Las amenazas cibernéticas a las infraestructuras críticas

 

El objetivo de la infraestructura crítica

Los sectores de la infraestructura crítica de los países incluyen el transporte, la agricultura, la defensa y la seguridad, la salud pública y privada, la producción y distribución de combustible y la tecnología de la información[1]. Al ser, como su nombre indica, elementos de vital importancia para el normal funcionamiento de una nación, estas infraestructuras suelen ser los objetivos predilectos por parte de los otros actores, estatales y no estatales, a la hora de querer infringir un daño considerable a su rival.

A diferencia de los ataques cibernéticos, los ataques convencionales, como un bombardeo o el sitio de una ciudad, repercute de forma negativa en la opinión pública internacional y puede afectar, velozmente, la imagen del estado agresor frente al concierto de naciones. Estos ataques, además, son tangibles y eso permite acrecentar la carga probatoria para establecer responsabilidades claras sin mayores márgenes de duda o equivocación.

Al día de hoy, por la dependencia generada dentro del entorno y los avances tecnológicos, casi la totalidad de las infraestructuras críticas se encuentran resguardadas o conectadas a sistemas en red: por ejemplo, los sectores financieros o sanitarios[2]. De esta forma, aunque amplíen sus capacidades, se encuentran frente a una mayor vulnerabilidad por la inseguridad que el ecosistema cibernético puede deparar y por la acción cada vez mayor de grupos hacktivistas, cibercrimen, ciberespionaje y, finalmente, la dimensión cibernética de los conflictos.

Por lo tanto, la forma más rigurosa, atento a la evidencia empírica y a la situación de conectividad y dependencia de las infraestructuras críticas, es considerar las nuevas formas cibernéticas de conflicto como un elemento más dentro del espectro del conflicto que los actores transcurrirán para dirimir las rivalidades con otros actores. No indica, hasta el momento, que se hayan producido ni se vayan a producir guerras sostenidas únicamente por el medio digital.

Frente a esto, una de las intervenciones del Secretario General de Naciones Unidas, Antonio Guterres, ha advertido sobre la necesidad de dotar con mayor importancia a las amenazas cibernéticas en las Relaciones Internacionales al afirmar que, a diferencia de las grandes batallas del pasado, que se iniciaron con un aluvión de artillería o bombardeos aéreos, la próxima guerra comenzará con un ciberataque masivo para destruir la capacidad militar y para paralizar la infraestructura básica como las redes eléctricas.

Las limitantes del ecosistema cibernético

El segundo de los elementos o característica que distancia a la dimensión cibernética de la guerra convencional, o del concepto acuñado como ciberguerra, es que el Derecho Internacional no ha podido, por la velocidad de los cambios tecnológicos e informáticos, absorber los hechos de la realidad para poner límites frente al desarrollo de los conflictos cibernéticos. Al no existir un esquema regulatorio, no es clara, por el momento, la aplicación de normativas tales como las Convenciones de Ginebra o el Derecho Internacional Humanitario que sí están contenidos en los conflictos bélicos convencionales.

Los últimos intentos que la Sociedad Internacional llevó a cabo para intentar, sin éxito, regular la seguridad en el ciberespacio provocaron una colisión con los intereses nacionales de los estados y un reclamo de las principales delegaciones. Los principales límites u obstrucciones que estas discusiones han generado es que, por un lado, la cuestión de la responsabilidad ya que no es sencillo comprobar la procedencia de los ciberataques y, mucho menos, demostrar la intencionalidad bélica[3].

Ante la presencia de una limitación poco clara de los conflictos, se ha discutido la necesidad de recurrir, frente a un ciberataque, al Artículo 51° de la Carta de Naciones Unidas[4] donde se contiene el derecho de legítima defensa de los estados. Además de que el artículo expresa el ataque armado[5], existen precedentes legales que conforman antecedentes donde no todos los usos de la fuerza pueden y deben ser considerados como ataques armados.

En este sentido es que han surgido, hasta el momento, tres enfoques que permitirán adentrar un poco más la relación entre el Derecho Internacional y los ciberataques[6]: un enfoque instrumental, defendido por la Escuela de Derecho de Yale, donde los ciberataques son solo considerados ataques armados solamente si se utilizan armas militares. La desventaja, en contradicción con la intención de aplicar el Artículo 51° de la Carta de Naciones Unidas, es que los estados perderían el derecho a la defensa en caso de ser atacados[7].

La segunda de las escuelas permite definir el impacto de los ciberataques no por los instrumentos utilizados sino por los objetivos planteados lo que, a su vez, también representará enormes dificultades para comprobar la intención bélica de un ciberataque. Este enfoque defiende recurrir al Artículo 51° de la Carta de Naciones Unidas cuando son afectadas las infraestructuras críticas de un estado[8]. El último de los enfoques es basado en los efectos y es el que, hasta el momento, han adoptado la OCS y OTAN.

Por lo tanto, a modo de síntesis de lo expuesto en este apartado, el ciberespacio se conforma como una nueva dimensión donde es posible extender el conflicto y donde se produce, como se ha visto también, un nuevo entorno con características particulares. No es posible hablar de ciberguerra, contestando también la hipótesis planteada, porque el Derecho Internacional aun no es posible de aplicar como sí puede hacerse en las guerras convencionales y porque, hasta el momento, no se han producido conflictos netamente cibernéticos sino que se han alternado con ataques convencionales.

---

[1] Yates, S., 2016. "National Critical Infrastructure Policy: Background and Select Cybersecurity Issues". UK ed. edición (1 Abril 2016) ed. Nueva York: Nova Science Pub Inc.

[2] Los sectores sanitarios han precisado, con mayor necesidad desde la pandemia, de la conexión en red y la recopilación y distribución de información.

[3] Torrijos Rivera, V. & Jiménez Salcedo, D., 2021. "¿Seguridad sin fronteras, seguridad en abstracto? Tenden-cias en el estudio de la ciberseguridad y la ciberdefensa". Revista Política y Estrategia , Issue 138, p. 154.

[4] El artículo en cuestión dice “Ninguna  disposición  de  esta  Carta  menoscabará  el  derecho  inmanente  de  legítima defensa, individual o colectiva, en caso de ataque armado contra un Miembro de las Naciones Unidas”.

[5] El concepto de arma digital, como se ha visto, es parte de una discusión académica y semántica sobre si es correcto, o no, identificar a las herramientas digitales como armas. Tal como se ha desarrollo a lo largo de estos apartados, el uso analógico del concepto de arma digital permite identificar uno de los rasgos distintivos de la dimensión cibernética en los conflictos.

[6] Torrijos Rivera, V. & Jiménez Salcedo, D., 2021. "¿Seguridad sin fronteras, seguridad en abstracto? Tenden-cias en el estudio de la ciberseguridad y la ciberdefensa". Revista Política y Estrategia , Issue 138, p. 155.

[7] Hollis B, D., 2008. "Why states need an international law for information operations". Legal Studies Research Paper Series , Issue 43, pp. 1039-1053.

[8] Hathaway, O. A. y otros, 2012. "The Law of Cyber-Attack". California Law Review, 100(4), pp. 817-885.