción propia en este ámbito. Se enfocan a la misión y una amenaza concreta. Pueden desarrollarse tanto en el ciberespacio propio como en el del adversario. |
| ISR (CISRO) | Obtener datos o información que contribuyan a la Cyber Situational Awareness (CySA) y que puedan ser explotados en beneficio de las operaciones propias, de forma intrusiva o no, y tanto de las redes y sistemas propios como del adversario o de terceros. |
| Ofensivas (OCO) | Provocar efectos que permitan alcanzar objetivos militares, en el marco de una operación militar. |
A diferencia del resto de ámbitos operativos, la doctrina operacional en el ciberespacio está construida más sobre supuestos que sobre experiencia y lecciones aprendidas. Esto se explica por esa opacidad antes mencionada, así como por la “juventud” de este nuevo ámbito.
No son muchas las operaciones que han trascendido al conocimiento público. De todas ellas, la más notable ha sido Stuxnet (2010), en la que los atacantes emplearon un sofisticado código específicamente diseñado para comprometer y controlar los controladores lógicos programables (PLC) utilizados para regular las centrifugadoras de la planta iraní de Natanz.
Más allá de su complejidad técnica, Stuxnet supuso un salto cualitativo en las operaciones en el ciberespacio, al evidenciar que el código informático podía causar un efecto físico tangible. Una operación y un ciberarmamento con un nivel de sofisticación no conocido hasta entonces, que trascendieron más allá de los círculos especializados en seguridad y defensa.
Han transcurrido más de 15 años desde que Stuxnet se hizo público y desde entonces muchos Estados se han dotado con capacidades militares para operar en el ciberespacio. En España, en el año 2013, se creó el Mando Conjunto de Ciberdefensa (MCCD), que evolucionó en 2020 a Mando Conjunto del Ciberespacio (MCCE), ampliando su misión y cometidos.
Ciberarmas
El desarrollo de operaciones militares en el ciberespacio requiere un armamento específico, requisito indispensable para que un entorno sea considerado ámbito operacional.
No existe una definición universal de “ciberarma” que pueda aplicarse a cualquier contexto. Por ejemplo, el Departamento de Defensa de Estados Unidos (EEUU) evita emplear este término y lo sustituye por “capacidad en el ciberespacio”, refiriéndose a cualquier instrumento –material o digital– capaz de producir efectos físicos o funcionales sobre sistemas de información, redes e infraestructuras críticas. Estos efectos incluyen la manipulación o denegación de acceso a datos, así como la interrupción de servicios esenciales. Por su parte, en la doctrina OTAN y española, el enfoque es similar: se evita definir estrictamente “ciberarma” y se prioriza la noción de ciberoperación, entendida como acción en o a través del ciberespacio destinada a generar efectos militares. De ello se infiere que una ciberarma equivaldría al conjunto de capacidades técnicas –código, vectores de ataque, infraestructura de mando y control– necesarias para ejecutar operaciones que degraden, manipulen o destruyan sistemas adversarios.
El Manual de Tallin 2.0 desarrollado por expertos en derecho internacional y ciberoperaciones para trasladar el derecho internacional humanitario (DIH) al ciberespacio, sí que define las ciberarmas: “cualquier medio o método de guerra diseñado o adaptado para causar muerte, lesiones o daños”.[2] Esto implica que, para considerarse arma, un malware debe generar efectos comparables a los de un ataque cinético tradicional. Basándonos en esta definición, bastante discutida, un malware diseñado para recopilar información o inteligencia sin causar daños físicos o funcionales no sería un arma desde esa perspectiva, sino un medio para la obtención de inteligencia, por lo que no estaría sujeto a los principios del DIH, pero sí a las reglas de neutralidad y no injerencia.
Para este trabajo optamos por una aproximación pragmática y consideraremos “ciberarmas” tanto las que posibilitan acciones de sabotaje como de espionaje en o a través del ciberespacio, en tanto su naturaleza es similar con relación a lo que más nos interesa examinar: la necesidad de su posesión, la dificultad de su obtención y la complejidad de su empleo.
Pese al secretismo oficial, diversos episodios han puesto de manifiesto la existencia de ciberarsenales estatales. Entre 2016 y 2017, el grupo The Shadow Brokers filtró herramientas de la National Security Agency (NSA). Entre ellas, el exploit EternalBlue, posteriormente empleado en ataques de efecto global como WannaCry y NotPetya.[3]
Por otra parte, hay que tener muy en cuenta algo también exclusivo del ciberespacio: la existencia de actores no estatales con importantes capacidades ofensivas. Esto ya lo reflejaba muy bien en 2021 la reportera del New York Times Nicole Perlroth, en su bestseller Así es como me dicen que acabará el mundo,[4] en el que analiza cómo las ciberarmas han pasado de manejarse en círculos reducidos y ligados a la defensa nacional a venderse y comprarse en un mercado negro al que también tienen acceso mercenarios, terroristas y grupos delincuenciales.
Y también hay que considerar las tecnologías duales, entendidas como aquellas que pueden ser utilizadas tanto para fines militares como civiles y comerciales (por ejemplo, herramientas para test de penetración o hacking ético), pero cuya condición o no de arma dependerá de la intencionalidad con la que se use en cada caso (un martillo no se vende en una armería, pero puede emplearse como arma). En cualquier caso, esa dualidad deberá tenerse en cuenta para ciertos aspectos; por ejemplo, para controlar o limitar su exportación.
¿Por y para qué necesitamos ciberarmas?
Hoy en día, las operaciones militares dependen completamente del ciberespacio. La conducción de las operaciones o la obtención de inteligencia dependen en buena parte de la confidencialidad, integridad y disponibilidad de las redes y sistemas en las que se sustentan. Por todo ello, es fácilmente entendible que cualquier incidente en el ciberespacio puede tener un efecto sensible en cualquiera de los otros ámbitos: por ejemplo, la degradación de un sistema de defensa aérea o la inutilización de un sistema de mando y control mediante la inserción de un malware.
Por otra parte, los sistemas de armas y combate se han convertido en conglomerados de hardware y software que generan e intercambian información y datos de forma continua y que contienen infinidad de elementos que pueden ser ciberatacados, por lo que, para un cazabombardero o una fragata contar con un sistema de ciberdefensa puede llegar a ser vital, ya que un malware puede constituir una amenaza tan seria (y seguramente más probable) que un misil o un torpedo.
Todo ello nos lleva a afirmar que la dependencia creciente del ciberespacio hace impensable alcanzar la libertad de acción en cualquier ámbito operativo sin poseerla previamente en el ciberespacio. Pero en cualquier ámbito operativo, también en el ciberespacio, solamente es posible asegurar la superioridad mediante la posesión (y empleo) de capacidades ofensivas, puesto que no puede existir superioridad en un ámbito sin tener la capacidad de hacer daño al adversario.
Pero hay más. La capacidad de disuasión es uno de los elementos más importantes para la seguridad y la defensa. La carencia de capacidades ofensivas en el ciberespacio obligaría a hacer descansar todo el poder de la disuasión en la negación, buscando que el atacante desista en sus intenciones haciéndole ver sus escasas posibilidades de éxito, postura de dudosa efectividad contra actores persistentes y altamente cualificados y motivados. Vendría a ser como si en un combate de boxeo sin límite de asaltos uno de los contendientes tratara de defenderse atrincherándose en un rincón del ring, renunciando a golpear a su rival.
Por último, está el asunto de la soberanía estratégica. La resistencia de los Estados a compartir con sus aliados información sobre sus capacidades y el secretismo que sigue rodeando a todo lo relacionado con cibercapacidades ofensivas está dificultando algo ya hace décadas superado en el resto de los ámbitos operativos: la construcción de capacidades ofensivas combinadas. Por tal motivo, en la Cumbre de Bruselas de 2018, la OTAN acuerda la creación del Cyber Operations Centre (CyOP) y se establece un marco para que los aliados “proporcionen capacidades cibernéticas a la OTAN para su uso en misiones y operaciones”, denominado posteriormente Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA).
SCEPVA permite a las naciones aliadas que poseen capacidades ofensivas en el ciberespacio ponerlas voluntariamente a disposición de la Alianza para su uso en operaciones o misiones conjuntas de la OTAN. El objetivo es integrar las cibercapacidades avanzadas de sus miembros con fines de defensa colectiva, sin forzar a la renuncia a la soberanía de esas capacidades. De esta forma, se consigue que los comandantes de la OTAN tengan más opciones de respuesta para crear efectos en el dominio ciberespacial cuando sea necesario, coordinando y sincronizando estas herramientas soberanas para alcanzar objetivos militares a través del CyOP.
La ciberarma perfecta
¿Qué características y requisitos funcionales y operativos debería reunir la “ciberarma perfecta”?
Obviamente, estarán condicionadas por el objetivo, la intencionalidad (efectos perseguidos) y las circunstancias de la operación en la que se vaya a emplear (en el marco de un conflicto armado, en respuesta a una agresión o ataque inminente, en situación de crisis, en tiempo de paz). No obstante, hay una serie de aspectos que, por regla general, habrá que tener en cuenta en su diseño.
Por ejemplo, la capacidad de ocultación y de evasión, que facilitará el alcanzar el objetivo sin ser detectado, la persistencia en el sistema objetivo el tiempo necesario para cumplir la misión, así como la desaparición rápida y sin dejar rastro en caso de necesidad. Algunas formas de conseguir este objetivo:
- Uso de exploits de día cero (Zero-Day exploits): la utilización de códigos que empleen vulnerabilidades desconocidas facilita evadir la detección por parte de los sistemas de defensa y alcanzar un acceso profundo, privilegiado y persistente.
- Detección nula (Zero detection): busca hacerla indetectable por cualquier técnica conocida y durante todo su ciclo de vida.
- Resiliencia y persistencia: permite que el código sobreviva a reinicios del sistema, parches y actualizaciones de seguridad, e incluso a la reinstalación del sistema operativo.
- Ausencia de firma: en caso de detección, impide o dificulta que el adversario obtenga indicadores de compromiso (IOC) de bajo nivel (IP, hashes, nombres de dominio, etc.) o conductuales (TTP) que posibiliten la reducción de su futura eficacia.
- Operación sin archivos (Fileless): residiendo y operando primariamente en la memoria RAM o utilizando herramientas legítimas del sistema se dificulta la detección y la obtención de inteligencia técnica.
Otra característica que puede ser necesaria para ataques dirigidos a objetivos muy específicos (ataques quirúrgicos) es la capacidad de discriminación de objetivos (precisión), reduciendo al máximo los efectos colaterales no deseados, como daños a infraestructuras civiles o efectos perjudiciales sobre actores neutrales o aliados. Ello puede conseguirse a través de:
- Orientación precisa (Targeted): la ciberarma y su empleo han de estar diseñados para impactar en un solo objetivo específico, con coordenadas binarias o lógicas exactas. Fuera de ese entorno objetivo, debería ser imposible su actuación.
- Mecanismo de “Kill Switch”: se basa en incluir un “interruptor de autodestrucción” que permita la neutralización remota y eliminación de trazas en caso de ser descubierta, de estar actuando de forma indeseada o por cualquier otra circunstancia.
- Lógica de daño específico: implica precisar y limitar la función dañina sobre el sistema objetivo, evitando daños colaterales innecesarios y, al mismo tiempo, reduciendo la posibilidad de detección (por ejemplo, sabotear únicamente un elemento específico en una planta industrial).
Escalabilidad y flexibilidad pueden ser requisitos fundamentales en determinadas misiones. Para conseguir estos objetivos, existen diferentes técnicas que pueden ser empleadas de forma singular o combinada:
- Capacidad de propagación autónoma: supone dotar al malware de la capacidad de autorreplicarse y propagarse a otros sistemas dentro del mismo entorno, de forma sigilosa, controlable y sin intervención humana adicional, una vez lograda la intrusión inicial.
