El Problema de la Ciber Atribución: Aportes para una estrategia de Ciber Defensa.
Prof. Dr. Roberto Uzal (*)
Introducción
La Ciber Atribución [1], la Ciber Anonimidad [2][3] y la Ciber Disuasión [4] constituyen las tres áreas esenciales de investigación y desarrollo, de adquisición y ejercicio de capacidades instrumentales y también de formación de Recursos Humanos, con un enfoque de mejora continua, en el ámbito de la Ciber Defensa.
En principio resulta imprescindible, para todo estado nación, poseer la capacidad de identificar y localizar a los responsables de Ciber Agresiones, especialmente aquellas dirigidas a afectar su Infraestructura Crítica [5]. Esto debe (y puede) lograrse con una muy alta probabilidad de éxito asociada, una muy baja tasa de falsos positivos y produciendo resultados casi en “tiempo real” [6][7][8][9]. Si un estado nación logra un alerta temprana de una Ciber Agresión, puede llegar a evitar que dicha Ciber Agresión cause daños pero, si no logra identificar y localizar al atacante, el éxito “defensivo” habrá sido parcial, casi mínimo. Al no identificar al Ciber Agresor, una importante oportunidad de posicionamiento positivo, en el contexto global de la Ciber Defensa, habrá sido desaprovechada.
Un estado nación, con una reconocida capacidad de Ciber Atribución será un estado tenido en cuenta en el proceso de toma de decisiones en la región y en el mundo. Casualmente, el foco de este trabajo está puesto en el denominado “Problema de la Ciber Atribución”.
Por otro lado, referido ahora a la Ciber Anonimidad, se la puede asociar con la privacidad absoluta y con la reserva de la identidad de individuos y de organizaciones durante la interacción con la Red de Redes y otras redes que, directa o indirectamente, están vinculadas a Internet. La Ciber Anonimidad no necesariamente está orientada hacia fines o actividades maliciosos. Numerosas personas y organizaciones intentan diversos niveles de anonimidad como enfoque para incrementar la seguridad. Específicamente, en el ámbito de la Ciber Defensa, la Ciber Anonimidad ocupa un lugar de muy alta sensibilidad, tanto en operaciones defensivas como en las ofensivas.
Existen productos desarrollados con la intención declarada de incrementar la Anonimidad de los usuarios de Internet. Se citan como ejemplos a Anonabox [10] y Tor [11][12][13]. Este último es conocido por el acrónimo de “The Onion Router” (El Router Cebolla) aunque últimamente se lo reconoce como “Proyecto Tor”,
Tor, como herramienta para evitar la identificación routers, comenzó a ser denominado con ese nombre a partir de 2004 aunque los primeros antecedentes de su desarrollo se remontan a 1995, cuando la “Office of Naval Research” de la Armada de Estados Unidos se fija el objetivo de a) proteger las redes militares de intrusiones no autorizadas, b) realizar una suerte de análisis de flujos de red y, c) lograr comunicaciones privadas protegiendo la anonimidad de los usuarios de la red.
De ninguna manera estas herramientas de incremento de la capacidad de Anonimidad constituyen impedimentos para lograr resultados de alta confiabilidad cuando se trabaja en Ciber Atribución; sólo incrementan la complejidad de la tarea. Adicionalmente, incorporar a las redes del área Defensa de distintos países productos de “Anonimidad” adquiridos en el exterior (países distintos a los usuarios), constituiría un acto de ingenuidad extrema [14][15][16][17][18][19].
Pasando desde la Ciber Atribución a la Ciber Disuasión, se destaca que la Disuasión en general se manifiesta en casi todas las formas de relaciones humanas. Ha existido desde casi siempre en los vínculos entre grupos y por supuesto en la interacción entre estados naciones. A pesar de su importante incidencia en las relaciones internacionales, la disuasión no atrajo demasiado la atención de los estudiosos hasta después de finalizada a Segunda Guerra Mundial. Su auge como objeto de estudio y como herramienta política fue asociado, con frecuencia, a la disponibilidad, por parte de ciertos estados naciones, de armas de destrucción masiva. Cronológicamente se la ha vinculado fuertemente al contexto político mundial correspondiente al desarrollo de la Guerra Fría.
En el ámbito de la Disuasión están ampliamente reconocidos los aportes de William Weed Kaufmann [20][21], específicamente a la entonces denominada “Estrategia de la Disuasión Nuclear”.
Debidamente adaptadas al entorno eminentemente asimétrico de la Ciber Defensa, algunas de las ideas fundamentales del Dr. William Kaufmann constituyen una importante contribución, como referencia, para quienes incursionan en el ámbito de la Ciber Disuasión. El desafío, en este caso, es el de compatibilizar / extrapolar / interpolar los aportes del Profesor Kaufmann a un contexto eminentemente asimétrico como lo es el de la Ciber Defensa.
La Ciber Disuasión se manifiesta mediante la percepción, por parte del oponente real o potencial, de a) la propia capacidad para identificar el origen de Ciber Ataques y b) la propia capacidad para ejercer en el Ciber Espacio el derecho que deriva del Artículo 51 de la Carta de las Naciones Unidas [22].
Ciber Disuación debería ser motivo de profundo análisis por parte de las autoridades nacionales. A juicio del autor, hace a los intereses de Argentina el que se consolide un consenso global que la reconozca como un país
sólidamente posicionado como no-Ciber Agresor pero, al mismo tiempo, con el equipamiento y los Recursos Humanos necesarios que le posibiliten resolver la casi totalidad de las variantes del Problema de la Ciber Atribución.
Lo señalado [23] debe ser acompañado con una amplia y robusta capacidad forense para efectuar presentaciones, sólidamente sustentadas, ante organismos internacionales.
La Ciber Disuasión requiere que, globalmente, se reconozca que Argentina cuenta con los recursos necesarios para ejercer plenamente, si fuere necesario, el derecho contemplado en el ya citado Artículo 51 de la Carta de las Naciones Unidas. Logrado el mencionado reconocimiento global, se minimizará la probabilidad de ser objeto de Ciber Agresiones provenientes de otros estados naciones y/o agentes estatales foráneos.
Viene al caso señalar que, frecuentemente, especialistas en Ciber Defensa pertenecientes a grandes potencias, le quitan importancia o aún niegan la existencia de una suerte de Ciber Disuasión; esto es entendible como componente comunicacional de una Ciber Estrategia. Eso sí, negar la capacidad potencial de Ciber Disuación a países medianos o pequeños es casi equivalente a negar el carácter asimétrico de la Ciber Defensa, es decir, es una postura difícilmente sustentable.
Aspectos específicos de la Ciber Atribución
Retomando el foco de esta contribución, es decir los aspectos vinculados con la Ciber Atribución, se destaca que la asociación de Ciber Agresiones a un responsable específico constituye un asunto no trivial. La complejidad de la solución del Problema de la Atribución ha sido utilizada, por determinados gobiernos, como sustento de importantes campañas comunicacionales destinadas a difundir el mito de la imposibilidad de solucionar el mencionado problema.
Curiosamente, la expansión del mito de la no-solución del Problema de la Atribución, ha recibido “ayudas” muy importantes y difícilmente explicables las que ameritan, por su carácter casi insólito, una seria investigación ad hoc [24].
En forma paradojal, la jurisprudencia y las opiniones de organismos internacionales que se han venido acumulando, establecen que un Ciber Ataque debe poder ser atribuido, con una muy alta probabilidad asociada, antes de que un contraataque del estado nación víctima pueda quedar claramente incluido en los términos del Artículo 51 de la Carta de las Naciones Unidas. Adicionalmente, un robusto y homologado enfoque forense debe respaldar la atribución (origen) de un Ciber Ataque [25][26][27][28]. La atribución de un Ciber Ataque a un estado nación o a un agente estatal es una pre condición sine qua non e internacionalmente requerida, para poder alegar legítima defensa
La Atribución en el Ciber Espacio es compleja; las identidades y localizaciones físicas de los Ciber Agresores pueden ser fácilmente disfrazadas o disimuladas. Sin embargo está claro que Argentina posee el potencial para para calificar entre los estados naciones líderes en este espacio de problema [29][30][31][32][33]34[35].
Como aspecto complementario de esta exposición, viene al caso mencionar que, un entonces recientemente graduado (año 2012), en el área “Law and Politics of International Security”, de la Vrije Universiteit (Universidad Libre) de Amsterdam, llamado Dimitar Kostadinov, elaboró, en el año 2013, un muy relevante y acertado artículo sobre Ciber Atribución. Dicho artículo fue publicado en el tópico “hacking” de la página web del “Infosec Institute”, una institución orientada a la formación de Recursos Humanos de nivel técnico localizada en Elmwood Park, Illinois, EEUU [36]. El artículo de Kostadinov (de origen búlgaro) sorprendió entonces (2013) por sus contenidos y mucho más sorprende ahora, al cobrar mayor relevancia sus aseveraciones por corresponderse con la experiencia académica y de campo que se ha adquirido, en este ámbito de estudio, en los dos años transcurridos desde su publicación.
El aporte de Kostadinov es una referencia importante de esta presentación; la diferencia esencial entre ambos escritos consiste en que este trabajo utiliza un enfoque sistémico al tratar las interrelaciones entre Ciber Atribución, Ciber Anonimidad y Ciber Disuasión, aunque con un fuerte énfasis en Ciber Atribución. Adicionalmente, otros aspectos esenciales en los que difieren el trabajo de Kostadinov y el presente son: La finalidad, el alcance y las conclusiones.
Retomando el hilo conductor prioritario de este artículo, se resalta que la Ciber Atribución requiere precisión y una consolidada seriedad profesional; si un atacante es erróneamente atribuido, existe un gran riesgo de dañar víctimas inocentes al tomar como blanco, en el ejercicio de la defensa propia, lugares o instalaciones equivocados. Una respuesta dirigida a un blanco equivocado afectará sistemas computacionales o instalaciones “inocentes”, especialmente si el Ciber Ataque original ha sido ruteado a partir de alguno de los mencionados sistemas “inocentes” (falso origen del ataque).
Eventualmente podría darse que civiles fuera del control estatal lancen un Ciber Ataque. Esto podría o no tener consecuencias legales para ellos. De todas formas no procedería un ataque militar a gran escala como respuesta.
Se destaca que es también importante determinar, en la Ciber Atribución, cuándo un atacante es o no un actor estatal. Con el propósito de tener un marco adecuado, deberían examinarse primero a los actores no estatales
Los actores no estatales, tales como individuos, grupos organizados y organizaciones terroristas necesitan estar relacionados / vinculados a un
estado de manera de que las Naciones Unidas (Consejo de Seguridad) tengan incumbencias en Ciber Conflictos originados por ellos (Artículo 24 de la Carta de las Naciones Unidas) [37]. Caso contrario, las acciones de actores no estatales quedan comprendidas en la legislación doméstica de los países en los que actúen.
La aplicación de “la letra” de los cuerpos legales, en general, dificulta el vincular a actores no estatales a alguna organización o estructura estatal. Es por esto que, mayoritariamente, individuos o pequeños grupos terminan frecuentemente siendo señalados como responsables de Ciber Ataques. Un buen ejemplo de ello es que Rusia sostiene (con bastante apoyo internacional) que fueron “patriotas rusos” quienes, individualmente, atacaron al gobierno de Estonia, a su sistema financiero, etc. Se suele argumentar que, en 2007, “indignados” por el traslado del “soldado de bronce”, salieron por propia cuenta, a lavar el honor mancillado de “La Madre Rusia” [38][39]. Dado el incremento de las posibilidades tecnológicas para gestionar la Anonimidad, muchos estados prefieren poner el énfasis en medidas defensivas de carácter pasivo. Se estima que desechar a la Ciber Disuasión como componente esencial de la Ciber Defensa constituye un error conceptual profundo.
Algunas de las medidas “clásicas” para prevenir Ciber Ataques lo son los sistemas de detección de intrusos, firewalls, encriptado, etc. Estos enfoques no incluyen elementos que permitan, efectivamente, identificar y localizar al Ciber Agresor y/o el origen de la acción maliciosa. La claudicación respecto de trabajar para identificar al Ciber Agresor crea un círculo vicioso en el cual la Anonimidad impide la atribución del Ciber Ataque; esta carencia de capacidad de Ciber Atribución trae como consecuencia que los Ciber Agresores evadan la justicia, a la acción de respuesta y/o a las sanciones de organismos internacionales. Esto, a su vez, provoca la caída del nivel de la esencial “Ciber Disuasión”; sin el temor a ser identificados y penalizados, individuos, organizaciones y/o estados naciones continuarán, posiblemente en forma incremental, sus actividades maliciosas en el Ciberespacio [40]
Ciber Atribución y Ciber Disuasión
Leon Panetta aportó positivamente en el ámbito que se está describiendo:
“Los potenciales agresores deberían estar atentos a que los EEUU tienen la capacidad de identificarlos y de localizarlos cuando realicen acciones que impliquen algún tipo de daño, casualmente, a los EEUU” [41].
La expresión de Panetta, como un buen ejemplo de uso correcto de la Ciber Disuasión, está basada en que:
* un arma cibernética puede producir efectos devastadores
* es posible y necesario detectar la autoría del desarrollo y de la utilización de armas cibernéticas.
Lo expresado por Panetta aplica perfectamente en Ciber Agresiones entre estados naciones; es bastante más difícil determinar / atribuir agresiones a organizaciones Ciber Terroristas o grupos de Activismo Hacker; la Ciber Disuasión y el temor a respuestas tienen en ellos efectos mucho menores.
En la Ciber Disuasión juega un rol negativo el mito / falacia de que un Ciber Ataque sofisticado eludirá cualquier tecnología o método de Ciber Atribución, sin importar cuán avanzado este método sea. La Ciber Atribución, en Ciber Defensa, es viable y también necesaria. Un pequeño grupo de Ciber Soldados, de muy alto nivel profesional, podrá resolver problemas de Ciber Atribución sumamente complejos. Se insiste: Ciber Defensa es un contexto eminentemente asimétrico.
Facilitando la Ciber Atribución en un territorio restringiendo la Ciber Anonimidad
Al respecto conviene mencionar que en China, en Egipto, en Siria, en Corea del Norte, en Birmania y en otros estados [42][43][44][45], existe un detallado control gubernamental y censura en el Ciberespacio en general y en Internet en particular. Los ciudadanos de algunos de esos países, que deseen tener acceso a Internet en forma privada, deben concurrir a una estación de policía, registrarse y adquirir una licencia de usuario de Internet.
La mayoría de los usuarios de Internet en China acceden desde cibercafés que obligatoriamente deben registrar en video toda la actividad allí realizada.
Los correspondientes registros (videos) deben ser almacenados por un tiempo bastante prolongado.
La Policía de China administra una enorme base de datos en la que está registrada toda la información correspondiente a usuarios de Internet. Existen abundantes antecedentes de juicios y penas relacionadas con delitos cometidos en el Ciberespacio, por ejemplo, subversión.
Como resultado de estas medidas, donde toda China se comporta como una gran Intranet perfectamente monitoreada, el Problema de la Atribución, dentro de ese país, es muy sencillo de ser resuelto. Asimismo, los flujos de red, tanto entrantes como salientes (del país), están controlados por un esquema que funciona como un gran firewall (El Escudo Dorado); una verdadera y nueva Gran Muralla [46][47][48][49].
Existen otros países que han incluido en su estrategia comunicacional que el Problema de la Atribución es inaplicable en democracia. Esto no es correcto, los flujos de red correspondientes a Ciber Agresiones pueden ser detectados mediante el estudio del comportamiento estadístico de los routers [50], sin violar derechos humanos básicos tales como la confidencialidad, la intimidad, etc.
Casualmente, dichos países han realizado inversiones gigantescas que les posibilitan realizar operaciones de espionaje / vigilancia masivos [51][52][53], casi en tiempo real, las que, o son equivalentes o superan, en sus resultados, a las correspondientes al Escudo Dorado de China. En otras palabras, buscan lograr, a nivel global, el control que China implantó en su territorio.
La importancia de la Ciber Atribución en el caso de estados naciones
Al tratar el tema de la Ciber Atribución, en el caso de los estados naciones y de los actores estatales, conviene citar a la Carta de las Naciones Unidas la que, en su Artículo 24 y otros, solo reconoce a los estados naciones, en determinadas situaciones, la legitimidad del uso de la fuerza. Las Ciber Agresiones quedan claramente comprendidas en la regulación mencionada.
Los actores estatales están comprendidos en esta categoría porque desarrollan sus actividades en nombre / representación de los estados. Actores estatales son, por ejemplo, las unidades militares de Ciber Defensa / Ciber Seguridad o individuos que trabajan para un gobierno de manera contractual.
Si el atacante es un estado nación, las contramedidas deben tener en cuenta las normas jus ad bellum y jus in bello, es decir las legítimas razones que un estado tiene para entrar en guerra y las prácticas aceptables mientras se está en guerra. Estas están reguladas por la Carta de las Naciones Unidas y por el Derecho Internacional.
Otro aspecto relevante de la Ciber Atribución es el de la “responsabilidad imputada”. Cuando un estado nación desarrolla actividades en el Ciberespacio, la soberanía de otros estados necesita ser considerada. Esto es así debido a la naturaleza interconectada e interoperable del Ciberespacio. Operaciones que tengan como blanco la infraestructura TI de un país pueden tener efecto en otros países.
Citando el principio de soberanía y la doctrina de integridad territorial [54], los estados pueden y deben ejercitar el control integral de su territorio. En principio puede establecerse que los estados son responsables si desde su territorio se lanzan Ciber Ataques a otros estados naciones.
Enfoques alternativos de Ciber Atribución
Existe una tendencia creciente, por parte de los estados, de búsqueda de otros métodos de Atribución. Una alternativa que merece ser considerada es el concepto ya anticipado de “responsabilidad imputada”. En este contexto, como se citó, un estado es responsable por cualquier Ciber Ataque que se origine desde su territorio, aún en el caso de que dichos Ciber Ataques sean lanzados por actores no estatales tales como organizaciones terroristas. De acuerdo con la evidente visión mayoritaria de la comunidad internacional, un estado no cumple con sus obligaciones cuando sus mecanismos legislativos y de
procedimientos (protocolos), por una razón u otra, no conducen a los responsables de la Ciber Agresión a juicio y a las correspondientes sanciones.
Mención al caso de “estado santuario”
Merece especial tratamiento, en este trabajo, el caso de “estado santuario” [54]. Los conceptos de “santuario terrorista” y “santuario” están asociados a los siguientes escenarios:
1. Una parte o área en el territorio de un país es utilizada por un terrorista u organización terrorista para:
a. llevar a cabo actividades terroristas, incluyendo entrenamiento, adquisición de recursos, financiamiento y reclutamiento o
b. como un territorio tránsito, y
2. El gobierno de dicha área territorial expresamente consciente, conoce, está en conocimiento, permite, tolera o se desentiende de dicho uso de su territorio.
Los gobiernos de estados naciones, que sean catalogados como “estados santuarios”, deben responder por las actividades encuadrables en Ciber Terrorismo llevadas a cabo desde sus correspondientes territorios.
Sin embargo, se debe destacar que la justificación de la defensa y/o contraataque o respuesta a un Ciber Ataque proveniente de un “estado santuario”, no es un tema del todo claro ni globalmente acordado; muchos estudiosos son partidarios de un enfoque más directo y concreto, especialmente cuando esté en juego la protección de la Infraestructura Crítica Nacional.
¿Límites a las responsabilidades de los estados naciones?
En principio se acepta que los estados no pueden ser señalados como responsables de actos ilegales cometidos por individuos sin que se haya probado que dichos individuos ejercen funciones públicas, es decir, actividades claramente relacionadas con el funcionamiento del gobierno estatal.
Esta aseveración, que deslinda responsabilidades del estado, luego del 9/11, ha sufrido cambios graduales. La tendencia es a establecer excepciones en el deslindar responsabilidades cuando haya evidente negligencia estatal o legislación evidentemente inadecuada según lo expresado por René Värk, opinión que ha alcanzado un amplio consenso internacional [56].
Adicionalmente, “efectivo control” es un estándar requerido a los estados según jurisprudencia de la Corte Internacional de Justicia; caso Nicaragua, 1985 [57].
Se entiende entonces que una acción de un actor no estatal podría ser atribuida a un estado si dicho estado está, directa o indirectamente involucrado en operaciones conducidas por actores no estatales [58].
Acotación importante: Si el daño a los Sistemas de Información ocasionados por un Ciber Ataque, trae aparejada la muerte o heridas en personas o la destrucción de objetos tangibles, al estado víctima se le presenta bastante claramente la oportunidad de regular su defensa de acuerdo con lo establecido por el Artículo 51 de la Carta de las Naciones Unidas [59].
Síntesis y conclusiones
Esta contribución amerita, en su parte final, una suerte de síntesis, conclusiones y propuestas del autor, que se exponen a continuación:
* Se reconoce que este documento admite numerosos y sustantivos aportes de los lectores para lograr una versión perfeccionada, consensuada y de mayor relevancia; sin embargo se remarca que, sin dudas, Ciber Atribución, Ciber Anonimidad y Ciber Disuasión constituyen conceptos, áreas de conocimiento y ámbitos de adquisición de capacidades instrumentales de muy alta prioridad y perentoriedad de la Gestión Gubernamental en general; no sólo del área Defensa.
* En el contexto apuntado por el párrafo anterior, Ciber Atribución se destaca por su innegable relevancia.
* Argentina no tiene limitaciones, en lo que hace a know how, para encarar un vigoroso programa que la posicione en un lugar de liderazgo en la región, en cuanto a conocimiento y a capacidades instrumentales, en lo que hace a Ciber Atribución
* Los conocimientos y capacidades instrumentales que Argentina puede y debe adquirir en Ciber Atribución deberán ser homologadas mediante el concurso de organismos internacionales. Dicha homologación es la que le dará sustento a potenciales presentaciones que Argentina pueda efectuar, por ejemplo ante las Naciones Unidas, en el caso de ser víctima de un Ciber Ataque y/o para justificar el ejercicio del derecho reconocido en el Artículo 51 de la Carta de las Naciones Unidas.
* Lo expresado en los dos puntos anteriores es viable y, asimismo, es casi mandatorio. De lograrse lo señalado en los dos párrafos precedentes, se producirían efectos sinérgicos positivos en la relación de Argentina con los otros estados naciones de la región.
* Los recursos a ser destinados para llevar adelante los emprendimientos asociados a la adquisición de capacidades relevantes en Ciber Atribución implican montos razonables. La relación “costo / beneficio” de un proyecto integral en el ámbito citado resulta sumamente favorable a los intereses de Argentina, no restringidos, como se anticipó, al área Defensa.
* Este trabajo prioriza la Ciber Atribución; Sin embargo, Ciber Atribución, Ciber Anonimidad y Ciber Disuasión no constituyen conjuntos disjuntos.
Las interacciones entre dichos tres ámbitos son extremadamente importantes. Todo trabajo que se emprenda, como consecuencia de las recomendaciones contenidas en este escrito, deberá tener permanentemente en consideración a la Teoría General de los Sistemas.
* Dada la formación y desarrollo profesional eminentemente ingenieril del autor, se espera que expertos en Relaciones Internacionales y/o Derecho Internacional propongan una versión superadora de los modestos aportes contenidos en esta presentación.
(*) Director del Doctorado en Ingeniería Informática de la Universidad Nacional de San Luis – Investigador Categoría I – Programa de Incentivo a la Investigación en Universidades Nacionales – Consultor en Ciber Defensa.
Citas y referencias:
[1] http://itlaw.wikia.com/wiki/Attribution_problem [2] http://www.telegraph.co.uk/technology/internet-security/11422997/How-to-protect-your-anonymity-online.html [3] http://www.defense.gov/home/features/2015/0415_cyber-strategy/Final_2015_DoD_CYBER_STRATEGY_for_web.pdf [4] http://journal.georgetown.edu/a-theory-of-cyber-deterrence-christopher-haley/ [5] Una visión acerca de este tema: http://www.cfr.org/global/global-conflict-tracker/p32137#!/?marker=2 [6] https://www.iseclab.org/papers/disclosure.pdf [7]http://sedici.unlp.edu.ar/bitstream/handle/10915/27537/Documento_completo.pdf?sequence=1 [8] http://desd.espe.edu.ec/wp-content/uploads/2015/06/Seminario-Defensa-Cibern%C3%A9tica-Dr-Uzal.pdf [9]https://www.researchgate.net/publication/266652173_Trust_in_Cyberspace_New_Information_Security_Paradigm [10] http://www.wired.com/2015/04/anonabox-recall/ [11] https://www.torproject.org/ [12] http://www.onion-router.net/ [13] https://www.youtube.com/watch?v=CmNWmdUXlLg [14] http://irissproject.eu/wp-content/uploads/2013/12/IRISS_European-responses-to-the-Snowden-revelations_18-Dec-2013_Final.pdf [15] http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data [16] http://www.cnet.com/news/nsa-has-backdoor-access-to-internet-companies-databases/ [17] http://www.theverge.com/2013/6/6/4403868/nsa-fbi-mine-data-apple-google-facebook-microsoft-others-prism [18] http://www.ecommercetimes.com/story/81530.html [19] http://www.ecommercetimes.com/story/81530.html
[20] http://www.washingtonpost.com/wp-dyn/content/article/2008/12/16/AR2008121602724.html
[21] Uno de los seguidores más notorios de William Weed Kaufmann lo es Richard A. Clarke, quien sirvió por treinta años en el gobierno de EEUU. Asistió a tres Presidentes de EEUU consecutivos. Sus últimos cargos en el gobierno lo fueron “Advisor to the President for Cyberspace” y “National Coordinator for Security and Counter-terrorism”. Clarke enseño durante cinco años en la Harvard's Kennedy School of Government y escribió siete libros; entre ellos el ya clásico Cyber War, en este caso asistido por Robert K. Knake. [22] http://www.un.org/es/documents/charter/chapter7.shtml#article51
[23] Se omiten referencias por lo sensitivo del tema.
[24] CCDCOE (NATO) Peacetime Regime for State Activities in Cyberspace
International Law, International Relations and Diplomacy https://ccdcoe.org/publications/books/Peacetime-Regime.pdf
[25] CCDCOE - "Tallinn Manual on the International Law Applicable to Cyber Warfare". http://www.knowledgecommons.in/wp-content/uploads/2014/03/Tallinn-Manual-on-the-International-Law-Applicable-to-Cyber-Warfare-Draft-.pdf [26] http://digitalcommons.law.yale.edu/fss_papers/3852/ [27]http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1422&context=bjil [28] https://journals.law.stanford.edu/stanford-law-policy-review [29] http://argentina.afceachapters.org/wp-content/uploads/2013/07/presentacionDrUzal.pdf [30] http://sedici.unlp.edu.ar/handle/10915/41932 [31] http://desd.espe.edu.ec/documentacion [32] http://desd.espe.edu.ec/wp-content/uploads/2015/06/Taller-de-Defensa-Cibernética.pdf [33] http://ciencia.espe.edu.ec/wp-content/uploads/2015/05/CICTE-SEGURIDAD-Y-DEFENSA.pdf [34] http://www.sbseg2014.dcc.ufmg.br/programacao/ [35] http://content.netmundial.br/contribution/internet-roadmap-topics-freedom-and-security-in-cyberspace-a-cyber-defense-perspective/61 [36] http://resources.infosecinstitute.com/attribution-problem-in-cyber-attacks/ [37] http://www.un.org/es/documents/charter/chapter5.shtml [38] https://blogs.law.harvard.edu/cyberwar43z/2012/12/21/estonia-ddos-attackrussian-nationalism/ [39]http://www.europeaninstitute.org/index.php/component/content/article?id=67:cyber-war-i-estonia-attacked-from-russia [40] http://www.thei3p.org/docs/publications/350.pdf [41] http://www.defense.gov/transcripts/transcript.aspx?transcriptid=5136 [42] https://getyocrayon.wordpress.com/tag/neutralidad/ [43] https://www.eff.org/deeplinks/2011/12/week-censorship [44] http://www.state.gov/j/drl/rls/hrrpt/humanrightsreport/#wrapper
[46] http://cs.stanford.edu/people/eroberts/cs201/projects/2010-11/FreedomOfInformationChina/the-great-firewall-of-china-background/index.html [47] http://www.howtogeek.com/162092/htg-explains-how-the-great-firewall-of-china-works/ [48] http://rendezvous.blogs.nytimes.com/2013/06/28/u-s-prism-meet-chinas-golden-shield/?_r=0 [49] http://www.forbes.com/fdc/welcome_mjx.shtml [50] http://www.perfil.com/politica/Milani-ya-tiene-un-Centro-de-Ciberdefensa-para-sus-espias-20150201-0030.html ver aporte del autor ante el requerimiento del periodista. [51] http://www.theguardian.com/world/2013/jun/22/nsa-leaks-britain-us-surveillance [52] http://www.nzherald.co.nz/nz/news/article.cfm?c_id=1&objectid=11411759 [53] http://www.forbes.com/sites/katevinton/2015/06/30/nsa-will-continue-mass-surveillance-program-for-180-days-with-court-approval/ [54] http://www.javeriana.edu.co/biblos/tesis/derecho/dere2/Tesis48.pdf
[55] U.S. Code › Title 22 › Chapter 38 › § 2656f https://www.law.cornell.edu/uscode/text/22/2656f [56] http://juridicainternational.eu/authors/14175/ [57] https://books.google.com.ar/books?isbn=9682314984 [58] http://resources.infosecinstitute.com/invoking-article-51-of-un-charter-response-cyber-attacks-ii/ [59] https://www.usnwc.edu/getattachment/514e1c26-8117-4ce6-9bca-70afbe295d3d/International-Law-and-Cyber-Threats-from-Non-State.aspx
Prof. Dr. Roberto Uzal (*)
Introducción
La Ciber Atribución [1], la Ciber Anonimidad [2][3] y la Ciber Disuasión [4] constituyen las tres áreas esenciales de investigación y desarrollo, de adquisición y ejercicio de capacidades instrumentales y también de formación de Recursos Humanos, con un enfoque de mejora continua, en el ámbito de la Ciber Defensa.
Un estado nación, con una reconocida capacidad de Ciber Atribución será un estado tenido en cuenta en el proceso de toma de decisiones en la región y en el mundo. Casualmente, el foco de este trabajo está puesto en el denominado “Problema de la Ciber Atribución”.
Por otro lado, referido ahora a la Ciber Anonimidad, se la puede asociar con la privacidad absoluta y con la reserva de la identidad de individuos y de organizaciones durante la interacción con la Red de Redes y otras redes que, directa o indirectamente, están vinculadas a Internet. La Ciber Anonimidad no necesariamente está orientada hacia fines o actividades maliciosos. Numerosas personas y organizaciones intentan diversos niveles de anonimidad como enfoque para incrementar la seguridad. Específicamente, en el ámbito de la Ciber Defensa, la Ciber Anonimidad ocupa un lugar de muy alta sensibilidad, tanto en operaciones defensivas como en las ofensivas.
Existen productos desarrollados con la intención declarada de incrementar la Anonimidad de los usuarios de Internet. Se citan como ejemplos a Anonabox [10] y Tor [11][12][13]. Este último es conocido por el acrónimo de “The Onion Router” (El Router Cebolla) aunque últimamente se lo reconoce como “Proyecto Tor”,
Tor, como herramienta para evitar la identificación routers, comenzó a ser denominado con ese nombre a partir de 2004 aunque los primeros antecedentes de su desarrollo se remontan a 1995, cuando la “Office of Naval Research” de la Armada de Estados Unidos se fija el objetivo de a) proteger las redes militares de intrusiones no autorizadas, b) realizar una suerte de análisis de flujos de red y, c) lograr comunicaciones privadas protegiendo la anonimidad de los usuarios de la red.
De ninguna manera estas herramientas de incremento de la capacidad de Anonimidad constituyen impedimentos para lograr resultados de alta confiabilidad cuando se trabaja en Ciber Atribución; sólo incrementan la complejidad de la tarea. Adicionalmente, incorporar a las redes del área Defensa de distintos países productos de “Anonimidad” adquiridos en el exterior (países distintos a los usuarios), constituiría un acto de ingenuidad extrema [14][15][16][17][18][19].
Pasando desde la Ciber Atribución a la Ciber Disuasión, se destaca que la Disuasión en general se manifiesta en casi todas las formas de relaciones humanas. Ha existido desde casi siempre en los vínculos entre grupos y por supuesto en la interacción entre estados naciones. A pesar de su importante incidencia en las relaciones internacionales, la disuasión no atrajo demasiado la atención de los estudiosos hasta después de finalizada a Segunda Guerra Mundial. Su auge como objeto de estudio y como herramienta política fue asociado, con frecuencia, a la disponibilidad, por parte de ciertos estados naciones, de armas de destrucción masiva. Cronológicamente se la ha vinculado fuertemente al contexto político mundial correspondiente al desarrollo de la Guerra Fría.
En el ámbito de la Disuasión están ampliamente reconocidos los aportes de William Weed Kaufmann [20][21], específicamente a la entonces denominada “Estrategia de la Disuasión Nuclear”.
Debidamente adaptadas al entorno eminentemente asimétrico de la Ciber Defensa, algunas de las ideas fundamentales del Dr. William Kaufmann constituyen una importante contribución, como referencia, para quienes incursionan en el ámbito de la Ciber Disuasión. El desafío, en este caso, es el de compatibilizar / extrapolar / interpolar los aportes del Profesor Kaufmann a un contexto eminentemente asimétrico como lo es el de la Ciber Defensa.
La Ciber Disuasión se manifiesta mediante la percepción, por parte del oponente real o potencial, de a) la propia capacidad para identificar el origen de Ciber Ataques y b) la propia capacidad para ejercer en el Ciber Espacio el derecho que deriva del Artículo 51 de la Carta de las Naciones Unidas [22].
Ciber Disuación debería ser motivo de profundo análisis por parte de las autoridades nacionales. A juicio del autor, hace a los intereses de Argentina el que se consolide un consenso global que la reconozca como un país
sólidamente posicionado como no-Ciber Agresor pero, al mismo tiempo, con el equipamiento y los Recursos Humanos necesarios que le posibiliten resolver la casi totalidad de las variantes del Problema de la Ciber Atribución.
Lo señalado [23] debe ser acompañado con una amplia y robusta capacidad forense para efectuar presentaciones, sólidamente sustentadas, ante organismos internacionales.
La Ciber Disuasión requiere que, globalmente, se reconozca que Argentina cuenta con los recursos necesarios para ejercer plenamente, si fuere necesario, el derecho contemplado en el ya citado Artículo 51 de la Carta de las Naciones Unidas. Logrado el mencionado reconocimiento global, se minimizará la probabilidad de ser objeto de Ciber Agresiones provenientes de otros estados naciones y/o agentes estatales foráneos.
Viene al caso señalar que, frecuentemente, especialistas en Ciber Defensa pertenecientes a grandes potencias, le quitan importancia o aún niegan la existencia de una suerte de Ciber Disuasión; esto es entendible como componente comunicacional de una Ciber Estrategia. Eso sí, negar la capacidad potencial de Ciber Disuación a países medianos o pequeños es casi equivalente a negar el carácter asimétrico de la Ciber Defensa, es decir, es una postura difícilmente sustentable.
Aspectos específicos de la Ciber Atribución
Retomando el foco de esta contribución, es decir los aspectos vinculados con la Ciber Atribución, se destaca que la asociación de Ciber Agresiones a un responsable específico constituye un asunto no trivial. La complejidad de la solución del Problema de la Atribución ha sido utilizada, por determinados gobiernos, como sustento de importantes campañas comunicacionales destinadas a difundir el mito de la imposibilidad de solucionar el mencionado problema.
Curiosamente, la expansión del mito de la no-solución del Problema de la Atribución, ha recibido “ayudas” muy importantes y difícilmente explicables las que ameritan, por su carácter casi insólito, una seria investigación ad hoc [24].
En forma paradojal, la jurisprudencia y las opiniones de organismos internacionales que se han venido acumulando, establecen que un Ciber Ataque debe poder ser atribuido, con una muy alta probabilidad asociada, antes de que un contraataque del estado nación víctima pueda quedar claramente incluido en los términos del Artículo 51 de la Carta de las Naciones Unidas. Adicionalmente, un robusto y homologado enfoque forense debe respaldar la atribución (origen) de un Ciber Ataque [25][26][27][28]. La atribución de un Ciber Ataque a un estado nación o a un agente estatal es una pre condición sine qua non e internacionalmente requerida, para poder alegar legítima defensa
La Atribución en el Ciber Espacio es compleja; las identidades y localizaciones físicas de los Ciber Agresores pueden ser fácilmente disfrazadas o disimuladas. Sin embargo está claro que Argentina posee el potencial para para calificar entre los estados naciones líderes en este espacio de problema [29][30][31][32][33]34[35].
Como aspecto complementario de esta exposición, viene al caso mencionar que, un entonces recientemente graduado (año 2012), en el área “Law and Politics of International Security”, de la Vrije Universiteit (Universidad Libre) de Amsterdam, llamado Dimitar Kostadinov, elaboró, en el año 2013, un muy relevante y acertado artículo sobre Ciber Atribución. Dicho artículo fue publicado en el tópico “hacking” de la página web del “Infosec Institute”, una institución orientada a la formación de Recursos Humanos de nivel técnico localizada en Elmwood Park, Illinois, EEUU [36]. El artículo de Kostadinov (de origen búlgaro) sorprendió entonces (2013) por sus contenidos y mucho más sorprende ahora, al cobrar mayor relevancia sus aseveraciones por corresponderse con la experiencia académica y de campo que se ha adquirido, en este ámbito de estudio, en los dos años transcurridos desde su publicación.
El aporte de Kostadinov es una referencia importante de esta presentación; la diferencia esencial entre ambos escritos consiste en que este trabajo utiliza un enfoque sistémico al tratar las interrelaciones entre Ciber Atribución, Ciber Anonimidad y Ciber Disuasión, aunque con un fuerte énfasis en Ciber Atribución. Adicionalmente, otros aspectos esenciales en los que difieren el trabajo de Kostadinov y el presente son: La finalidad, el alcance y las conclusiones.
Retomando el hilo conductor prioritario de este artículo, se resalta que la Ciber Atribución requiere precisión y una consolidada seriedad profesional; si un atacante es erróneamente atribuido, existe un gran riesgo de dañar víctimas inocentes al tomar como blanco, en el ejercicio de la defensa propia, lugares o instalaciones equivocados. Una respuesta dirigida a un blanco equivocado afectará sistemas computacionales o instalaciones “inocentes”, especialmente si el Ciber Ataque original ha sido ruteado a partir de alguno de los mencionados sistemas “inocentes” (falso origen del ataque).
Eventualmente podría darse que civiles fuera del control estatal lancen un Ciber Ataque. Esto podría o no tener consecuencias legales para ellos. De todas formas no procedería un ataque militar a gran escala como respuesta.
Se destaca que es también importante determinar, en la Ciber Atribución, cuándo un atacante es o no un actor estatal. Con el propósito de tener un marco adecuado, deberían examinarse primero a los actores no estatales
Los actores no estatales, tales como individuos, grupos organizados y organizaciones terroristas necesitan estar relacionados / vinculados a un
estado de manera de que las Naciones Unidas (Consejo de Seguridad) tengan incumbencias en Ciber Conflictos originados por ellos (Artículo 24 de la Carta de las Naciones Unidas) [37]. Caso contrario, las acciones de actores no estatales quedan comprendidas en la legislación doméstica de los países en los que actúen.
La aplicación de “la letra” de los cuerpos legales, en general, dificulta el vincular a actores no estatales a alguna organización o estructura estatal. Es por esto que, mayoritariamente, individuos o pequeños grupos terminan frecuentemente siendo señalados como responsables de Ciber Ataques. Un buen ejemplo de ello es que Rusia sostiene (con bastante apoyo internacional) que fueron “patriotas rusos” quienes, individualmente, atacaron al gobierno de Estonia, a su sistema financiero, etc. Se suele argumentar que, en 2007, “indignados” por el traslado del “soldado de bronce”, salieron por propia cuenta, a lavar el honor mancillado de “La Madre Rusia” [38][39]. Dado el incremento de las posibilidades tecnológicas para gestionar la Anonimidad, muchos estados prefieren poner el énfasis en medidas defensivas de carácter pasivo. Se estima que desechar a la Ciber Disuasión como componente esencial de la Ciber Defensa constituye un error conceptual profundo.
Algunas de las medidas “clásicas” para prevenir Ciber Ataques lo son los sistemas de detección de intrusos, firewalls, encriptado, etc. Estos enfoques no incluyen elementos que permitan, efectivamente, identificar y localizar al Ciber Agresor y/o el origen de la acción maliciosa. La claudicación respecto de trabajar para identificar al Ciber Agresor crea un círculo vicioso en el cual la Anonimidad impide la atribución del Ciber Ataque; esta carencia de capacidad de Ciber Atribución trae como consecuencia que los Ciber Agresores evadan la justicia, a la acción de respuesta y/o a las sanciones de organismos internacionales. Esto, a su vez, provoca la caída del nivel de la esencial “Ciber Disuasión”; sin el temor a ser identificados y penalizados, individuos, organizaciones y/o estados naciones continuarán, posiblemente en forma incremental, sus actividades maliciosas en el Ciberespacio [40]
Ciber Atribución y Ciber Disuasión
Leon Panetta aportó positivamente en el ámbito que se está describiendo:
“Los potenciales agresores deberían estar atentos a que los EEUU tienen la capacidad de identificarlos y de localizarlos cuando realicen acciones que impliquen algún tipo de daño, casualmente, a los EEUU” [41].
La expresión de Panetta, como un buen ejemplo de uso correcto de la Ciber Disuasión, está basada en que:
* un arma cibernética puede producir efectos devastadores
* es posible y necesario detectar la autoría del desarrollo y de la utilización de armas cibernéticas.
Lo expresado por Panetta aplica perfectamente en Ciber Agresiones entre estados naciones; es bastante más difícil determinar / atribuir agresiones a organizaciones Ciber Terroristas o grupos de Activismo Hacker; la Ciber Disuasión y el temor a respuestas tienen en ellos efectos mucho menores.
En la Ciber Disuasión juega un rol negativo el mito / falacia de que un Ciber Ataque sofisticado eludirá cualquier tecnología o método de Ciber Atribución, sin importar cuán avanzado este método sea. La Ciber Atribución, en Ciber Defensa, es viable y también necesaria. Un pequeño grupo de Ciber Soldados, de muy alto nivel profesional, podrá resolver problemas de Ciber Atribución sumamente complejos. Se insiste: Ciber Defensa es un contexto eminentemente asimétrico.
Facilitando la Ciber Atribución en un territorio restringiendo la Ciber Anonimidad
Al respecto conviene mencionar que en China, en Egipto, en Siria, en Corea del Norte, en Birmania y en otros estados [42][43][44][45], existe un detallado control gubernamental y censura en el Ciberespacio en general y en Internet en particular. Los ciudadanos de algunos de esos países, que deseen tener acceso a Internet en forma privada, deben concurrir a una estación de policía, registrarse y adquirir una licencia de usuario de Internet.
La mayoría de los usuarios de Internet en China acceden desde cibercafés que obligatoriamente deben registrar en video toda la actividad allí realizada.
Los correspondientes registros (videos) deben ser almacenados por un tiempo bastante prolongado.
La Policía de China administra una enorme base de datos en la que está registrada toda la información correspondiente a usuarios de Internet. Existen abundantes antecedentes de juicios y penas relacionadas con delitos cometidos en el Ciberespacio, por ejemplo, subversión.
Como resultado de estas medidas, donde toda China se comporta como una gran Intranet perfectamente monitoreada, el Problema de la Atribución, dentro de ese país, es muy sencillo de ser resuelto. Asimismo, los flujos de red, tanto entrantes como salientes (del país), están controlados por un esquema que funciona como un gran firewall (El Escudo Dorado); una verdadera y nueva Gran Muralla [46][47][48][49].
Existen otros países que han incluido en su estrategia comunicacional que el Problema de la Atribución es inaplicable en democracia. Esto no es correcto, los flujos de red correspondientes a Ciber Agresiones pueden ser detectados mediante el estudio del comportamiento estadístico de los routers [50], sin violar derechos humanos básicos tales como la confidencialidad, la intimidad, etc.
Casualmente, dichos países han realizado inversiones gigantescas que les posibilitan realizar operaciones de espionaje / vigilancia masivos [51][52][53], casi en tiempo real, las que, o son equivalentes o superan, en sus resultados, a las correspondientes al Escudo Dorado de China. En otras palabras, buscan lograr, a nivel global, el control que China implantó en su territorio.
La importancia de la Ciber Atribución en el caso de estados naciones
Al tratar el tema de la Ciber Atribución, en el caso de los estados naciones y de los actores estatales, conviene citar a la Carta de las Naciones Unidas la que, en su Artículo 24 y otros, solo reconoce a los estados naciones, en determinadas situaciones, la legitimidad del uso de la fuerza. Las Ciber Agresiones quedan claramente comprendidas en la regulación mencionada.
Los actores estatales están comprendidos en esta categoría porque desarrollan sus actividades en nombre / representación de los estados. Actores estatales son, por ejemplo, las unidades militares de Ciber Defensa / Ciber Seguridad o individuos que trabajan para un gobierno de manera contractual.
Si el atacante es un estado nación, las contramedidas deben tener en cuenta las normas jus ad bellum y jus in bello, es decir las legítimas razones que un estado tiene para entrar en guerra y las prácticas aceptables mientras se está en guerra. Estas están reguladas por la Carta de las Naciones Unidas y por el Derecho Internacional.
Otro aspecto relevante de la Ciber Atribución es el de la “responsabilidad imputada”. Cuando un estado nación desarrolla actividades en el Ciberespacio, la soberanía de otros estados necesita ser considerada. Esto es así debido a la naturaleza interconectada e interoperable del Ciberespacio. Operaciones que tengan como blanco la infraestructura TI de un país pueden tener efecto en otros países.
Citando el principio de soberanía y la doctrina de integridad territorial [54], los estados pueden y deben ejercitar el control integral de su territorio. En principio puede establecerse que los estados son responsables si desde su territorio se lanzan Ciber Ataques a otros estados naciones.
Enfoques alternativos de Ciber Atribución
Existe una tendencia creciente, por parte de los estados, de búsqueda de otros métodos de Atribución. Una alternativa que merece ser considerada es el concepto ya anticipado de “responsabilidad imputada”. En este contexto, como se citó, un estado es responsable por cualquier Ciber Ataque que se origine desde su territorio, aún en el caso de que dichos Ciber Ataques sean lanzados por actores no estatales tales como organizaciones terroristas. De acuerdo con la evidente visión mayoritaria de la comunidad internacional, un estado no cumple con sus obligaciones cuando sus mecanismos legislativos y de
procedimientos (protocolos), por una razón u otra, no conducen a los responsables de la Ciber Agresión a juicio y a las correspondientes sanciones.
Mención al caso de “estado santuario”
Merece especial tratamiento, en este trabajo, el caso de “estado santuario” [54]. Los conceptos de “santuario terrorista” y “santuario” están asociados a los siguientes escenarios:
1. Una parte o área en el territorio de un país es utilizada por un terrorista u organización terrorista para:
a. llevar a cabo actividades terroristas, incluyendo entrenamiento, adquisición de recursos, financiamiento y reclutamiento o
b. como un territorio tránsito, y
2. El gobierno de dicha área territorial expresamente consciente, conoce, está en conocimiento, permite, tolera o se desentiende de dicho uso de su territorio.
Los gobiernos de estados naciones, que sean catalogados como “estados santuarios”, deben responder por las actividades encuadrables en Ciber Terrorismo llevadas a cabo desde sus correspondientes territorios.
Sin embargo, se debe destacar que la justificación de la defensa y/o contraataque o respuesta a un Ciber Ataque proveniente de un “estado santuario”, no es un tema del todo claro ni globalmente acordado; muchos estudiosos son partidarios de un enfoque más directo y concreto, especialmente cuando esté en juego la protección de la Infraestructura Crítica Nacional.
¿Límites a las responsabilidades de los estados naciones?
En principio se acepta que los estados no pueden ser señalados como responsables de actos ilegales cometidos por individuos sin que se haya probado que dichos individuos ejercen funciones públicas, es decir, actividades claramente relacionadas con el funcionamiento del gobierno estatal.
Esta aseveración, que deslinda responsabilidades del estado, luego del 9/11, ha sufrido cambios graduales. La tendencia es a establecer excepciones en el deslindar responsabilidades cuando haya evidente negligencia estatal o legislación evidentemente inadecuada según lo expresado por René Värk, opinión que ha alcanzado un amplio consenso internacional [56].
Adicionalmente, “efectivo control” es un estándar requerido a los estados según jurisprudencia de la Corte Internacional de Justicia; caso Nicaragua, 1985 [57].
Se entiende entonces que una acción de un actor no estatal podría ser atribuida a un estado si dicho estado está, directa o indirectamente involucrado en operaciones conducidas por actores no estatales [58].
Acotación importante: Si el daño a los Sistemas de Información ocasionados por un Ciber Ataque, trae aparejada la muerte o heridas en personas o la destrucción de objetos tangibles, al estado víctima se le presenta bastante claramente la oportunidad de regular su defensa de acuerdo con lo establecido por el Artículo 51 de la Carta de las Naciones Unidas [59].
Síntesis y conclusiones
Esta contribución amerita, en su parte final, una suerte de síntesis, conclusiones y propuestas del autor, que se exponen a continuación:
* Se reconoce que este documento admite numerosos y sustantivos aportes de los lectores para lograr una versión perfeccionada, consensuada y de mayor relevancia; sin embargo se remarca que, sin dudas, Ciber Atribución, Ciber Anonimidad y Ciber Disuasión constituyen conceptos, áreas de conocimiento y ámbitos de adquisición de capacidades instrumentales de muy alta prioridad y perentoriedad de la Gestión Gubernamental en general; no sólo del área Defensa.
* En el contexto apuntado por el párrafo anterior, Ciber Atribución se destaca por su innegable relevancia.
* Argentina no tiene limitaciones, en lo que hace a know how, para encarar un vigoroso programa que la posicione en un lugar de liderazgo en la región, en cuanto a conocimiento y a capacidades instrumentales, en lo que hace a Ciber Atribución
* Los conocimientos y capacidades instrumentales que Argentina puede y debe adquirir en Ciber Atribución deberán ser homologadas mediante el concurso de organismos internacionales. Dicha homologación es la que le dará sustento a potenciales presentaciones que Argentina pueda efectuar, por ejemplo ante las Naciones Unidas, en el caso de ser víctima de un Ciber Ataque y/o para justificar el ejercicio del derecho reconocido en el Artículo 51 de la Carta de las Naciones Unidas.
* Lo expresado en los dos puntos anteriores es viable y, asimismo, es casi mandatorio. De lograrse lo señalado en los dos párrafos precedentes, se producirían efectos sinérgicos positivos en la relación de Argentina con los otros estados naciones de la región.
* Los recursos a ser destinados para llevar adelante los emprendimientos asociados a la adquisición de capacidades relevantes en Ciber Atribución implican montos razonables. La relación “costo / beneficio” de un proyecto integral en el ámbito citado resulta sumamente favorable a los intereses de Argentina, no restringidos, como se anticipó, al área Defensa.
* Este trabajo prioriza la Ciber Atribución; Sin embargo, Ciber Atribución, Ciber Anonimidad y Ciber Disuasión no constituyen conjuntos disjuntos.
Las interacciones entre dichos tres ámbitos son extremadamente importantes. Todo trabajo que se emprenda, como consecuencia de las recomendaciones contenidas en este escrito, deberá tener permanentemente en consideración a la Teoría General de los Sistemas.
* Dada la formación y desarrollo profesional eminentemente ingenieril del autor, se espera que expertos en Relaciones Internacionales y/o Derecho Internacional propongan una versión superadora de los modestos aportes contenidos en esta presentación.
(*) Director del Doctorado en Ingeniería Informática de la Universidad Nacional de San Luis – Investigador Categoría I – Programa de Incentivo a la Investigación en Universidades Nacionales – Consultor en Ciber Defensa.
Citas y referencias:
[1] http://itlaw.wikia.com/wiki/Attribution_problem [2] http://www.telegraph.co.uk/technology/internet-security/11422997/How-to-protect-your-anonymity-online.html [3] http://www.defense.gov/home/features/2015/0415_cyber-strategy/Final_2015_DoD_CYBER_STRATEGY_for_web.pdf [4] http://journal.georgetown.edu/a-theory-of-cyber-deterrence-christopher-haley/ [5] Una visión acerca de este tema: http://www.cfr.org/global/global-conflict-tracker/p32137#!/?marker=2 [6] https://www.iseclab.org/papers/disclosure.pdf [7]http://sedici.unlp.edu.ar/bitstream/handle/10915/27537/Documento_completo.pdf?sequence=1 [8] http://desd.espe.edu.ec/wp-content/uploads/2015/06/Seminario-Defensa-Cibern%C3%A9tica-Dr-Uzal.pdf [9]https://www.researchgate.net/publication/266652173_Trust_in_Cyberspace_New_Information_Security_Paradigm [10] http://www.wired.com/2015/04/anonabox-recall/ [11] https://www.torproject.org/ [12] http://www.onion-router.net/ [13] https://www.youtube.com/watch?v=CmNWmdUXlLg [14] http://irissproject.eu/wp-content/uploads/2013/12/IRISS_European-responses-to-the-Snowden-revelations_18-Dec-2013_Final.pdf [15] http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data [16] http://www.cnet.com/news/nsa-has-backdoor-access-to-internet-companies-databases/ [17] http://www.theverge.com/2013/6/6/4403868/nsa-fbi-mine-data-apple-google-facebook-microsoft-others-prism [18] http://www.ecommercetimes.com/story/81530.html [19] http://www.ecommercetimes.com/story/81530.html
[20] http://www.washingtonpost.com/wp-dyn/content/article/2008/12/16/AR2008121602724.html
[21] Uno de los seguidores más notorios de William Weed Kaufmann lo es Richard A. Clarke, quien sirvió por treinta años en el gobierno de EEUU. Asistió a tres Presidentes de EEUU consecutivos. Sus últimos cargos en el gobierno lo fueron “Advisor to the President for Cyberspace” y “National Coordinator for Security and Counter-terrorism”. Clarke enseño durante cinco años en la Harvard's Kennedy School of Government y escribió siete libros; entre ellos el ya clásico Cyber War, en este caso asistido por Robert K. Knake. [22] http://www.un.org/es/documents/charter/chapter7.shtml#article51
[23] Se omiten referencias por lo sensitivo del tema.
[24] CCDCOE (NATO) Peacetime Regime for State Activities in Cyberspace
International Law, International Relations and Diplomacy https://ccdcoe.org/publications/books/Peacetime-Regime.pdf
[25] CCDCOE - "Tallinn Manual on the International Law Applicable to Cyber Warfare". http://www.knowledgecommons.in/wp-content/uploads/2014/03/Tallinn-Manual-on-the-International-Law-Applicable-to-Cyber-Warfare-Draft-.pdf [26] http://digitalcommons.law.yale.edu/fss_papers/3852/ [27]http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1422&context=bjil [28] https://journals.law.stanford.edu/stanford-law-policy-review [29] http://argentina.afceachapters.org/wp-content/uploads/2013/07/presentacionDrUzal.pdf [30] http://sedici.unlp.edu.ar/handle/10915/41932 [31] http://desd.espe.edu.ec/documentacion [32] http://desd.espe.edu.ec/wp-content/uploads/2015/06/Taller-de-Defensa-Cibernética.pdf [33] http://ciencia.espe.edu.ec/wp-content/uploads/2015/05/CICTE-SEGURIDAD-Y-DEFENSA.pdf [34] http://www.sbseg2014.dcc.ufmg.br/programacao/ [35] http://content.netmundial.br/contribution/internet-roadmap-topics-freedom-and-security-in-cyberspace-a-cyber-defense-perspective/61 [36] http://resources.infosecinstitute.com/attribution-problem-in-cyber-attacks/ [37] http://www.un.org/es/documents/charter/chapter5.shtml [38] https://blogs.law.harvard.edu/cyberwar43z/2012/12/21/estonia-ddos-attackrussian-nationalism/ [39]http://www.europeaninstitute.org/index.php/component/content/article?id=67:cyber-war-i-estonia-attacked-from-russia [40] http://www.thei3p.org/docs/publications/350.pdf [41] http://www.defense.gov/transcripts/transcript.aspx?transcriptid=5136 [42] https://getyocrayon.wordpress.com/tag/neutralidad/ [43] https://www.eff.org/deeplinks/2011/12/week-censorship [44] http://www.state.gov/j/drl/rls/hrrpt/humanrightsreport/#wrapper
[46] http://cs.stanford.edu/people/eroberts/cs201/projects/2010-11/FreedomOfInformationChina/the-great-firewall-of-china-background/index.html [47] http://www.howtogeek.com/162092/htg-explains-how-the-great-firewall-of-china-works/ [48] http://rendezvous.blogs.nytimes.com/2013/06/28/u-s-prism-meet-chinas-golden-shield/?_r=0 [49] http://www.forbes.com/fdc/welcome_mjx.shtml [50] http://www.perfil.com/politica/Milani-ya-tiene-un-Centro-de-Ciberdefensa-para-sus-espias-20150201-0030.html ver aporte del autor ante el requerimiento del periodista. [51] http://www.theguardian.com/world/2013/jun/22/nsa-leaks-britain-us-surveillance [52] http://www.nzherald.co.nz/nz/news/article.cfm?c_id=1&objectid=11411759 [53] http://www.forbes.com/sites/katevinton/2015/06/30/nsa-will-continue-mass-surveillance-program-for-180-days-with-court-approval/ [54] http://www.javeriana.edu.co/biblos/tesis/derecho/dere2/Tesis48.pdf
[55] U.S. Code › Title 22 › Chapter 38 › § 2656f https://www.law.cornell.edu/uscode/text/22/2656f [56] http://juridicainternational.eu/authors/14175/ [57] https://books.google.com.ar/books?isbn=9682314984 [58] http://resources.infosecinstitute.com/invoking-article-51-of-un-charter-response-cyber-attacks-ii/ [59] https://www.usnwc.edu/getattachment/514e1c26-8117-4ce6-9bca-70afbe295d3d/International-Law-and-Cyber-Threats-from-Non-State.aspx
No hay comentarios:
Publicar un comentario