Ciberguerra y seguridad regional.

Pensando la Seguridad Regional. Ciberataques: la amenaza silente.






Carlos A. Corradi


1. Introducción
El mundo en su desarrollo presenta un alto empleo de las tecnologías informáticas, esto le ha permitido un aumento en la eficiencia en sus actividades y disminución de  los costos, ya sea por parte de organizaciones o individuos. Pero ha creado una alta dependencia tecnológica, donde en particular las organizaciones gubernamentales se apoyan en estas herramientas como superadoras de deficiencias operativas.
Estas tecnologías emplean el ciberespacio, una fuente de nuevas posibilidades. Soporta la prestación de servicios ampliamente utilizados, así como la gestión de muchas infraestructuras y servicios privados y de las Administraciones Públicas; el uso por parte de cada vez mayor cantidad de personas de las redes permite la intromisión y adquisición de información por parte de quienes poseen la capacidad de hacerlo, en donde el hombre se presenta como uno de los eslabones más débiles frente a una amenaza. Precisamente este carácter crítico hace vital su protección, y más preocupante su vulnerabilidad
Las acciones cibernéticas han evolucionado desde los primeros actos de piratería informática para acceder ilegalmente a información clasificada de personas, empresas u organismos gubernamentales realizados por hackers hasta el desarrollo de operaciones, ejecutadas por gobiernos estatales, para afectar las redes, sistemas informáticos e infraestructura crítica de un país.
La ausencia de herramientas claras y concretas permite un accionar casi impune por parte de quienes decidan llevar a cabo ataques cibernéticos. Por el contario, herramientas bien aplicadas se convierten en el principal factor de seguridad, ya sea de la defensa de la información y de las estructuras públicas y privadas, como de los derechos y garantías de los individuos.



2. El Ciberespacio como ámbito de desarrollo
Es el espacio donde se agrupan y relacionan usuarios, líneas de comunicación, foros, servicios, redes privadas, públicas y estatales. De implicancia directa en infraestructuras vitales de los Estados y que facilita la interacción regional. Creado por el ser humano, es un entorno singular para la seguridad, sin fronteras geográficas, anónimo, asimétrico, abierto, global, infiltrado-controlado por quienes poseen capacidad tecnológica para obtener información de los usuarios,  que puede ser utilizado de forma casi clandestina y sin necesidad de desplazamientos. Sus diferentes usos civiles, comerciales, militares y de seguridad, muchas veces a través de satélites, revisten un gran interés para la seguridad.
Las características de este escenario lo definen sin fronteras de ningún tipo que permitan delimitar la jurisdicción de un Estado. Por ende, cuando hablamos del ciberespacio, hablamos de un mundo sin límites y sin nacionalidades. Sin embargo, las consecuencias afectan a objetivos específicos y bien delimitados, ya sea a nivel Estatal, empresarial o individual.
Por ello en este ámbito el principal objetivo a proteger es la información, entendida  como “toda comunicación o representación de conocimiento como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.”

3. La Seguridad Informática: 
Su seguridad no es un mero aspecto técnico, sino un eje fundamental de los Estados. Dada la cada vez mayor importancia de los sistemas informáticos en la gestión y desarrollo de los servicios vitales, los Estados y la región dependerán en buena medida de la seguridad del ciberespacio.
Ésta puede verse comprometida por causas técnicas, fenómenos naturales o por ataques ilícitos. Los ciberataques son una amenaza en crecimiento con la que los posibles agresores, terroristas, crimen organizado, empresas, Estados o individuos aislados, podrían poner en dificultad infraestructuras críticas. Existen precedentes de cómo la pérdida de disponibilidad de las mismas puede causar serios daños a un país. Es asimismo un ámbito para el espionaje por parte tanto de agentes criminales o de otros Estados.
El Doctor Roberto Uzal al referirse a la Seguridad Informática  expresa que se trata de un tema de altísima sensibilidad y de vital importancia ya que su alcance superó el ámbito de un sistema informático, sus administradores y sus usuarios. Esta Seguridad implica: protección de la “grilla” eléctrica del país, aseguramiento de las prestaciones de los aeropuertos, seguridad de las destilerías de petróleo y oleoductos, continuidad del funcionamiento de los sistemas ferroviarios, confiabilidad del sistema financiero, funcionamiento de hospitales, confianza en los sistemas de comunicaciones, continuidad de los servicios satelitales y, como ya se expresó, muchos otros ámbitos esenciales en el funcionamiento de un Estado.

Las agresiones que se han verificando, utilizando una nueva generación de armamento basada en sofisticados programas de computadoras, obligan a repensar las relaciones internacionales y a redefinir las incumbencias de lo que conceptual e instrumentalmente se entiende como Seguridad Informática; el doctor Uzal cita entre otras a:
 La masiva y devastadora agresión cibernética de Rusia a aeropuertos, sistemas ferroviarios, hospitales, sistema financiero y medios periodísticos de Estonia, en el 2007.
 La alteración del software de un Sistema de Radar ruso en el Norte de Siria, a orillas del Éufrates, en el 2007 impidió detectar a cazas bombarderos de Israel que atacaron y destruyeron instalaciones sirias.
 El prácticamente confirmado acceso por parte de China, a información del área Defensa altamente sensible, residente en la Intranet del Jet Propulsion Laboratory (California Institute of Technology – NASA).
 La voladura, de las baterías de centrífugas en la planta de enriquecimiento de uranio en Natanz, Irán.
 “Maher”, el 28 de mayo de 2012, detectó, en plataformas de exploración petrolera iraníes, la presencia de un arma cibernética a la que luego se llamó Flame. La evidencia sugiere que “Flame” podría haber sido desarrollado por el mismo país o países responsables del gusano “Stuxnet”, casualmente el virus que atacó, en el 2010, a una de las plantas vinculadas al programa nuclear de Irán.
Que el software sea robusto pasa a ser igualmente importante a que haga correctamente su trabajo. Cabe mencionar, como ejemplo de esquema defensivo, al “Escudo Dorado” (Golden Shield) conocido, también, como el “Gran Cortafuegos de China” (Great Firewall of China).
Adam Liff , en el Journal of Strategic Studies, socava la creencia convencional de que el armamento cibernético avanzado sea barato y fácilmente disponible; desarrollarlo requiere gran cantidad de recursos, de tiempo y de secretismo operacional. Ejecutores débiles no están realmente capacitados para llevar a cabo ataques prolongados que puedan inutilizar las infraestructuras básicas de sistemas vitales de sus agredidos.
La Seguridad Informática tiene también su componente jurídico – institucional . Al respecto conviene citar a Nemat Ahmadi, conocido abogado iraní, quien entrevistado este año por la televisión oficial iraní, expresó que regulaciones para evitar la proliferación de guerras cibernéticas son aún más necesarias que las destinadas a evitar la proliferación de armas nucleares.

Estudiosos del Derecho de los Estados Unidos, sostienen que existe jurisprudencia avalando que se  considere a determinados Ataques Cibernéticos como una agresión armada a territorio estadounidense. Cyber War Law es ya una relevante especialización del Derecho en este país del Norte.

4. La tipología de los ataques cibernéticos:
La definición de los ataques cibernéticos permite simplificar el análisis y la comprensión del tema; y, por otro lado, facilita a la determinación de las herramientas a emplear en el marco de una integración regional respetuosa de regulaciones estaduales autónomas y diferentes.
En base a la investigación presentada por Celia Brúculo y Alejandro Venczel  en el VI Congreso de Relaciones Internacionales, podemos diferenciar entonces tres tipos de ataques, basándonos en el efecto buscado y no en el recurso empleado:

a. El delito cibernético, es aquel cometido por un particular que busca el rédito personal. Son hechos ilícitos tales como la estafa, fraude bancario, robo de identidad, etc. Si bien el atacante es un particular, la víctima puede ser otro particular, una organización o el Estado.

b. El cibercrimen implica una intencionalidad diferente por parte de los ejecutantes de la acción. Ya no sólo se busca el rédito personal, sino que existe la intención de generar un determinado efecto en la víctima del ataque. El atacante puede ser un particular o una organización y los objetivos suelen ser otras organizaciones, grandes empresas o los Estados.

c. La ciberguerra puede definirse como un conflicto clásico entre Estados, en el que los actores se valen del campo de la tecnología informática para afectar las fuerzas armadas, infraestructura y/o sistema de comunicación de un Estado.

5. El tratamiento de la Seguridad Informática en el hemisferio.
En nuestro hemisferio, la Asamblea General de la Organización de Estados Americanos, por medio de la Resolución 1939 del año 2003, conocida como Desarrollo de una Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética, reconoce la necesidad de: “...trabajar en el desarrollo de un proyecto de estrategia integral de la OEA sobre seguridad cibernética que aborde los aspectos multidimensional y multidisciplinario de la seguridad cibernética...”

En cumplimiento de dicha resolución en junio de 2003 se celebró en Buenos Aires la “Conferencia de la OEA sobre Seguridad Cibernética”, Concluyendo en el documento AG/RES 2004 (XXXIV-O/04) Estrategia de Seguridad Cibernética.

En el mencionado documento se resuelve, entre otros puntos, los siguientes:
1. Adoptar la Estrategia Interamericana Integral de Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de seguridad cibernética.
2. Instar a los Estados Miembros y a los órganos, organismos y entidades de la OEA a que coordinen sus esfuerzos para incrementar la seguridad cibernética.
Coordina, por otro lado, una serie de criterios comunes, entendiendo que: “...La Estrategia Interamericana Integral de Seguridad Cibernética se basa en los esfuerzos y conocimientos especializados del Comité Interamericano contra el Terrorismo (CICTE), la Comisión Interamericana de Telecomunicaciones (CITEL), y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA). La Estrategia reconoce la necesidad de que todos los participantes en las redes y sistemas de información sean conscientes de sus funciones y responsabilidades con respecto a la seguridad a fin de crear una cultura de seguridad cibernética” .

6. La regulación de la Seguridad Informática en América del Sur
En lo que refiere estrictamente a América del Sur, para los Estados que integran la UNASUR como bloque regional, la Seguridad Informática es objeto de interés y se vienen delineando estrategias para avanzar en ese sentido.

En mayo de 2012 se realizó una Reunión de Ministros de Defensa de la UNASUR en la ciudad colombiana de Cartagena buscando ante todo formular mecanismos de cooperación para hacer frente al crimen transnacional y a las nuevas amenazas en la región, incluyendo entre estas a los delitos cibernéticos.

En esa oportunidad dijo el Presidente Pro Témpore de la UNASUR, Jorge Lara Castro, “la delincuencia organizada transnacional es una amenaza para los Estados Miembros de UNASUR (…) el delito cibernético, son algunos de esos desafíos”. Y por su parte, el Ministro de Defensa de Colombia, Juan Carlos Pinzón, explicó en la sesión inaugural que “…el crimen no conoce fronteras y las tecnologías están al alcance de todos en el planeta por lo mismo las organizaciones criminales de distinta índole precisamente aprovecha esas tecnologías, esas facilidades que da el mundo moderno, este siglo 21 en el que nos encontramos para tomar ventaja para fortalecer su accionar criminal.”.
En el corriente año, entre los días 14 y 16 de mayo, se desarrolló en Buenos Aires el Primer Seminario Regional de Ciberdefensa de la UNASUR. En el mismo, delegaciones regionales  y especialistas militares y civiles en cibernética y TIC`s abordaron desde una mirada integral esta nueva dimensión de la Defensa.
En la apertura del encuentro, el Ministro de Defensa de Argentina, Ing Agustín Rossi, señaló que la UNASUR definió a la ciberdefensa como uno de los ejes estratégicos de trabajo. El Ministro subrayó que “la cuestión cibernética en el mundo de la defensa es uno de los desafíos más grande de los últimos años” y remarcó que el principal reto que presenta para los países suramericanos es el desarrollo de capacidades tecnológicas propias.

Por otra parte, la cooperación binacional entre Estados ha incorporado también en su agenda de tareas esta temática. Ejemplo de ello es el trabajo conjunto de Brasil y Colombia en materia de Defensa cibernética y, por otro lado, existe entre la Argentina y Brasil una experiencia de décadas de trabajos comunes en el ámbito de la Tecnología Informática. Con un provechoso intercambio en este ámbito, sobre todo en actividades de investigación y en el de la enseñanza avanzada.

7. La visión de algunos Estados de América del Sur sobre esta temática
 Argentina
En relación a la seguridad cibernética, Argentina creó "Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad", en el ámbito de la Jefatura de Gabinete de Ministros, a fin de impulsar la creación y adopción de un marco regulatorio específico, para hacer frente a esta amenaza. Fijando como objetivos, los siguientes, entre otros:
d) Establecer prioridades y planes estratégicos para liderar el abordaje de la ciberseguridad, asegurando la implementación de los últimos avances en tecnología para la protección de las infraestructuras críticas.
h) Alertar a los organismos que se adhieran al presente Programa sobre casos de detección de intentos de vulneración de infraestructuras críticas, sean estos reales o no.
m) Promover la coordinación entre las unidades de administración de redes informáticas del Sector Público Nacional, para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad.
 Brasil
En su Estrategia Nacional de Defensa, sostiene la idea de que todas las instancias del Estado deben contribuir al aumento de la Seguridad Nacional, con énfasis, entre otras, sobre: la prevención de actos terroristas, las medidas de seguridad sobre áreas críticas (recursos y servicios), acciones de defensa civil, procedimientos de seguridad que reduzcan la vulnerabilidad cibernética, y medidas contra pandemias.
En este documento la República del Brasil percibe las siguientes amenazas:
• Agresiones armadas externas.
• Biopiratería.
• Problemas de drogas y delitos conexos
• Terrorismo.
• Ilícitos transnacionales.
• Protección recursos y biodiversidad.
• Desastres naturales.
• Grupos armados al margen de la ley.
• Vulnerabilidad cibernética.
 Chile
En el año 2012 el Presidente de la República presentó ante el Senado la Estrategia Nacional de Seguridad y Defensa para su consulta. En este documento ha remarcado que “Por otro lado, las llamadas “nuevas amenazas” -tales como el narcotráfico, el crimen organizado, el terrorismo y los ciberataques-, lejos de disminuir, han aumentado su gravitación e importancia. Las tecnologías disponibles, una marcada internacionalización de las organizaciones criminales y la sofisticación de sus actividades, sumado al debilitamiento de algunos Estados, que tienen graves dificultades, incluso para controlar zonas de su propio territorio, son todos elementos que han generado una tendencia ascendente en la peligrosidad de tales amenazas.”
 Colombia
También establece una estrategia para enfrentar a las amenazas cibernéticas. Definida por el Ministro de Defensa, Rodrigo Rivera, como “Una estrategia integral, comprensiva, que involucra todos los matices, las aristas para enfrentar retos de seguridad doméstica, de cibercrimen que puedan darse al interior de las distintas comunidades o individuos que utilizan el ciberespacio en nuestra sociedad. Pero también retos de ciberdefensa, es decir, los riesgos de afectación de infraestructura sensible, hidroeléctrica, de transporte, de la propia seguridad o de instituciones importantes educativas o de salud, por amenazas que tienen que ver con la utilización del ciberespacio”.
Para ese fin creó tres organismos:
 El Grupo de Respuesta a Emergencias Cibernéticas de Colombia (Colcert), coordina a escala nacional los aspectos de ciberseguridad y ciberdefensa.
 El Comando Conjunto Cibernético de las Fuerzas Militares, para salvaguardar los intereses nacionales en el ciberespacio.
 El Centro Cibernético Policial, que estará a cargo de la prevención e investigación y apoyará la judicialización de los delitos informáticos.
 Perú
El Perú también entiende que debe adecuarse a los avances tecnológicos actuales, entendiendo sus ventajas y amenazas. Al respecto, el Ministro de Justicia de ese país, Daniel Figallo, ha expresado la necesidad de adecuar su legislación en este tema, expresando que “El cibercrimen no tiene fronteras. El ciberdelito involucra además pornografía infantil, trata de personas y provoca la sustracción de nuestro patrimonio”
 Uruguay
En sus Bases para una Política de Defensa Nacional  percibe que “Amenazas tales como la inmigración ilegal, el terrorismo informático o el tráfico de drogas, aunque en un nivel inicial son competencia de las fuerzas policiales, pueden llegar a escalar a un nivel mayor, y afectar a aquellos bienes cuya tutela la comunidad ha confiado a las Fuerzas Armadas”.
Respecto de la seguridad de redes informáticas, el Uruguay creó  el "Centro Nacional de Respuesta a Incidentes de Seguridad Informática" , que tendrá entre sus tareas las siguientes:
 Coordinar con los responsables de la seguridad de la información de los   organismos estatales para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad informática.
 Alertar ante amenazas y vulnerabilidades de seguridad en sistemas informáticos de los organismos
 Realizar las tareas preventivas que correspondan.
 Venezuela
Venezuela concibe a la protección de los sistemas informáticos que contienen, procesan, resguardan y transmiten la información como bien jurídico a preservar. Esto está contemplado en la Ley Especial contra los Delitos Informáticos , que tipifica las siguientes clases de delitos contra los sistemas que utilizan tecnologías de información: acceso indebido; sabotaje o daño a sistemas; favorecimiento culposos del sabotaje o daño; acceso indebido o sabotaje a sistemas protegidos; posesión de equipos o prestación de servicios de sabotaje; espionaje informático; falsificación de documentos.

8. Algunas probables líneas de acción para los países de la Región.
Como hemos visto varios Estados y la región en particular, a través de UNASUR, se encuentran abocados al tratamiento de esta  amenaza. Se entiende preciso explorar propuestas que puedan desarrollar acciones efectivas y autónomas para reducir tanto las inseguridades y falencias cibernéticas pero también la dependencia ante Estados extrarregionales, con el desarrollo de tecnología propia.
Entre las líneas de acción identificadas para desarrollar, basados en los principios de voluntad política, regionalidad e integración, se pueden considerar los siguientes:
a) Elaborar una política regional sobre Seguridad Cibernética, estableciendo acuerdos con otras organizaciones internacionales, con el sector privado y con las áreas de la educación.
b) Incrementar la capacidad de prevención, detección, investigación y respuesta de las ciberamenazas, con apoyo de un marco jurídico eficaz.
c) Garantizar la seguridad de los sistemas de información y redes e infraestructuras públicas, en particular las que soportan infraestructuras críticas. Es necesario adquirir, como mínimo, capacidades para impedir o al menos mitigar agresiones de ese tipo.
d) Promover la capacitación de profesionales, impulsando la investigación y desarrollo regional, generando los Recursos Humanos aptos a nivel de la dirección, como prioridad.
e) Implementar una cultura de ciberseguridad sólida.
f) Interpretar que los conceptos de delito cibernético, cibercrimen y ciberguerra no son “extrapolables”; ni en su naturaleza, ni en lo tecnológico, ni en los aspectos legales ni en las potenciales consecuencias.
g) Conformar  una alianza estratégica para mantener el control del Ciberespacio a nivel regional sería un excelente logro; con el objetivo de :
• Mantener un control tal que evite o minimice la probabilidad de Ataques Cibernéticos a la Región.
• Evitar que se utilice a la Región como lugar de lanzamiento de Ataques Cibernéticos por parte de terceros.
• Desarrollar una capacidad de neutralización de las eventuales fuentes de Ataques Cibernéticos.
Mejorar la seguridad en el ciberespacio requiere de una acción cooperativa y coordinada que, sin poner en riesgo la privacidad, permita una legislación común, colaboración entre el sector público y privado y medidas comunes entre los Estados de la región.