Estrategia - Relaciones Internacionales - Historia y Cultura de la Guerra - Hardware militar. Nuestro lema: "Conocer para obrar"
Nuestra finalidad es promover el conocimiento y el debate de temas vinculados con el arte y la ciencia militar. La elección de los artículos busca reflejar todas las opiniones. Al margen de su atribución ideológica. A los efectos de promover el pensamiento crítico de los lectores.

viernes, 16 de octubre de 2015

Reglas de Empeñamiento para la ciberguerra.






Ciber Ius ad bellum: Aportes para definir las reglas de empeñamiento militar de Argentina y de otros países de la Región en los casos de Ciber Conflictos entre estados naciones.





Prof. Dr. Roberto Uzal (*)

Introducción
Las reglas de empeñamiento [1] [2] [3] (“rules of engagement” – ROE -)  constituyen, en el ámbito militar, directivas cuyo contenido y significado describen las circunstancias en las cuales las Fuerzas Armadas iniciarán un combate continuado con fuerzas oponentes. Formalmente las reglas de empeñamiento se refieren a las órdenes emitidas por una autoridad militar competente que describe cuándo, dónde, cómo y enfrentando a quién debe ser utilizado el poder militar. Dichas reglas establecen qué acciones militares se pueden llevar adelante sustentadas en su propia autoridad y cuáles son las que requieren la intervención de niveles superiores de comando. Las reglas de empeñamiento contribuyen a definir qué procedimientos y qué estándares son esenciales en el contexto de una conducción eficaz y civilizada de los conflictos bélicos.

El presente trabajo intenta inducir el inicio de un intercambio de opiniones entre autoridades políticas  y comandantes militares que lleve a las Fuerzas Armadas de Argentina y de otros países de la Región a contar con un conjunto de reglas de empeñamiento que impliquen un sustantivo agregado de valor, específicamente, en el ámbito de la Defensa Cibernética.
Se menciona “Fuerzas Armadas de Argentina y de otros países de la Región” pues, desarrollar y poner en vigencia Ciber reglas de empeñamiento a nivel Región evidencia numerosas ventajas competitivas. Sólo como un ejemplo de dicha sinergia positiva se cita la posibilidad de desarrollo conjunto de capacidades que llevan al plano de las realizaciones concretas a las Ciber reglas de empeñamiento más sofisticadas, tanto desde el punto de vista tecnológico como en el de su implementación política.
El proceso de intercambio de opiniones propuesto, necesariamente, deberá tener un enfoque de perfeccionamiento continuo. Bastan como justificación de ello los cambios tecnológicos permanentes en el “quinto dominio”  de los conflictos militares entre estados naciones. Dichos cambios en el “quinto dominio” son de una velocidad tal que, ni siquiera admite ser comparada con la velocidad con la que evolucionan las características de los cuatro dominios anteriores.



Las reglas de empeñamiento en el “quinto dominio”, que surjan como consecuencia de la aplicación de un enfoque metodológico robusto y claro, no deberán estar restringidas, necesariamente, por las actuales capacidades; todo lo contrario, la aplicación del citado enfoque metodológico deberá también ser orientadora respecto del esfuerzo de investigación y desarrollo que lleve a la adquisición de nuevas capacidades que resulten necesarias.
El presente trabajo, en su primera parte, pone énfasis en una cierta “zona gris” que se verifica en los Ciber Conflictos militares entre estados naciones.  Al respecto: Cuando los efectos de un Ciber Ataque militar, reconocido como tal, sean equivalentes a los causados por “Ataques Armados” o “Desembarcos hostiles de unidades militares”, dicho Ciber Ataque militar deberá, en principio, tener un tratamiento que guarde analogía y proporcionalidad con las citadas equivalencias. Sin embargo, otras Ciber Agresiones, por ejemplo, la toma de control de un satélite de comunicaciones por parte del estado agresor o acciones de Ciber Reconocimiento (detección de vulnerabilidades), quedan comprendidos en la mencionada “zona gris”. Como se anticipó, este artículo intenta acotar este espacio de problema suministrando elementos de juicio en el campo de las denominadas Ciber Contramedidas. Casualmente, existe una tendencia a denominar “Ciber Contramedidas” a las acciones militares llevadas a cabo para contrarrestar Ciber Agresiones comprendidas en dicha “zona gris” [4]. Las “Ciber Contramedidas” deberán constituir un ámbito prioritario en el ámbito de las Ciber reglas de empeñamiento.
Este trabajo, en su segunda parte y a partir de las ideas del estudioso australiano Tobias Feakin [5][6], intenta suministrar algunas de las bases necesarias para elaborar un enfoque metodológico robusto y claro en el ámbito de las reglas de empeñamiento. Una de las características más saliente de los Ciber Conflictos militares la constituyen los plazos dramáticamente breves en los que deben tomarse decisiones muy importantes. Si un Ciber Ataque militar provoca un estado deliberativo prolongado entre autoridades políticas del área Defensa y comandantes militares, dicha agresión ya puede ser considerada exitosa. La expresión “la ignorancia lo vuelve todo estratégico”   cobra en este ámbito una inusitada importancia. Por ejemplo, decisiones relacionadas con la ejecución de “backtracking” (identificación del Ciber Agresor) deberán ser tomadas en algunos segundos para que sean exitosas, por ejemplo; esto deviene en dramático cuando el Ciber Agresor utiliza esquemas del tipo “onion routers” (ruteadores enmascarados) para incrementar su anonimidad.
Finalmente este trabajo incluye propuestas dirigidas a autoridades políticas del área Defensa de Argentina y de otros países de la Región. Los comandantes militares que directa o indirectamente tengan incumbencias en el ámbito de los Ciber Conflictos militares también son destinatarios deseados de las sugerencias y modestos aportes contenidos en este artículo.
El autor se sentiría honrado si este escrito fuera evaluado académicamente en instituciones de formación de alto nivel de oficiales jefes y oficiales superiores de las Fuerzas Armadas de Argentina y de otros países de la Región. La opinión profesional de integrantes de elementos de Defensa Cibernética, a nivel conjunto y de cada una de las FFAA , será también bienvenida.
El propósito autoimpuesto del autor se cumpliría plenamente si logra aportar, aunque lo sea mínimamente, a la definición de Ciber reglas de empeñamiento militar para Argentina y otros países de la Región acordes con el escenario global actual de los conflictos militares en el Ciberespacio. También sería gratificante si se logra contribuir en el sentido de que, en la definición de Ciber reglas de empeñamiento, se utilice un enfoque metodológico robusto y claro y si las citadas Ciber reglas de empeñamiento quedan comprendidas en un efectivo proceso de mejora continua.
El estudio de las contribuciones de Katharine Hinkle, de la Universidad de Yale y de Tobias Feakin, del Council on Foreign Relations de Australia posibilitaron, al autor de esta contribución, la elaboración de las propuestas contenidas en este escrito. Los mencionados estudiosos están citados varias veces en este artículo.
1. Las Ciber Agresiones militares entre estados naciones y sus potenciales contramedidas
Los Ciber Conflictos, que involucran al poder militar de estados naciones, están evolucionando muy rápidamente desde una posibilidad teórica analizada por estudiosos, hacia amenazas muy concretas e inminentes. Muchos analistas del tema se han focalizado en dirimir cómo el derecho internacional [7][8][9] podría ser aplicado en este nuevo ámbito de problema.
En este entorno, un tema muy sensitivo ha venido siendo objeto de debates específicos: Cómo definir qué tipos de Ciber Ataques constituyen claramente “Ataques Armados” o son equivalentes a “Desembarcos Hostiles de unidades militares”. En otras palabras, cuándo el estado nación agredido adquiere el derecho a ejercer su legítima defensa amparado en el Artículo 51 de la Carta de las Naciones Unidas.
Las respuestas a este interrogante que lucen más adecuadas provienen de estudios basados en los efectos de las Ciber Agresiones. En este ámbito, la clave consiste en determinar en qué casos el impacto de un Ciber Ataque en particular se parece o es análogo a los causados por una fuerza militar “tradicional”. Un ejemplo específico encuadrado en esta catalogación lo constituye la voladura, mediante Ciber Armas, de importantes instalaciones nucleares o refinerías de petróleo. El problema de este enfoque es que, en principio, dejaría fuera del concepto de “Ataque Armado” o “Desembarcos Hostiles de unidades militares”, según el derecho internacional, a una amplia gama de daños producidos por Ciber Incidentes. La toma de control de un satélite de comunicaciones por un período prolongado o el recorrido de la grilla eléctrica del estado nación agredido, detectando sus vulnerabilidades, son ejemplos comprendidos en la citada “zona gris”.
Recapitulando parcialmente: En el contexto de un análisis “basado en los efectos”, un amplio rango de Ciber Acciones destructoras y/o disruptivas quedarían fuera del ámbito de “Ataque Armado” o “Desembarcos Hostiles de unidades militares” según lo que define el derecho internacional. Aplicar Ius ad bellum (legítimas razones) con criterios “tradicionales” exclusivamente, posiciona al país agredido en una situación de extrema debilidad.
El escenario que se está describiendo se complica aún más pues las Ciber Hostilidades que no sobrepasan el umbral de “Ataque Armado” o de “Desembarcos Hostiles de unidades militares”, están teniendo un predominio creciente en el contexto internacional. Conviene destacar que aquellos usos aparentemente menores del “Ciber Poder” pueden tener efectos disruptivos importantes y también constituyen graves amenazas. Es un hecho que los estados naciones necesitan reaccionar ante ellos rápida y efectivamente.
A esta altura conviene citar que se ha dado en denominar “contramedidas” [10] a las acciones temporariamente lícitas, emprendidas por el estado nación agredido, en respuesta a conductas equívocas de otros estados naciones. Las contramedidas constituyen respuestas aceptables en el contexto del derecho internacional. Como tales, las contramedidas tienen el potencial necesario como para jugar un rol central en las respuestas que los estados naciones agredidos elaboren para encarar reacciones ante determinadas Ciber Intrusiones.
En los ejemplos ya expuestos de la toma de control de un satélite de comunicaciones y en el de la Ciber detección de vulnerabilidades en la grilla eléctrica de un país, la destrucción de los Servidores de Comando y Control de las mencionadas Ciber intrusiones, desarrollada como respuesta por el estado agredido, sería un claro ejemplo de “contramedida” según el uso que se le da a ese término en este artículo.
Dicho en otros términos: Respaldado por normas consuetudinarias del derecho internacional [4], un estado tiene derecho a reaccionar, legalmente, ante una violación de sus derechos o soberanía, por parte de otro estado. Esta reacción puede serlo mediante una contramedida, la que, sin la violación origen del conflicto, violaría el derecho internacional; este tipo de contramedidas pueden prolongarse tanto tiempo como los hechos y/o situación que la justifica se mantengan.
A pesar de que las contramedidas pueden tener alguna aplicabilidad importante en los conflictos en el Ciberespacio, poco ha sido escrito respecto de cómo sería (o es) exactamente el marco legal que regule su aplicación. Este trabajo busca contribuir, fundamentalmente siguiendo a la estudiosa de la Universidad de Yale, Katharine Hinkle [4], a llenar el vacío mediante aportes y sugerencias que podrían quedar incluidos en la Estrategia de Ciber Defensa de Argentina u otros países de la Región.
Un tópico a ser estudiado seriamente lo constituye la presunción de algunos expertos de que, Ciber Tácticas asociadas a las contramedidas, por su naturaleza y aspectos instrumentales, perturban la evaluación de los requisitos de necesidad y proporcionalidad que deben ser respetados para que, las contramedidas encaradas por el estado nación atacado, sean aceptadas como legítimas por la comunidad internacional.
En particular,  las contramedidas “en reciprocidad”, las cuales han sido citadas por el Departamento de Defensa de EEUU   y varios estudiosos como un efectivo y aceptable modo de reacción, en el contexto del Ciberespacio, presentan problemas serios para encontrarles sustento en diversos regímenes legales. Esto constituye un desafío de búsqueda de un marco legal apropiado y ampliamente aceptado, a las respuestas que deben encarar los países atacados, en un escenario de Ciber Conflictos entre estados naciones posicionados en la “zona gris” citada más arriba.
Las “contramedidas” que se incluyan en las Ciber reglas de empeñamiento deberán ser minuciosamente estudiadas por los expertos de mayor nivel en derecho internacional de Argentina y otros países de la Región.

2. Respuesta adecuada a Ciber Ataques lanzados o respaldados por estados naciones
Como ya se ha venido mostrando, la naturaleza virtual de las Ciber Agresiones militares dificulta una definición sencilla de Ciber reglas de empeñamiento militar, precisas y tajantes.
Tobias Feakin, estudioso perteneciente al Council on Foreign Relations de Australia y director del Centro Internacional de Ciber Políticas en el Instituto Australiano de Políticas y Estrategia [5][6], recientemente ha desarrollado interesantes aportes que se tendrán en cuenta en el desarrollo de este punto del presente artículo.  
Basado ampliamente en el derecho internacional, Feakin asevera que, cuanto la componente cibernética de un ataque militar, proveniente de otro u otros estados naciones sea predominante, las autoridades del estado nación atacado deberán encarar el desafío de desarrollar respuestas militares que provoquen, en los atacantes, perjuicios y daños proporcionales a los recibidos.
Definir una respuesta militar oportuna, proporcional, legal y dirigida a los blancos militares correctos, es complicado; es difícil evaluar ajustadamente y “en tiempo real” el daño causado por el oponente a los intereses nacionales. Entre otras razones las dificultades devienen por el uso frecuente de proxies (servidores en los que se “delega” las tareas de Comando y Control del Ciber Ataque). Que sea complicado elaborar las citadas respuestas no significa que no haya que trabajar en este ámbito sino todo lo contrario; requieren una muy profunda dedicación.
Es sabido que los autores del ataque pueden, con cierta facilidad, negar sus responsabilidades sustentando “sólidamente” sus aseveraciones. Esto frustra los esfuerzos para dirimir responsabilidades en los estados no preparados para estas circunstancias. La experiencia acumulada en este contexto lleva a pensar que, las políticas seguidas para elaborar la mayoría de las respuestas a Ciber Ataques, lo han sido del tipo “ad hoc”. En este caso “ad hoc” tiene un alcance semántico muy cercano a “improvisación”.
Para determinar la respuesta adecuada a un Ciber Incidente (agresión), originado o solventado por un estado nación, las autoridades del país agredido deben considerar tres variables: i) la confianza de la propia comunidad de inteligencia en lo que respecta a su capacidad para lograr la atribución de responsabilidades, ii) para evaluar el impacto causado por el incidente y iii) para estimar la capacidad de “apalancamiento” (uso conjunto) de las capacidades a disposición del estado nación agredido.
Si bien los tres aspectos mencionados ayudarán en la elaboración de los lineamientos para definir la respuesta a un Ciber Ataque militar disruptivo o destructivo, las autoridades de un estado nación también tendrían que dar dos pasos deseablemente previos al primer Ciber Incidente. En primer término las autoridades del estado nación deberían trabajar con líderes del sector privado para determinar (evaluar “ex ante”) el efecto esperado de un Ciber Incidente en el contexto de la operatoria de sus respectivos negocios. En segundo lugar, los gobiernos deberían desarrollar un menú de opciones de respuesta planeadas / determinadas de antemano y evaluar el impacto potencial en el agresor de cada opción de respuesta, lo sea en lo político, en la economía, en la inteligencia y en ámbitos / instalaciones específicamente militares.
2.1. Algunos fundamentos conceptuales y fácticos: Los incidentes cibernéticos y la incertidumbre
Aun cuando, en el panorama internacional, el número de ocurrencias de Ciber Ataques altamente disruptivos y destructivos crece, muchos gobiernos continúan sin prepararse adecuadamente.
En otras áreas, llamativamente, las respuestas del poder político de estados naciones, a potenciales agresiones patrocinadas por otros estados, están bien establecidas. Por ejemplo, un país puede tener previsto expulsar a diplomáticos como respuesta a un escándalo de espionaje; si un estado nación considera que su soberanía territorial ha sido violada, puede presentar una demanda ante organismos internacionales y asimismo puede hacer uso de la fuerza en respuesta a un ataque armado.
En contraposición no existen, en la mayoría de los casos, políticas vigentes ni reglas de empeñamiento militar que aporten para definir respuestas claras a Ciber Ataques militares; esto lo es por dos razones:
En primer lugar, es difícil evaluar “casi en tiempo real” los daños causados por los Ciber Incidentes. Sirven como comparación los siguientes ejemplos: Puede tomar semanas, incluso meses, a expertos en informática forense, la determinación, en forma precisa y concluyente, del alcance de los daños causados a las redes informáticas y otros sistemas de una organización afectados por un Ciber Ataque. Por ejemplo, para las autoridades sauditas fueron necesarias aproximadamente dos semanas para estimar la magnitud de los daños del Ciber Incidente Shamoon (Saudi Aramco)  . Se borraron los datos de treinta mil de las computadoras de la Saudi Aramco. Aunque estas dos semanas pueden ser poco tiempo para estándares de informática forense con un enfoque policial / judicial, como contraposición se destaca que, un militar idóneo en el tema, debería poder llevar a cabo una evaluación de los daños de incidentes en tan sólo unas horas. En casos de incidente que utilicen herramientas de Ciber Anonimidad las primeras decisiones militares deberían tomarse en plazos aún mucho más breves.
En segundo lugar, el atribuir los Ciber Incidentes a su patrocinador, sigue siendo un desafío significativo. Enmascarar el verdadero origen de un Ciber Incidente es fácil. Los estados naciones agresores a menudo utilizan proxies o equipos “representantes”, basados en otras jurisdicciones, para ocultar sus huellas.
Respecto de la Ciber Anonimidad viene al caso mencionar al “Ciber Califato”, grupo que se adjudicó la responsabilidad de la toma del control de la televisora francesa TV5 Monde, manteniéndola fuera del aire, mediante un Ciber Ataque, en abril de 2015; el “Ciber Califato” también se adjudicó la utilización de otros medios de comunicación social de dicha empresa televisiva para publicar contenidos en apoyo al autoproclamado Estado Islámico. Dos meses más tarde, medios de comunicación franceses, informaron que los verdaderos agresores habrían sido, en realidad, grupos patrocinados por Rusia  y no elementos pro Estado Islámico.
Aún en los casos en los que es posible identificar al Ciber Agresor, eso no garantiza que dicha identificación sea creíble, tanto respecto de la opinión pública doméstica como para la internacional; esta falta de crédito se verificará a menos que las autoridades del país agredido expongan, creíblemente, los conceptos, métodos y herramientas utilizados para resolver el “Problema de la Atribución”, es decir, cómo se trabajó para determinar la identidad del Ciber Agresor.
En un contexto de fuerte presión y plazos perentorios, suele ocurrir que las respuestas respecto de la identidad del Ciber Agresor se suministren, frecuentemente, con evidencia incompleta; lo mencionado provoca un alto grado de escepticismo en el público, tanto interno como externo. Errores en la atribución de un Ciber Incidente podrían provocar una respuesta orientada a blancos equivocados, provocando serias crisis.
Asimismo, evaluaciones de daños apresuradas, podrían llevar a una sobreestimación de los efectos de un Ciber Incidente, provocando que el estado nación agredido responda de manera desproporcionada.
2.2. El desarrollo de una respuesta proporcionada
Las autoridades de un estado nación deben considerar tres variables antes de elaborar la respuesta a un Ciber Ataque.
En primer lugar deben contar con una ajustada evaluación del nivel de confiabilidad que sus agencias de inteligencia tienen para resolver el “Problema de la Atribución” (de un Ciber Ataque). Aunque existen registros de éxitos de agencias de inteligencia detectando actividad maliciosa en el Ciberespacio, el Ciber análisis forense no está suficientemente perfeccionado en muchos países. El grado de certeza en la resolución del “Problema de la Atribución” tendrá un impacto directo en la elaboración de la respuesta. Por ejemplo, si el nivel de certeza de la atribución es bajo, las autoridades estarán limitadas en la selección de la respuesta aunque la severidad del ataque haya sido alta. Esto forzará a seleccionar un objetivo de represalia menos importante para limitar las posibilidades de que escale un conflicto internacional sin fundamentos evidentes y/o recibir críticas desfavorables de la comunidad internacional. Asimismo pueden registrase casos en los que la evidencia sea tan débil y/o escasa que induzca a una no respuesta por parte del estado nación víctima.
En segundo lugar, las autoridades del estado nación agredido deben evaluar los efectos de los Ciber Incidentes tanto en la infraestructura crítica, como en la sociedad en general, en la economía y también en los intereses nacionales considerados integralmente.  Las preguntas que requieren respuestas confiables en este entorno son del tipo: ¿Cuál fue el daño causado en los sistemas afectados?, ¿Hubo algún impacto a la infraestructura crítica? ¿Qué tipo de servicios esenciales están afectados? ¿Provocó el incidente una importante pérdida de estabilidad en la economía? ¿Cuál fue el impacto de los incidentes en la seguridad nacional y en el prestigio del país?
En tercer lugar, las autoridades deben considerar las alternativas de respuestas diplomáticas, económicas, y militares a su disposición; desde un reclamo diplomático hasta un ataque militar. Las respuestas no deben, necesariamente, limitarse al ámbito del Ciberespacio; nada impide, a un estado nación, el uso de otros canales; eso sí, deberá considerarse que cada uno de ellos, normalmente, tendrá aparejados sus propios riesgos.
Las Ciber respuestas pueden ser llevadas a cabo en forma complementaria de las respuestas diplomáticas, económicas y militares convencionales. Sin embargo ellas se ejecutan, muchas veces, en forma encubierta. Estas respuestas presentarán dificultades para ser desarrolladas rápidamente si el gobierno no ha adquirido, previamente, capacidades para accionar contra un blanco específico. Estas capacidades, posiblemente, habrán sido adquiridas previamente mediante Ciber Reconocimientos / Ciber Análisis de Vulnerabilidades.
Muchas veces, un público reconocimiento de una Ciber Respuesta, por parte del estado nación agredido, puede caer como algo “políticamente poco atractivo”. Dicho estado nación podría perder “espacio de maniobra política” para lanzar respuestas similares, en el futuro, contra otros blancos. Aunque los estados pueden trasladar las responsabilidades de respuesta a “proxies” (Servidores de Comando y Control “delegados”), se ha verificado que dicha acción puede limitar su propio control sobre las respuestas y llevar a que el conflicto escale.
2.3. Algunos lineamientos metodológicos para elaborar una respuesta adecuada a Ciber Ataques lanzados y/o respaldados por estados naciones utilizando su poder militar
Considerando la significativa presión a la que seguramente serán sometidos los gobiernos cuando tengan que, efectivamente, dar respuesta a Ciber Ataques, las autoridades políticas y comandantes militares deberían elaborar un marco general que catalogue las respuestas alternativas “tipo” y que contenga sus lineamientos generales, adelantándose a la ocurrencia efectiva de Ciber Incidentes disruptivos o destructivos con características militares.
Aunque cada respuesta tendrá su propia especificidad, dicho marco general permitirá, a las autoridades del estado nación, considerar con la rapidez necesaria las diversas opciones de respuesta para cada caso en particular.
Un esquema general de un marco para dar soporte al proceso de toma de decisiones, en este contexto, se muestra en la siguiente figura a la se denomina “Matriz de Tobias Feakin modificada”  . Dicho esquema general debería ser completado / perfeccionado por los integrantes de los elementos de Defensa Cibernética a nivel Conjunto y los correspondientes a cada Fuerza Armada de Argentina (y países de la Región). La intervención de instituciones académico / militares será muy valiosa. En el caso de Argentina se cita a las Escuelas Superiores de Guerra de las FFAA, a la Escuela Superior de Guerra Conjunta, a la Escuela Superior Técnica del Ejército Argentino y al Instituto Universitario Aeronáutico de Argentina
En dicho esquema, en la primera columna, se citan ejemplos de diferentes niveles de severidad de Ciber Agresiones de origen militar . En la segunda columna se mencionan, también a título de ejemplo distintos tipos de respuesta a cada tipo de Ciber Agresión militar.

La flecha insertada en la tercera columna consolida el modelado del nivel creciente de la severidad de los daños causados por potenciales Ciber Agresiones militares.
En la cuarta columna la flecha modela el nivel creciente de severidad, esta vez, de la potencial respuesta a una Ciber Atención militar.
La quinta columna contiene una flecha que indica la importancia creciente de la necesidad de que nuestro país adquiera capacidades para resolver las variantes del “Problema de la Atribución”, aún en los casos más complejos. Al respecto se ruega tener en cuenta el artículo del autor en el que se tratan, en forma conjunta la Ciber Atribución, la Ciber Anonimidad y la Ciber Disuasión . En este contexto se recomienda no adherir al mito, difundido con gran entusiasmo por diversos actores, de la no resolución de dicho “Problema de la Atribución”.
En la sexta columna de la “Matriz de Tobias Feakin modificada” se modela el nivel deseable de capacidad de Ciber Anonimidad que debería disponerse en cada caso.
En la séptima y última columna está modelado el nivel de Ciber Disuasión que es deseable sea alcanzado para no ser percibido como “blanco apetecible” en cada uno de los casos planteados como ejemplo.
Teniendo en cuenta el impacto del Ciber Incidente, las opciones políticas y el principio de la proporcionalidad y, por otro lado, la Ciber Atribución, la Ciber Disuasión y la Ciber Anonimidad, la figura sugiere cómo podría llegar a tener, completando / perfeccionando dicho esquema, una visión general de las posibilidades de respuesta del estado nación agredido. La “Matriz de Tobias Feakin modificada” facilita la definición de los componentes de la respuestas a Ciber Incidentes varios, especialmente los que manifiesten tendencias a un escalamiento.
El modelo permite ordenar en niveles los posibles efectos de Ciber Ataques militares, citando como ejemplos desde alteraciones funcionales en sitios web sensitivos, en un extremo de la escala, hasta Ciber Ataques militares a refinerías de petróleo con pérdida de vidas y gravísimos daños materiales, en el extremo opuesto. Esto se grafica mostrando su relación con ejemplos de posibles niveles de las respuestas, las que van desde declaraciones de repudio en los medios de comunicación hasta réplicas eminentemente militares (cibernéticas, convencionales o mixtas).
Considerando el espectro de respuestas posible, habrá distintos riesgos políticos y legales asociados a cada decisión; estos riesgos aumentan al incrementarse el nivel de severidad de la respuesta. Las respuestas definidas utilizando este marco general de referencia son aplicables a Ciber Agresiones militares, es decir, respaldadas por los estados naciones agresores. Para Ciber Agresiones disruptivas y destructivas, causadas por individuos, organizaciones criminales u otras, llevadas adelante sin que conste el respaldo de un estado nación, serán más apropiadas respuestas originadas y elaboradas por organismos policiales nacionales e internacionales.
Tal como ocurre en varias áreas de las relaciones internacionales, la proporcionalidad debe ser un enfoque de práctica habitual en Ciber Defensa.
Las autoridades políticas del estado Ciber agredido tienen varias alternativas previas a la utilización plena del poder militar en el Ciberespacio. La expulsión de diplomáticos, por ejemplo, en respuesta a Ciber Agresiones militares de severidad mediana / leve, que afecten la soberanía, es percibida como una respuesta proporcional, fundamentalmente porque los estados naciones la han venido asumiendo, como práctica habitual, por décadas.
Cuando un estado nación aplica sanciones económicas, el estado sancionado, a menudo, responde del mismo modo. En este contexto Rusia respondió a las sanciones que le fueron aplicadas por la anexión de Crimea     , con sus propias sanciones. La misma lógica se suele aplicar en incidentes en el Ciberespacio.
En los casos en los que exista “la tentación” de responder no proporcionalmente, de manera de disuadir o impedir futuros ataques, conviene recordar que el derecho internacional requiere que los estados naciones solo lleven adelante las medidas de fuerza necesarias y adecuadas para repeler o derrotar Ciber Ataques disruptivos o destructivos. Se deben considerar límites claros a la “escala, alcance, duración e intensidad” de las acciones que el estado nación víctima del Ciber Ataque militar pueda tomar en respuesta.
Adicionalmente, cuando las citadas respuestas respetan la proporcionalidad, pueden facilitar la construcción de coaliciones internacionales que a veces son necesarias para aislar y sancionar al estado nación atacante, así como para limitar la probabilidad de que el conflicto escale sin control.
Si, por ejemplo, un país fuera víctima de perturbaciones en el funcionamiento de sitios web sensitivos y ello fuera consecuencia de un Ciber Ataque patrocinado por otro estado, una denuncia pública en foros internacionales, debidamente sustentada, será probablemente la respuesta más apropiada. Yendo más arriba en la escala, cualquier Ciber Agresión militar que implique la manipulación o destrucción de datos importantes para el gobierno podría requerir acciones diplomáticas como respuesta apropiada; estas podrían consistir en declaraciones de tipo políticas en los casos de bajo impacto o en la expulsión de diplomáticos si los Ciber Ataques afectan en forma grave, por ejemplo, la economía de los estados naciones víctimas.
En los casos en los que la economía esté Ciber afectada, se podría utilizar una gama o conjunto de respuestas en el plano económico coordinadas con las acciones diplomáticas. Si un Ciber Incidente militar causa daños físicos graves y pérdida de vidas, tal la voladura de una instalación nuclear, podría llegar a considerarse una opción militar, cibernética o no, como respuesta apropiada y proporcional.
La evaluación rápida de la severidad del incidente juega un rol importante en estos casos. Todas estas opciones pueden complementarse con Ciber Acciones encubiertas, las que también, a pesar de su anonimidad, tendrán que ser proporcionales al daño causado por el Ciber incidente.
La infraestructura crítica normalmente constituye una prioridad para los Ciber Atacantes; es importante que los operadores de los componentes de la infraestructura crítica participen en el perfeccionamiento del marco general de respuesta (“Matriz de Tobias Feakin modificada” u otro que la supere). Asimismo, los operadores de los componentes de la infraestructura crítica están en una buena posición para asesorar a las autoridades políticas y a los comandantes militares acerca de Ciber Incidentes que puedan afectar sus operaciones y para definir cuán grave serían las consecuencias dichos incidentes.
Por otro lado, las autoridades políticas y comandantes militares deben evaluar los costos asociados con cada respuesta potencial que derive de la “Matriz de Tobias Feakin modificada”. También se debe considerar que cada respuesta tendrá asociada un determinado impacto en las relaciones diplomáticas del estado y en su reputación internacional en general
Los Ciber Incidentes requieren de los gobiernos y comandantes militares un conjunto muy complejo de decisiones. Se debe poder evaluar muy rápidamente la gravedad del incidente, analizar las alternativas de respuestas adecuadas y evaluar dinámicamente los riesgos asociados a los diversos cursos de acción.
Un marco de referencia construido con antelación, deliberadamente simplificado, tal como lo es la “Matriz de Tobias Feakin modificada”, provee un modelo para elaborar un método que sea útil para definir y para encuadrar las potenciales respuestas alternativas cuando ocurran Ciber Ataques de origen militar promovidos / respaldados por otros estados naciones.
Adicionalmente un modelo elaborado a partir de la “Matriz de Tobias Feakin modificada”, podría suministrar a las autoridades políticas del área Defensa de un estado nación y a sus comandantes militares, un punto de partida, útil como referencia, para realizar sus evaluaciones durante el desarrollo de crisis reales.

3. Propuestas

3.1. Las Ciber reglas de empeñamiento deberían constituir un ámbito de estudio prioritario, y con un enfoque de mejora continua, en las Escuelas Superiores de Guerra de las FFAA de Argentina (y las de otros países de la Región), de la Escuela Superior de Guerra Conjunta, de la Escuela Superior Técnica del Ejército Argentino y del Instituto Universitario Aeronáutico de Argentina. Las Ciber reglas de empeñamiento, asimismo, deberían ser motivo de permanente perfeccionamiento en los ámbitos correspondientes a los elementos de Defensa Cibernética a nivel conjunto y de cada una de las FFAA de Argentina. Las autoridades políticas del Ministerio de Defensa de Argentina y de otros países de la Región, interactuando con el área Relaciones Exteriores, deberán definir cuál es la versión de las citadas Ciber reglas de empeñamiento que está en vigencia en un período determinado.

3.2. Las autoridades políticas del área Defensa y los comandantes militares deberían evitar, sistemáticamente, que se recurra al mito de “la no solución del Problema de la Atribución” en los intercambios de opiniones acerca de las Ciber reglas de empeñamiento. Internacionalmente y en Argentina ya se ha probado, conceptual e instrumentalmente, que dicho “Problema de la Atribución”, en varias de sus variantes, admite solución con una muy alta probabilidad de éxito y una muy baja tasa de falsos positivos            . La solución de las variantes más complejas del “Problemas de la Atribución” simplemente son indicadoras de la necesidad de un mayor esfuerzo de Investigación y Desarrollo; de ninguna manera el Problema de la Atribución debería ser el respaldo de puntos de vista pesimistas cuando se discutan las Ciber reglas de empeñamiento. Argentina cuenta con RRHH que podrían ser aplicados a la búsqueda permanente de distintas soluciones a variantes diversas, reales y potenciales, del “Problema de la Atribución”.

3.3. Las autoridades políticas del área Defensa y comandantes militares de Argentina   podrían disponer que las Escuelas Superiores de Guerra de las FFAA de Argentina, la Escuela Superior de Guerra Conjunta, de la Escuela Superior Técnica del Ejército Argentino y el Instituto Universitario Aeronáutico de Argentina, elaboren versiones superadoras de la presente contribución. Los elementos de Defensa Cibernética a nivel conjunto y de cada una de las FFAA de Argentina podrían consolidar dichas versiones superadoras en un documento rector a ser presentado a las autoridades políticas. Se remarca que, si bien debe existir una versión de las Ciber reglas de empeñamiento vigente, dichas Ciber reglas de empeñamiento deberán estar sometidas a un proceso de mejora continua en consideración de la permanente evolución de los aspectos tecnológicos asociados.

3.4. Los trabajos que se propone sean elaborados por las Escuelas Superiores de Guerra de las FFAA de Argentina, la Escuela Superior de Guerra Conjunta, de la Escuela Superior Técnica del Ejército Argentino y del Instituto Universitario Aeronáutico de Argentina y consolidados por los elementos de Defensa Cibernética a nivel conjunto y de cada una de las FFAA de Argentina, deberían corresponderse con el producto de un enfoque metodológico robusto y claro.

3.5. Las autoridades políticas del área Defensa y comandantes militares, a juicio personal del autor, no deberían considerar que Argentina y otros países de la Región poseen desventajas comparativas en el ámbito de la Defensa Cibernética. Ocurre todo lo contrario; existen posibilidades concretas de posicionarse con ventajas, en el contexto global, en el típicamente asimétrico escenario del Ciberespacio visto como escenario muy probable de conflictos militares. El autor, quien posee experiencia en la coordinación de programas de cooperación internacional en el ámbito de la Tecnología de la Información, está plenamente convencido de lo propuesto en este punto. Nuestros RRHH, debidamente entrenados, seguramente permitirán que nuestro país, y otros de la Región, cuenten con Ciber reglas de empeñamiento que constituyan una referencia global.

3.6. Una vez que las autoridades del Ministerio de Defensa hayan definido las Ciber reglas de empeñamiento correspondientes a Ciber Agresiones militares (es decir patrocinadas por otro/s estado/s) y también hayan definido las pautas metodológicas para mantenerlas permanentemente actualizadas, habrá llegado el momento de consensuarlas / perfeccionarlas interactuando con el área Relaciones Exteriores de la conducción política del estado nación. Las Ciber reglas de empeñamiento entrarán en vigencia cuando así lo disponga quien ejerce el Comando en Jefe de las FFAA (Presidencia de la Nación)

4. Referencias

[1] Elementos de juicio al respecto en: http://www.pbs.org/wgbh/pages/frontline/haditha/themes/roe.html
[2] Aportes adicionales en:
http://www.loc.gov/rr/frd/Military_Law/Military_Law_Review/pdf-files/27687D~1.pdf
[3] Trama, Gustavo, “Reglas de Empeñamiento I, II y III”, Biblioteca de la Escuela Superior de Guerra Conjunta de las FFAA de Argentina, Contribución Académica, 2014
[4] Hinkle, Katharine C., “Countermeasures in the Cyber Context: One More Thing to
Worry About”, The Yale Journal of International Law Online, 2011
[5] https://www.aspi.org.au/research/find-an-expert/tobias-feakin
[6] http://www.cfr.org/cybersecurity/developing-proportionate-response-cyber-incident/p36927
[7] Hathaway, Oona et al “THE LAW OF CYBER-ATTACK”, Forthcoming in the California Law Review, 2012 http://www.law.yale.edu/documents/pdf/cglc/LawOfCyberAttack.pdf
[8] CCDCOE, “Tallinn Manual identifies the international law applicable to cyber warfare”, https://ccdcoe.org/tallinn-manual.html, 2008
[9] Harvard Law School, http://pilac.law.harvard.edu/events/cyber-operations-and-international-humanitarian-law-fault-lines-and-vectors, 2015
{10] CCDCOE, “Peacetime Regime for State Activities in Cyberspace”, https://ccdcoe.org/multimedia/peacetime-regime-state-activities-cyberspace.html , 2013

(*) Director del Doctorado en Ingeniería Informática de la Universidad Nacional de San Luis - Argentina. Investigador Categoría I – Programa de Incentivo a la Investigación en Universidades Nacionales de Argentina. Consultor en Ciberdefensa.

No hay comentarios: