Como cualquier otro dominio susceptible de ser utilizado para fines militares, en el ciberespacio pueden tomarse dos tipos de posicionamientos: la ofensiva y la disuasión. Sin embargo, dada la relativa juventud del dominio cibernético, existe todavía un enconado debate entre los expertos respecto a si es o no posible aplicar las teorías clásicas de disuasión militar en él. A lo largo de las próximas intentaremos ofrecer un repaso y una explicación de las principales medidas disuasivas que pueden ponerse en práctica en el ciberespacio y de su utilidad.
La utilización del ciberespacio como uno de los dominios estratégicos en el que las grandes potencias despliegan sus acciones y la observación del potencial desestabilizador que los ciberataques pueden llegar a generar en la seguridad nacional, ha obligado a los estados a replantear las estrategias y doctrinas militares de forma acorde al desarrollo tecnológico (Curtis Lemay, 2011).
Sin embargo, pese a los avances tecnológicos, la naturaleza de la guerra en su concepción clásica (Clausewitz) no ha cambiado, y el uso del poder militar por parte de las grandes potencias sigue siendo apreciable como un acto de coacción dirigido hacia un enemigo determinado.
Pero, el poder militar no es solamente un instrumento de fuerza coercitiva orientado a obtener unos objetivos políticos determinados, sino que, también puede ser utilizado desde la vertiente que le concede su carácter amenazante.
Respecto a las amenazas provenientes del ciberespacio, los estados se han visto obligados a adoptar, tal y como hemos explicado en la entradilla, dos posibles posicionamientos, la ofensiva o la disuasión (deterrence); y dado que, una de las cuestiones más polémicas respecto a las implicaciones estratégicas del espacio cibernético como dominio es la posibilidad de aplicar en éste las teorías clásicas de la disuasión militar, el objetivo del presente artículo no es otro sino el analizar las posibilidades que existen de desplegar medidas disuasorias en el ciberespacio, dadas las características propias del dominio.
Aunque el concepto de la disuasión militar existe desde la Antigüedad (Tucídides o Sun Tzu ya hablaban de él), no fue hasta la Guerra Fría y el debate que se generó respecto a la no utilización del armamento nuclear, cuando el concepto comenzó a ser estudiado de forma intensa en Occidente.
Dado el carácter altamente destructivo del armamento nuclear desarrollado, las dos grandes potencias geopolíticas del momento (Estados Unidos y Rusia), bajo la tesis de la destrucción mutua asegurada (MAD), consideraron que era preciso establecer ciertas limitaciones sobre su utilización y aceptaron tácitamente que el nuevo armamento estaba más destinado a no utilizarse y a ejercer como condicionante disuasorio que a ser empleado de igual modo que las armas convencionales en el campo de batalla.
La disuasión se puede entender y definir de diferentes formas, ya que, en última instancia ésta se basa en las percepciones que el enemigo puede llegar a observar. Sin embargo, existe un amplio consenso en reconocer que su esencia podría definirse como: el hecho de desincentivar las intenciones maliciosas que pudiese tener un potencial agresor, mostrándole las capacidades propias y la determinación de utilizarlas para evitar una alteración del statu quo (Colom, 2020).
O, dicho de otro modo, la disuasión es el proceso por el cual un actor (en este caso un Estado) es capaz de influir en otro para que se abstenga de realizar o de mantener una determinada acción que resulta nociva para sus intereses.
Sin embargo, es preciso puntualizar que, esta influencia no puede basarse en una coacción, es decir, ha de ser el actor amenazado quien “voluntariamente”, tras percibir el alcance del poder enemigo desista de sus pretensiones, pues si hablásemos de que un actor es capaz de forzar a otro a actuar conforme a sus pretensiones estaríamos ante un acto de imposición (compellence) y no de disuasión (deterrence) (Schelling, 1966).
En este sentido, la disuasión no es más que un estudio de la relación coste-beneficios que para un estado conllevaría el actuar contra los intereses de otro, existiendo cuatro variables a observar: en primer lugar, la posibilidad de obtener un beneficio en caso de éxito; en segundo lugar, el riesgo de exposición que el actor hostil enfrenta en caso de pérdida; en tercer lugar, la probabilidad existente de que el actor que emplea la disuasión cumpla con sus amenazas y; en cuarto lugar, las probabilidad existentes de que el actor hostil sea capaz de eliminar la capacidad de represalia del disuasor (Colom, 2020).
Un actor que emplee la disuasión debe establecer una estrategia basada en tres pilares: capacidad (debe disponer de los medios necesarios para evitar que el actor rival alcance sus objetivos y para responder de forma implacable), credibilidad (la determinación para cumplir la amenaza no ha de dar lugar a dudas) y comunicación (el actor rival ha de ser consciente en cada caso de lo que supondría superar las líneas rojas que marca la política de disuasión) (Snyder, 1961).
En línea con el último de los pilares expuestos, es preciso ser conscientes de que, la credibilidad no se basa únicamente en elementos objetivos, sino que, también posee un importante carácter subjetivo, al depender, por un lado, de las percepciones individuales y privadas del adversario, y por otro, de la capacidad de persuasión del disuasor (Guthe, 2011).
Es decir, la disuasión es un proceso psicológico y su eficacia depende de las percepciones de los actores, de los objetivos planteados, de la capacidad que tienen los actores de comunicar sus visiones de forma clara y de factores sociales, culturales o psicológicos (Ermath, 2006).
Tradicionalmente, la disuasión se ha distinguido en dos tipologías: disuasión por negación (denial) y disuasión por castigo. En el primer caso, el actor que despliega la disuasión pretende hacer entender al adversario que si lo ataca no es probable que alcance sus objetivos, y que los costes, en caso de asumirlos, serán lo suficientemente elevados como para que en el balance costo-beneficio se perciba como una derrota.
Por el contrario, en la disuasión por castigo, el disuasor incide en que, de ser atacado, la respuesta será contundente y orientada a ocasionarle un daño superior al que está dispuesto a asumir (Denning, 2016).
Sin embargo, si estiramos un poco el concepto de disuasión, en base a la definición de “disuasión amplia” de Glenn Snyder, podríamos llegar a considerar que existen dos mecanismos de disuasión adicionales a los tradicionales en el ciberespacio: la disuasión por interdependencia o enredo (entanglement) y la disuasión por tabú normativo (Nye, 2017).
A continuación observaremos como podrían ser aplicados cada uno de estos mecanismos en el ciberespacio.
Disuasión por negación
En el ciberespacio, la disuasión por negación consistiría en la implementación, refuerzo e innovación de medidas defensivas destinadas a alcanzar un mayor rendimiento en ciberseguridad. Es decir, los estados marcarían una política de ciberdefensa orientada a la resiliencia y la protección.
La lógica es la siguiente: un aumento de la seguridad, conllevaría que cualquier actor que desee realizar un ataque contra objetivos de interés nacional deba invertir más tiempo y recursos en tratar de conseguir un vector de ataque adecuado.
Esto provocaría que todas aquellas amenazas a la seguridad en el ciberespacio consideradas como de entidad media o baja quedaran completamente desarticuladas al tener que asumir que el beneficio obtenido de su acción podría no ser lo suficientemente rentable en el balance coste-beneficio.
De esta forma, los recursos estatales que en condiciones previas a la disuasión se destinaban a combatir este tipo de amenazas podrán ser completamente destinados a afrontar amenazas de relevancia (Nye, 2017).
La disuasión por negación, entendida bajo este prisma, supondría por tanto que los actores hostiles consumirán sus recursos y su tiempo sin la garantía de alcanzar los objetivos propuestos, debido al elevado poder defensivo que el Estado disuasor ha sido capaz de desarrollar.
Disuasión por castigo
La disuasión por castigo en el ciberespacio resulta obvia de entender, pues, tal y como su propio nombre indica, consiste en actuar de forma punitiva contra un actor que previamente ha lanzado un ciberataque al actor disuasor.
No obstante, pese a que quizás sea el concepto más sencillo de entender, la disuasión por castigo resulta ser el mecanismo más complejo de aplicar en el ciberespacio, pues se ve afectado de forma considerable por las características propias del ciberespacio y de las ciberarmas (Nye, 2019).
Principalmente, la dificultad que entraña atribuir la autoría de un ciberataque en el ciberespacio es el hecho que complica sumamente la respuesta al mismo, y por ende, condiciona la estrategia de disuasión.
La cantidad y diversidad de posibles adversarios y la dificultad técnica que supone la atribución e individualización del actor hostil actúan como una importante barrera a la hora de que un Estado pueda llegar a imponer un castigo, pero no es la única.
Otra dificultad podemos encontrarla al observar la complejidad que tiene el alcanzar la proporcionalidad en la respuesta, pues es difícil que exista un objetivo equivalente (a ojos del Estado agresor) de forma que, la respuesta que el Estado disuasor emplee como represalia sea completamente simétrica (Lindsay, 2015).
Además, en el ciberespacio resulta cuanto menos poco recomendable aplicar el “efecto demostración” de armamento, pues si los estados mostrasen las ciberarmas de las que disponen revelarían al enemigo las vulnerabilidades que conocen de su ciberdefensa, dando pie con ello a la implementación de oportunas correcciones de software por parte del defensor (Torres, 2017).
Disuasión por interdependencia
La disuasión por interdependencia o enredo se basa en la preexistencia de unas relaciones entre el Estado disuasor y el potencial atacante, que condicionan en cierto modo el balance costo-beneficio, al entender que un ciberataque puede suponer importantes costos de carácter indirectos (Keohane & Nye, 1977). No obstante, para entenderlo más fácilmente podemos utilizar un ejemplo sencillo.
Pese a las discrepancias en política exterior y el enfrentamiento que se produce en la actualidad entre China y Estados Unidos, lo cierto es que, ambos países comparten una importante relación económica si observamos que, China ha comprado en la actualidad más de un billón de dólares de la deuda estadounidense en forma de bonos del Tesoro estadounidense.
En esta situación, si un ciberataque proveniente del gigante asiático llegase a afectar seriamente a Estados Unidos, su economía podría experimentar una fuerte contracción, afectando esto a los intereses económicos chinos. La interdependencia de relaciones entre estados competidores actuaría de esta forma como una suerte de mecanismo de disuasión.
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
Be the first to comment