Por Franck Cecile - TheExpert Cybersecurity Squad
El 18 de enero de 2019, Florence PARLY, ministra de las Fuerzas Armadas, dio a conocer la doctrina francesa de Lucha Informática Ofensiva (LIO). Este conjunto de actividades, ya mencionado tres años antes por Jean-Yves LE DRIAN, entonces ministro de Defensa, encarna el uso propiamente dicho delarma cibernética por parte de un Estado. El establecimiento de la doctrina abre oficialmente a las Fuerzas Armadas un nuevo terreno de operaciones de pleno derecho, al igual que la tierra, el mar, el aire y el espacio. Su objetivo: contribuir a la superioridad militar francesa en el ciberespacio.
¿Por qué la LIO?
Si bien la necesidad de llevar a cabo y coordinar medidas de ciberprotección y ciberdefensa ya no es una novedad en Francia (creación de la DCSSI en 2001, que pasó a ser la ANSSI en 2009; Ley de Programación Militar de 2013; revisión estratégica de la ciberdefensa por parte de la SGDN en 2018…), la necesidad de dotarse de una capacidad ofensiva responde al aumento creciente de los ataques informáticos de los que es objeto el Estado.
Los métodos de actuación han evolucionado, y ya no son simples hackers aislados los que están detrás de ellos, sino, según nuestro ministro, «Estados, como mínimo, indiscretos y, como mínimo, desinhibidos». Si bien en su informe anual de 2018 la ANSSI cita el fraude en línea y la generación de criptomonedas como amenazas crecientes, también teme las filtraciones de datos estratégicos, los ataques indirectos y las operaciones de desestabilización o de influencia. En otras palabras, ya no nos preocupan solo los atacantes con un simple objetivo lucrativo, sino también las organizaciones estructuradas que disponen de medios considerables, incluso casi ilimitados. Pensamos, en particular, en los Estados, en el crimen organizado, pero también en los terroristas y los activistas. Este temor se ve reforzado por la creciente observación de ataques cuyo objetivo no es afectarnos directamente, sino poner a prueba nuestras capacidades de detección y reacción, especialmente en nuestras infraestructuras críticas. Podemos imaginar estos modus operandi como patrullas aéreas cada vez más recurrentes en nuestras fronteras, que se acercan cada vez más, sin llegar nunca a cruzar la línea.
Aunque, en apariencia, la creación de una fuerza de ataque cibernética pretende ser ante todo un medio de disuasión, «Francia se reserva el derecho a responder» y «estará dispuesta a emplear el arma cibernética en operaciones en el extranjero con fines ofensivos, ya sea de forma aislada o como apoyo a nuestros medios convencionales, para potenciar sus efectos».
Por otra parte, el número de países que cuentan con un ejército cibernético y combatientes cibernéticos parece estar en aumento. Estados Unidos (unos 7000), Rusia, Corea del Norte (6000), China, Gran Bretaña y Alemania, por citar solo algunos, ya disponen oficialmente de un cuerpo militar cibernético. Las cifras son inciertas, ya que este tipo de información rara vez se hace pública. Pero una cosa es segura: cada vez son más los militares que operan en el ciberespacio para preparar la guerra del futuro. De ahí la necesidad de establecer una doctrina de LIO para Francia, que ya cuenta con unos 3000 cibercombatientes y cuyas filas deberían seguir creciendo con la LPM 2019 (4000 en 2025).
¿Qué es la LIO?
La doctrina LIO establece la estrategia militar francesa que debe seguirse en el marco de una ciberguerra. En su parte pública (consultable en línea), esta doctrina especifica concretamente qué tipos de objetivos operativos permite alcanzar:
- Inteligencia: la obtención de información que permite evaluar las capacidades o la situación militar del enemigo (ubicación geográfica de las fuerzas, número de efectivos o de aparatos desplegados sobre el terreno, transporte de tropas, etc.)
- Neutralización: la reducción de las capacidades ofensivas del enemigo (inutilización de un sistema de combate, de un vehículo, etc.)
- El engaño: la manipulación de la información o de la capacidad de análisis del enemigo (alteración sutil de la información o del modo de funcionamiento de un sistema de combate…)
Es importante recordar que los efectos se producen efectivamente en la vida real; las consecuencias de una ciberguerra no se limitan al ciberespacio. No se trata aquí de utilizar un ordenador para inutilizar otro, sino de intentar corromper sistemas digitales para extraer información, alterar el funcionamiento de un arma o de un sistema militar (avión, buque, sistema de combate, medio de detección...), o incluso inducir a error a un adversario (lo que se podría denominar más comúnmente «manipulación»).
¿De la LIO, pero para qué público?
Si hay una parte pública, también hay una parte confidencial. Esto resulta bastante lógico, dada la importancia estratégica de un documento de este tipo. Sin embargo, esto nos lleva a preguntarnos por su contenido.
Si bien es fácil imaginar la magnitud del impacto de un ciberataque sobre un objetivo militar, este no sería menor si el objetivo fuera civil. De hecho, sin duda sería mucho peor. Además, también hay que tener en cuenta la visibilidad o no de un ciberataque. De hecho, si bien la neutralización de los medios de comunicación, de la producción de energía o de las instituciones bancarias tendría un impacto considerable —y visible—, este sería, en definitiva, cuantificable. Pero un ciberataque cuyo objetivo fuera el engaño de la nación —entendiéndose por ello la desestabilización o la manipulación de las masas (a través de Internet y las redes sociales, por ejemplo)— tendría consecuencias extremadamente complejas de analizar y medir.
Por lo tanto, cabe suponer que la parte confidencial de la doctrina se centra en las posibilidades de llevar a cabo ataques informáticos contra instituciones civiles, ya sea de forma directa o indirecta. Extraer información estratégica en el marco de un contrato de varios miles de millones de euros con un proveedor extranjero, neutralizar una infraestructura vital para desestabilizar la economía de un país adversario en un momento inoportuno (un evento deportivo mundial, por ejemplo), o incluso manipular la opinión pública para dar el poder al candidato que se desea que gobierne… Siempre con el objetivo de inclinar la balanza a su favor. ¿No les recuerda a algo?
Evidentemente, si Francia ha puesto en marcha una estrategia de este tipo, es ante todo para ponerse a la altura de las demás grandes potencias cibernéticas, ya sean enemigas… ¡o aliadas! Rusia, China, Israel… Pero también el Reino Unido, Alemania, Estados Unidos… Todos estos países han elaborado recientemente su propia estrategia de ciberdefensa y han definido una doctrina de ciberataque. Tampoco debemos olvidar las reconocidas capacidades ofensivas de Corea del Norte en este ámbito. En general, la conclusión es inequívoca: estamos asistiendo a una carrera de armamento cibernético, similar a la que se produjo durante la Guerra Fría entre Estados Unidos y la URSS, pero con armas más tradicionales. Salvo algunas diferencias.
¿Quiénes son nuestros aliados y nuestros enemigos en el ciberespacio?
Mientras que durante la Guerra Fría era fácil constatar que el mundo estaba dividido en dos, con la sociedad comunista impulsada por la URSS por un lado y la sociedad capitalista liderada por Estados Unidos y sus aliados por el otro, en el ciberespacio no existe una separación clara entre las grandes potencias.
En primer lugar, porque no hay un límite geográfico claro. El ciberespacio difumina las fronteras tradicionales entre Estados, actores y sectores. Es más, las grandes potencias que conforman el ciberespacio no son solo Estados, sino también organizaciones criminales, empresas, hacktivistas, etc., todos ellos actuando en nombre de sus propios intereses. Pero, sobre todo, si hasta finales del sigloXX, en el marco de un conflicto clásico, era fácil atribuir con certeza un ataque a quien lo había perpetrado (identificación física del atacante, grado de complejidad técnica del ataque, medios y métodos empleados, víctimas afectadas, posibles razones geopolíticas subyacentes, etc.), la capacidad de atribuir un ciberataque se ve considerablemente reducida en el ciberespacio. Las acciones maliciosas rara vez son reivindicadas por actores identificados, y menos aún si se trata de un Estado. Remontarse hasta el origen de un ciberataque para identificar a su autor es técnicamente muy complicado. Es más, incluso si se ha podido identificar formalmente al atacante original, rara vez es él quien ha ordenado la acción. Los ataques llevados a cabo en el ciberespacio rara vez son directos. La ausencia de fronteras en este entorno y las múltiples interconexiones que lo componen favorecen el anonimato de los atacantes.
Con frecuencia, los Estados o las empresas víctimas de ciberataques dirigen sus sospechas (o incluso señalan directamente) hacia las grandes potencias cibernéticas. A veces es China, otras veces Estados Unidos, y a menudo Rusia… Unos acusan a los otros, y viceversa. Las dificultades técnicas encontradas hacen que estas declaraciones se queden oficialmente en el ámbito de las sospechas (fuertemente fundamentadas). Pero estas son imposibles de verificar con absoluta certeza. Se puede ver en ello una especie de paralelismo con el terrorismo y las guerras del sigloXXI, que han roto los códigos de los enfrentamientos tradicionales, en los que dos bandos en orden de batalla se hacen la guerra en campo abierto. Los ataques son ahora breves, furtivos, difíciles de prever y evaluar, y requieren pocos medios para llevarse a cabo. Los atacantes son más o menos conocidos, y no siempre se sabe identificarlos formalmente, ni dónde se encuentran, lo que hace extremadamente difícil elaborar una respuesta directa. Por ello, si bien las grandes potencias históricamente enemigas, como Estados Unidos y Rusia, por ejemplo, juegan regularmente al gato y al ratón atacándose indirectamente y acusándose mutuamente de ciberataques maliciosos (ya sea justificado o no), también parece cada vez más evidente que las potencias consideradas aliadas (Francia, Alemania, Reino Unido...) se espían, o incluso se interfieren entre sí... Pero nunca se puede estar realmente seguro de ello.
Más que nunca en el mundo real, la implementación de medios de detección y respuesta ante incidentes (defensa informática – ciberdefensa) resulta aún más crucial si se quiere poder contraatacar y, en cierto modo, defenderse (contando con los medios de presión necesarios).
¿Qué límites?
Tantas sospechas o suposiciones —que distan mucho de ser descabelladas— que llevan a plantearse otras preguntas. ¿Cuáles son los límites que se impone Francia en materia de ciberguerra? Y si Francia se los impone, ¿qué ocurre con nuestros aliados o nuestros enemigos? ¿Es realmente real el riesgo de una ciberguerra o de un ciberataque a gran escala?
Al fin y al cabo, cada vez son más los estudios que señalan sistemáticamente el riesgo cibernético como el más temido, tanto en el ámbito empresarial como a nivel general. Numerosos expertos de todos los ámbitos consideran que las consecuencias de un ciberataque a gran escala tendrían un efecto más devastador que una catástrofe natural o ecológica, que un contexto geopolítico inestable o que una evolución desfavorable del mercado. La causa es la diversidad de escenarios y de posibles consecuencias de un ciberataque.
Durante muchos años, y aún hoy (aunque se haya iniciado un claro cambio de rumbo en este sentido), los expertos del sector han jugado con el miedo para concienciar sobre los riesgos cibernéticos. Si bien hoy en día se presta más atención a las ventajas empresariales de la seguridad digital que a las preocupaciones que suscita, cada vez se teme más un «Cyber-Pearl-Harbor». Pero, ¿en qué consistiría concretamente? ¿Una parada total y brutal de la sociedad? ¿La simple indisponibilidad de un servicio en línea? ¿Una guerra contra las máquinas? Se han imaginado numerosos escenarios, más o menos fantasiosos, al estilo de series como Mr. Robot, para intentar esbozar los contornos de un ciberataque a gran escala. Por lo tanto, es legítimo, como particular, preguntarse hasta dónde puede llegar un ciberataque en términos de impacto.
Más información sobre este tema:
