Tema
Las medidas defensivas públicas y privadas no bastan para contener el crecimiento de los ciberataques. El concepto y las medidas de ciberdefensa activa podrían incrementar la disuasión de España.
Resumen
Los conceptos[1] buscan soluciones a problemas. En el ciberespacio, el problema es que los ciberataques crecen en todos los sectores, públicos y privados, y que los Estados no son capaces de contener la progresión. Se utilizan por los Estados como arma de la confrontación geopolítica y por grupos criminales organizados en colaboración con los anteriores o por su cuenta. Las medidas defensivas no bastan y se precisan medidas disuasorias. El concepto de ciberdefensa activa (CDA) se acuñó para disponer de medidas disuasorias y ofensivas que completaran el espectro entre las defensivas pasivas y las diseñadas para la guerra cibernética. De esta forma, se ampliaba la arquitectura de seguridad tradicional de las organizaciones públicas y privadas a nuevos espacios de respuesta, reservando las capacidades más ofensivas para los gobiernos, pero abriendo las respuestas ofensivas a la corresponsabilidad público-privada. La implantación está rodeada de dificultades conceptuales, normativas y de gestión, por lo que cada Estado adopta su concepto nacional, el marco regulatorio que lo desarrolla y el nivel de ambición de la cooperación público-privada en materia de disuasión.
Análisis
El ciberespacio facilita la acción ofensiva de los atacantes frente a la de los defensores, los ciberataques no paran de crecer y las medidas de seguridad adoptadas se muestran insuficientes para proporcionar niveles de resiliencia tolerables. En el ciberespacio se difuminan las fronteras entre ciberdefensa y ciberseguridad, amenazas externas e internas, paz y guerra, y medidas pasivas y activas, con lo que también se difumina la separación de funciones entre los sectores público y privado.[2] Las tensiones geopolíticas aumentan el número, variedad y efecto de los ciberataques, multiplicando la interacción entre grupos con vinculaciones estatales, activistas, cibercriminales organizados y prestadores o usuarios de servicios. La denominada guerra híbrida afecta a operaciones de influencia y ciberataques relacionadas con conflictos, elecciones, sistemas IT y, crecientemente a sistemas OT, de los países occidentales incluida España.
Los ciberataques muestran una deriva geopolítica por la que se atacan objetivos del sector privado como parte de los ataques contra los Estados e instituciones.[3] Junto a los ciberataques patrocinados por los Estados, o por grupos afines a ellos, se ha desarrollado un creciente mercado ilegal (deep web y dark net) pero también legal (access-as-a-service) de capacidades ofensivas como servicio que facilitan la proliferación de ciberataques.[4] A lo anterior se añaden las limitaciones del derecho internacional para regular el uso responsable de las ciberoperaciones ofensivas (responsible cyber power) con el fin de reducir los riesgos asociados a su empleo.
La convergencia de los factores anteriores desborda las capacidades del sector privado y colocan al sector público ante la responsabilidad de ejercer la capacidad coactiva de la que tienen el monopolio para proteger a quienes no la tienen. Los Estados deben proteger o disuadir y las medidas defensivas que emplean no bastan para hacer frente a los incidentes que se registran (Figura 1). Este es el problema al que el concepto de ciberseguridad activa intenta dar respuesta.
Figura 1. Incidentes registrados en la UE entre julio 2023 y junio 2024
La asimetría entre ataques y respuestas se ha tratado de corregir con varios conceptos a lo largo del tiempo. A diferencia de la guerra tradicional de donde procede, el concepto de disuasión no se ha podido aplicar con éxito al ciberespacio en ninguna de sus variantes de denegación (capacidad para contrarrestar los ataques) o de castigo (capacidad para devolverlos).[5] En ambos casos es necesario comunicar la voluntad de disuadir (política declaratoria) y disponer de capacidades creíbles.[6] Conocer si la disuasión funciona o no en el ciberespacio es difícil debido a la naturaleza clasificada de las operaciones ofensivas y la escasez de casos disponibles en fuentes abiertas. En la primera década de este siglo se hizo evidente que las medidas de protección pasiva no funcionaban y Estados Unidos (EEUU) desarrolló una política de defensa activa que permitía llevar a cabo operaciones que produjeran efectos fuera de su territorio para prevenir ataques inminentes bajo control presidencial. Sin embargo, esas medidas ad hoc no impidieron ciberataques tan relevantes como los que afectaron a la presa Bowman Avenue de Nueva York, Sony Pictures en 2014, la fuga de datos de la Personnel Management Office en 2015 y la de datos financieros en 2016, los WannaCry, NotPetya de 2017, o sobre el oleoducto Colonial en 2021, entre otros.
La insatisfacción por los resultados condujo a la aparición de nuevos conceptos como los de contacto persistente (persistent engagement) y defensa adelantada (defending forward).[7] Desde entonces, el concepto de ciberdefensa activa ha evolucionado tanto para reducir sus contraindicaciones como para moderar su ambición. En su creciente implantación influyen el contexto de geopolitización, en el que se prodigan los ciberataques por debajo del umbral de conflicto, y de intrusión, donde proliferan tecnologías que aumentan la frecuencia, el riesgo y la exposición a los ciberataques. La CDA ya se ha integrado en el concepto de ciberseguridad, tal y como representa la Figura 2, en el que se ocupa del análisis monitorización, respuesta y aprendizaje sobre adversarios dentro de propia red.
Figura 2. La escala móvil de la ciberseguridad
Lo significativo de los conceptos señalados es que las medidas ofensivas, con sus mayores o menores limitaciones, se han ido incorporando a los inventarios públicos de respuesta de la ciberseguridad, la ciberdefensa y la ciberresiliencia frente a los ataques. La superposición de riesgos e instrumentos diluye la separación entre la ciberdefensa, que se consideraba como un ámbito militar, y la ciberseguridad que pertenecería al campo civil, cuando ambos medios desarrollan medidas defensivas pasivas y activas.[9] El contexto de geopolitización e intrusión multiplica los objetivos a proteger en el ciberespacio, tanto para los actores públicos como privados, y se precisa mayor capacidad (cyber power) para proporcionar resiliencia a las infraestructuras críticas y las redes, y sistemas de información.[10]
En principio, el sector público es responsable de la regulación y protección del sector privado, por lo que éste sólo puede actuar de forma subsidiaria y en situaciones de legítima defensa. Sin embargo, la demanda por el sector privado de medidas CDA ha crecido ante la incapacidad crónica del sector público para garantizar la protección de las redes y sistemas de información a pesar de las medidas defensivas adoptadas por los actores privados, por lo que desde estos sectores se ha solicitado la regulación o la adopción de esas medidas disuasorias por los gobiernos.[11] El mismo monopolio del poder coactivo que los Estados reivindican para limitar el derecho de autodefensa de los actores privados, principio de subsidiariedad, los obliga a dotarse de capacidades para defenderles.
Las propuestas favorables a la CDA tratan de establecer una regulación y un mercado para las medidas de defensa activa del sector privado, llevando la cooperación público-privada a un nivel superior de corresponsabilidad. No proponen que cualquier actor privado desarrolle ciberoperaciones ofensivas, sino que los Estados aprovechen el potencial del sector privado y certifiquen aquellas empresas privadas que pueden colaborar al desarrollo de la CDA.[12] La “normalización” de la CDA mediante su reconocimiento público (declaración) y su regulación nacional debe acompañarse de un esfuerzo diplomático para que el derecho internacional ampare su “uso responsable”. El empleo de contramedidas por los Estados en respuesta a las agresiones de otros está admitido por el derecho internacional, aunque las medidas punitivas que van más allá de la interrupción y reparación de la agresión generan controversias.[13] Las contramedidas “responsables” en el ciberespacio carecen todavía de un marco consuetudinario que les proporcione cobertura, principalmente porque las ciberoperaciones se desarrollan en un marco encubierto, automatizado y de escalada.
La creciente colaboración entre agentes gubernamentales y no gubernamentales en los ataques aumenta la necesidad de integrar recursos, tanto públicos como privados a nivel estatal e intergubernamental. En consecuencia, las fuerzas y cuerpos de seguridad, nacionales e internacionales, también recurren a instrumentos de ciberdefensa activa para combatir la criminalidad organizada, desarrollando lo que la Estrategia de Ciberseguridad belga de 2021 llama “capacidad represiva adecuada” para trascender el ámbito de la investigación policial pasiva, pero sin entrar en el de las operaciones militares.[14] En el mismo sentido, la Estrategia de Ciberseguridad de Australia de 2023 admite el empleo de acciones ofensivas contra los cibercriminales.
Adoptar medidas CDA consiste en acceder a las capacidades tecnológicas para llevar a cabo operaciones ofensivas, independientemente de quién realiza la operación. La limitación de los medios públicos avala la colaboración con el sector privado para crear una base industrial que preserve la autonomía estratégica nacional sobre la base de un mercado reglado de ciberdefensa activa.
1. Definiciones
El concepto y sus variantes han generado numerosas definiciones que dificultan delimitar sus bordes sin que exista todavía una definición aceptada. La de mayor relevancia por su carácter seminal desde 2016 es la del Center for Cyber & Homeland Security:[15]
“Active defense is a term that captures a spectrum of proactive cybersecurity measures that fall between traditional passive defense and offense. These activities fall into two general categories, the first covering technical interactions between a defender and an attacker. The second category of active defense includes those operations that enable defenders to collect intelligence on threat actors and indicators on the Internet, as well as other policy tools (e.g. sanctions, indictments, trade remedies) that can modify the behavior of malicious actors. The term active defense is not synonymous with “hacking back” and the two should not be used interchangeably”.
Entre las definiciones académicas más conocidas figuran las de Dewar que define la CDA como la “detección, análisis y mitigación proactivos de las violaciones de seguridad de la red en tiempo real combinado con contramedidas agresivas desplegadas fuera de la red de la víctima”.[16] Definición que combina los tres paradigmas de ciberseguridad (protección), ciberdefensa (neutralización) y resiliencia (continuidad). Para Sven Harpig, una operación CDA es en la que emplea medidas técnicas y operativas ordenadas por un gobierno para neutralizar, mitigar o atribuir una operación maliciosa.[17] Para el think tank australiano ACDS, la CDA utiliza la inteligencia, el engaño, threat hunting y otras medidas legales. Complementa las medidas pasivas y proporciona inteligencia preventiva, incluye mecanismos bajo control gubernamental, pero excluye medidas ofensivas que se reservan a éste.
Entre las definiciones oficiales, y para el National Cyber Security Centre (NCNS) del Reino Unido, la CDA busca proteger a la mayoría de la población frente a los ciberataques más frecuentes y de mayor daño, –no de todos ni de los más sofisticados– mediante un programa en el que se prestan servicios a los sectores público y privado para detectar y corregir vulnerabilidades, gestionar incidentes o automatizar la disrupción de los ciberataques.[18] La CDA consta de medidas técnicas automatizadas diseñadas para identificar y prevenir los ciberataques, junto con la intervención humana para analizar y mitigar los mismos. Para el Centro de Ciberseguridad de Australia, la CDA consiste en aplicar proactivamente un espectro de medidas de seguridad para reforzar una red o un sistema y hacerlos más robustos, sin que equivalga a la devolución del ataque (hacking back).[19]
Las Fuerzas Armadas y las organizaciones de defensa colectivas cuentan con medidas ofensivas como parte de su poder cibernético, pero su desarrollo doctrinal no se aplica al contexto público-privado, aunque se dispone de algunas aproximaciones como las del Manual del Centro de Ciberdefensa de la Organización del Tratado del Atlántico Norte (OTAN) en Tallin o el Departamento de Defensa de EEUU.[20] Para éste, la defensa activa se refiere al uso de acciones ofensivas limitadas y contraataques para denegar al adversario una posición en disputa, e incluye la capacidad en tiempo real y sincronizada para descubrir, detectar, analizar y mitigar amenazas y vulnerabilidades. Además, implica acciones proactivas, anticipatorias y reaccionarias contra el adversario. Una de sus claves es la capacidad de consumir inteligencia para no tener que esperar a que ocurra un ataque para actuar. Incluye interceptar, interrumpir o disuadir un ataque o preparación de éste, pudiendo realizarse de forma preventiva o en defensa propia para limitar o eliminar la capacidad operativa del adversario.
2. La implantación de las medidas CDA
La validación de todos estos conceptos ha sido difícil por la naturaleza clasificada de las acciones ofensivas (no se hacen públicos ni fracasos ni éxitos) y por la dificultad de medir su impacto (los ataques se siguen produciendo, pero también se evitan). La aceptación de las medidas CDA no ha estado exenta de debate por sus implicaciones jurídicas, éticas y prácticas –tal y como se detalla posteriormente–, pero progresivamente se ha ido abriendo su necesidad. Admitida la necesidad de contar con medidas CDA, el debate se traslada a qué medidas de todas las posibles utilizan los distintos actores, desde las de detección y neutralización a las de devolución de ataques (hacking back) o las de ciberguerra.
Aplicar las medidas CDA conlleva un riesgo, tanto si se rechaza usarlas como si se emplean, porque ambas opciones presentan contraindicaciones. Y como el resto de las gestiones de ciberseguridad y ciberdefensa, se abordan con un enfoque de riesgo, evaluando los mismos y adoptando las medidas de diligencia adecuadas. La utilización de CDA por actores públicos y privados presenta dudas jurídicas, éticas y prácticas. Lo primero, porque no existe regulación internacional ni nacional que delimite legalmente su empleo, lo que genera inseguridad sobre los márgenes de actuación. Lo segundo, porque el derecho a la propia defensa difícilmente justifica replicar la ilegalidad de los ciberataques, y lo tercero porque, a falta de información sobre efectos concretos, resulta difícil valorar su eficacia. Como es lógico, cada sociedad tiene su propio apetito de riesgo en función de la percepción social, las experiencias directas y la presión internacional para modular el empleo de la CDA, pero los casos presentados muestran que esa cultura
