En el segundo trimestre del 2016, un colega compartió conmigo un artículo y una base de datos titulada "La Dinámica del Conflicto Cibernético entre Antagonistas Rivales, 2001-11", escrita por Brandon Valeriano, de la Universidad de Glasgow y Ryan C. Maness, de la Universidad de Illinois.1 Este artículo fue publicado en la Revista de Investigación para la Paz en el mes de abril del año 2014. Ahora, sospecho que los lectores de esa buena revista y la que tú ahora estás leyendo, en gran medida no son los mismos, por lo que resumiré su trabajo y luego daré mis opiniones sobre los temas que ellos plantearon.2
Lo importante, es que Valeriano y Maness están escribiendo sobre un subconjunto específico de todos los posibles ataques cibernéticos: aquellos que son iniciados por un estado sobre los recursos de otro estado, incluyendo la participación de organizaciones del sector privado, personas, así como el uso de recursos gubernamentales. Este estudio examina sólo las acciones llevadas a cabo por un gobierno como el iniciador de una ciber incidente.3 Aborda el período comprendido entre el 2001 y el 2011, deteniéndose en esa fecha para asegurarse un extenso análisis de todos los incidentes y disputas del periodo.4
Junto con su artículo, los autores publicaron un conjunto de información para que cualquier lector pudiese volver a crear y, quizás, ampliar su análisis.5 Sorprendentemente, al menos para mí, encontraron sólo 111 ciber incidentes en el período de su investigación, de los cuales ellos diferencian de las ciber disputas, de las cuales había 45 de ellas. Hacen la diferenciación que "los incidentes cibernéticos son operaciones individuales contra un estado. Los conflictos cibernéticos son campañas específicas entre dos Estados con ciber tácticas, durante un período de tiempo determinado y que pueden tener de uno a varios incidentes, a menudo incluyendo un compromiso inicial y respuestas".6 Según sus cifras, el iniciador más frecuente de conflictos cibernéticos fue China y el objetivo más frecuente fue Pakistán.7
Valeriano y Maness deben ser felicitados por la rigurosidad de sus investigaciones y la seriedad de sus análisis. Sin embargo, no estoy de acuerdo con sus conclusiones o, como ellos las plantearon, sus "hipótesis".
Pero ¿cuál es el propósito de criticar un artículo escrito hace tres años en una revista que pocos miembros de ISACA han escuchado, y mucho menos hayan leído? Mi razonamiento comienza con la reciente declaración emitida por la Cumbre del G7 en mayo de 2016, la cual equipara los ciber actividades entre estados con actos de guerra.8 Las personas que planifican y responden a ciber incidentes iniciados por gobiernos pueden leer muy bien la Revista de Investigación por la Paz y ellos están incursionando en un tema donde los especialistas de ISACA tenemos conciencia y un conocimiento significativo de la situación actual, tanto de los riesgos como de su gestión. Así que, también, tenemos un derecho a ser escuchados en este tema tan importante.
Concedido, tengo la ventaja de saber sobre cinco años adicionales en materia de ciber incidentes, reportados en los medios de comunicación. Y quizás el año 2011 representó un marcado repunte en la actividad de los Estados en la materia. Pero, ya que sus hipótesis están planteadas en términos futuros, me siento cómodo en extrapolar mis propias conclusiones a partir de los datos hoy disponibles.
Hipótesis 1
Debido a la moderación de las dinámicas, es probable que la tasa observada y el número de ciber operaciones entre estados rivales sean mínimos. Me parece que los acontecimientos recientes no han mostrado ninguna reducción en la incidencia de las ciber disputas. Lo que nos falta es saber si las acciones fueron instigadas directamente por los gobiernos o bien por personas actuando con la aquiescencia de su estado, o sino con su absoluto apoyo. ¿Fue el gobierno de Corea del Norte quien robó y destruyó la información de Sony?9 ¿Robaron los funcionarios rusos los correos electrónicos al Comité Nacional Demócrata de USA durante el año de elecciones?10 Tras la sentencia contra las reivindicaciones territoriales de China en el mar de Sur de China, los incidentes distribuidos de denegación de servicio (DDoS) sufridos por Filipinas ¿fueron llevados a cabo por el estado (Chino) o por individuos auto defensores, patriotas, no sancionados"?11 Probablemente nunca lo sabremos.
Con esa condición, no creo que ha habido, ni habrá, alguna disminución en la tasa de ciber operaciones, cualquiera que pudiesen ser. Los Estados Unidos tiene un Ciber Comando en su ejército; China tiene un comando centralizado que reporta a la Comisión Militar Central.12 La Red Europea de la Unión Europea y su Agencia de Seguridad de la Información (ENISA) está combatiendo ataques cibernéticos13 y Rusia tiene las llamadas Tropas de Información.14 Cualquiera que crea que estas organizaciones son para fines defensivos sólo es, en mi opinión, bastante ingenuo.
Una pregunta más legítima es si cualquier estado realizaría primero un ciber ataque. Creo que un estado podría hacerlo, en las circunstancias adecuadas, en las cuales sienta que sus intereses nacionales, vitales o incluso de existencia, estén amenazados. Es decir, las ciber "armas" podrían utilizarse en situaciones donde el estado estime que otro estado se prepara para un uso en su contra de la fuerza física, en lugar de la informática.
Los ataques de Stuxnet sobre las instalaciones nucleares iraníes, en el estudio de Valeriano y Maness, encajan en ese molde.
Hipótesis 2
Cuando se producen incidentes y ciber operaciones, ellos serán de mínimo impacto y gravedad debido a la dinámica de moderación. Gran parte de esta afirmación depende de la definición de "mínimo". Si la comparación es con el daño causado por la II Guerra Mundial, luego es suficientemente verdadero que hasta el momento los ciber incidentes han sido mínimos. Pero si, por ejemplo, una elección presidencial de Estados Unidos fuera interrumpida por ataques cibernéticos, considero que un impacto bastante fuerte que, a su vez, podría conducir a consecuencias militares más graves.
Valeriano y Maness descartan esta posibilidad diciendo que "los estados ofensivos elegirán tácticas que son fácilmente ocultables y libres de una responsabilidad directa".15 El hecho de que los estados tratarán de contar con una negación plausible, no minimiza la posibilidad de que ellos inicien tales incidentes. Ni tampoco reduce la posibilidad de que el estado objetivo concluya que había ocurrido un incidente por culpa de ese otro estado y luego tomar represalias, desencadenando una escalada de incidentes de mayor gravedad.
Hipótesis 3
Los ciber incidentes y disputas que se producen probablemente estarán limitados a interacciones regionales. Esta hipótesis es la más difícil de entender para mí o estar de acuerdo con ella. En su análisis se abarca el período comprendido entre el año 2001 al 2011, ellos reportan incidentes entre los Estados Unidos e Irán, que ciertamente no son regionales. Por otra parte, los gobiernos son generalmente propensos a entablar disputas con países vecinos, los que hace que ésta sea una hipótesis auto-cumplida.
Además, Internet ha hecho del mundo entero una gran región, donde virtualmente cada acción contra un estado tiene repercusiones en las interacciones con otros estados. En estos días, ninguna isla es una isla, por sí misma. Por lo tanto, es probable que las mayores potencias de la información, tales como China, la Unión Europea, Rusia y los Estados Unidos, más potencias menores como Irak y Corea del norte (todas ellas mencionados en el artículo), continuarán preparando y posiblemente ejecutando actividades de guerra en el ciberespacio, el cual es prácticamente un lugar regional.
Mis problemas con el argumento de Valeriano- Maness no disminuyen mi respeto por su aporte. Creo que, si hoy estuviera vivo Carl von Clausewitz, el teórico general y militar prusiano, diría que "la guerra cibernética es la continuación de la guerra por otros medios".16
Réplica de Brandon Valeriano, Ph.D.
Me complace ofrecer una respuesta a la revisión reflexiva de Steven Ross de nuestro artículo; de hecho es un tema importante para cualquier persona preocupada por los ciber conflictos. Cubrimos el tema de la tasa de ataques y lo que llamamos ciber paz en nuestro artículo "La llegada de la Ciber Paz".17 Mientras que la tasa de ciber conflictos sin duda va en aumento, no existe ninguna clara demostración que por ahora se esperen ataques severos. El apagón eléctrico de Ucrania fue reparado rápidamente yendo a las subestaciones. Los últimos ataques al Comité Nacional Demócrata (DNC) y al Comité Nacional Republicano (RNC) de los Estados Unidos siguen mostrando una ausencia de fugas reales de información18 y los ataques sobre sistemas electorales de Estados Unidos representan tentativas, pero no alteraciones reales de los sistemas electorales.19 Lo que vemos es ciber espionaje, no es ciber guerra.
Curiosamente, estábamos sorprendidos por la relativa falta de documentación de ciber incidentes significativos (por supuesto, los intentos de hacking, intrusiones y los ataques son bastante comunes). Asumimos que podríamos haber encontrado más, pero esto no ha sido así y seguirá siendo la tendencia, en esta materia hemos localizando sólo unas docenas por año. Nuestro punto es contrapuesto al lenguaje como el "podría ser", "posiblemente" o "en el futuro". Tenemos una gran cantidad de datos sobre ciber acciones efectuadas en los últimos 20 años y vemos al ciberespacio como un poder más, y no solamente como un único método de ataque. Es una conjetura ver al ciberespacio como el método para dar el primer golpe, pero, basado en ejercicios de juegos de guerra, es una táctica no segura creer que los gobiernos no van a usarlo cuando ellos ataquen. Además, está la cuestión de que las ciber acciones son armas de un solo disparo. Una vez que se explota la vulnerabilidad, el lado atacado cierra esa debilidad o agujero de seguridad en el futuro. No estamos en una guerra cibernética y veo poco probable que alguna vez estemos en una. Thomas Rid, profesor de Estudios de Seguridad, del King’s College de Londres (UK) escribe con frecuencia sobre este tema desde la perspectiva de Clauzwitzian.20 Lo que nos preocupa y tememos en el futuro son los ataques dirigidos por el gobierno contra individuos como activistas, manifestantes y periodistas.
El ciber espacio utilizado para la violencia y la guerra es puramente un método de espionaje o de disrupción, es una tecnología más. Aclarar este punto es imperativo, dado que forma la política que construimos, nuestras suposiciones sobre el conflicto futuro, y a menudo puede exacerbar los miedos, haciendo cerrada para la sociedad a una tecnología con muchos atributos positivos.
Notas Finales
1 Both Valeriano and Maness have moved on to other universities since the publication of their article.
2 Valeriano, B.; R. C. Maness; “The Dynamics of Cyber Conflict Between Rival Antagonists, 2001–11,” Journal of Peace Research, May 2014, vol. 51, no. 3, p. 347-360, http://journals.sagepub.com/doi/abs/10.1177/0022343313518940. The article and its accompanying database are available, but there is a fee of US $36 to download it.
3 Ibid., p. 3. Valeriano and Maness eschew the term “cyberattack” as they feel it “to be misguiding and inappropriate in that it conflates the tactic to sound something akin to a conventional military attack.” With respect, I will use their terminology here.
4 Ibid., p. 5
5 I tried a few analyses of my own and found that I was not getting any new insights, so I stopped. The database is available along with the article.
6 Op cit, Valeriano and Maness, p. 3.
7 Ibid., p. 10
8 G7 2016 Ise-Shima Summit, “G7 Ise-Shima Leaders’ Declaration,” 26-27 May 2016, www.mofa.go.jp/files/000160266.pdf
9 Park, M.; D. Ford; “North Korea to U.S.: Show Evidence We Hacked Sony,” CNN, 14 January 2015, www.cnn.com/2015/01/13/asia/north-korea-sony-hack/
10 Sanger, D. E.; E. Schmitt; “Spy Agency Consensus Grows That Russia Hacked D.N.C.,” The New York Times, 26 July 2016, www.nytimes.com/2016/07/27/us/politics/spy-agency-consensus-grows-that-russia-hacked-dnc.html
11 Piiparinen, A.; “China’s Secret Weapon in the South China Sea: Cyber Attacks,” The Diplomat, 22 July 2016, http://thediplomat.com/2016/07/chinas-secret-weapon-in-the-south-china-sea-cyber-attacks/
12 Bloomberg News, “China Military Seeks to Bring Cyber Warfare Units Under One Roof,” 22 October 2015
13 Joint Communication to the European Parliament, The Council, The European Economic and Social Committee and the Committee of the Regions, 2013
14 Giles, K.; “‘Information Troops’—A Russian Cyber Command?,” 3rd International Conference on Cyber Conflict, 2011, https://www.researchgate.net/publication/224247775_Information_Troops_-_A_Russian_Cyber_Command
15 Op cit, Valeriano and Maness, p. 5
16 What he actually said is that “War is the continuation of politics by other means.”
17 Valeriano, B.; R. C. Maness; “The Coming Cyberpeace: The Normative Argument Against Cyberwar,” Foreign Affairs, 13 May 2015, https://www.foreignaffairs.com/articles/2015-05-13/coming-cyberpeace
18 Eichenwald, K.; “Dear Donald Trump and Vladimir Putin, I Am Not Sidney Blumenthal,” Newsweek, 10 October 2016, www.newsweek.com/vladimir-putin-sidney-blumenthal-hillary-clinton-donald-trump-benghazi-sputnik-508635
19 Department of Homeland Security, Joint Statement from the Department of Homeland Security and Office of the Director of National Intelligence on Election Security, press release, 7 October 2016, USA, https://www.dhs.gov/news/2016/10/07/joint-statement-department-homeland-security-and-office-director-national
20 Limnell, J.; T. Rid; “Is Cyberwar Real?,” Foreign Affairs, March/April 2014
Steven J. Ross, CISA, CISSP, MBCP
Es director ejecutivo de Risk Masters International LLC. Desde el año 1998 J. Ross ha estado escribiendo en una de las columnas más populares de esta revista. Steven Ross puede ser contactado en la dirección stross@riskmastersintl.com.