Hora de hablar de las operaciones cibernéticas ofensivas estatales

Los Estados vienen desarrollando capacidad cibernética defensiva como herramienta de inteligencia para recabar información o para proteger las redes, evitando impactos en sus infraestructuras críticas. Sabemos menos de sus capacidades para adelantar operaciones cibernéticas ofensivas. Tales capacidades son armas de guerra apetecidas porque no se perciben como violentas. Eso sí, se han desarrollado en secreto, aunque ya empieza a saberse algo.

En 2018, tras conocerse públicamente la capacidad del gobierno australiano para llevar a cabo operaciones cibernéticas ofensivas, se publicó un informe que fue pionero en explicar cómo un Estado se enfrenta a estas capacidades. Allí definen las operaciones cibernéticas ofensivas como operaciones de manipulación, denegación, perturbación, degradación o destrucción de computadores, sistemas de información o redes seleccionadas como objetivo.

El informe indica que, para entonces, decenas de Estados usaban operaciones ofensivas cibernéticas, con unidades cuyas capacidades, tanto como su cumplimiento del derecho internacional, varían considerablemente. El texto ofrecía ejemplos de uso: China había sido acusada de robar enormes cantidades de propiedad intelectual, mientras que Corea del Norte usó estas capacidades para robar dinero —dicen que tomó 81 millones de dólares del Banco Central de Bangladesh—. Rusia fue acusada de usarla para influir en las elecciones presidenciales estadounidenses de 2016, apagar centrales eléctricas en Ucrania y derribar sitios web gubernamentales en Georgia y Estonia. Se sospecha que Israel usó una operación cibernética en conjunción con su bombardeo de un reactor nuclear sirio en 2007, «engañando» temporalmente a una parte del sistema de defensa aérea de Siria para permitir que sus aviones de combate entraran en Siria sin ser detectados.

Las autoridades australianas hablan de cumplir la legislación nacional e internacional. Indica el informe que sus actividades se rigen por cuatro principios básicos: (a) necesidad: garantizar que la operación es necesaria para lograr un objetivo militar o policial legítimo; (b) especificidad: garantizar que la operación no sea indiscriminada en cuanto a quién y qué se persigue; (c) proporcionalidad: garantizar que la operación es proporcional a la ventaja obtenida; y (d) daño: considerar si un acto causa más daño del necesario para lograr el objetivo militar legítimo.

El documento cierra con varias recomendaciones para los Estados, con base en la experiencia australiana. De ellas, resalto que el Estado debe comunicar mejor sus capacidades para asegurar credibilidad y que se debe considerar actualizar el marco jurídico.

Más recientemente, el propio Reino Unido publicó el texto “Responsible Cyber Power in Practice”, en él se habla de la National Cyber Force (NCF), que opera en el ciberespacio para proteger los intereses nacionales y responder a amenazas a la seguridad. La NCF, creada en 2020, forma parte de la Estrategia Nacional de Ciberseguridad del Reino Unido (NCS). Su misión es proteger al país de amenazas cibernéticas y garantizar que el Reino Unido siga siendo una potencia cibernética responsable y democrática. Se indica que tiene capacidad de llevar a cabo operaciones cibernéticas ofensivas para contrarrestar adversarios que utilicen el ciberespacio para causar daño.

El documento señala lo evidente: “El ciberespacio y la tecnología digital son una parte fundamental de la vida cotidiana. Son fundamentales para comunicarnos entre nosotros, comprender lo que ocurre en el mundo, hacer negocios y disfrutar del tiempo libre. También son fundamentales para el funcionamiento de los gobiernos y las fuerzas armadas de todo el mundo”. E inmediatamente después apunta a que esa transformación digital es aprovechada también por actores estatales malintencionados, crimen organizado y terrorismo, que pueden usar el ciberespacio para campañas de desinformación, interferencias en procesos democráticos y ataques a infraestructuras críticas.Para contrarrestar esas amenazas, la NCF usa activamente operaciones cibernéticas. Dicen que son operaciones precisas, calibradas y responsables para influir en el comportamiento de los adversarios al debilitar su confianza en sus sistemas digitales, interrumpir sus comunicaciones y afectar su capacidad de llevar a cabo actividades dañinas.

Se listan tres principios guía de las actividades: (a) responsabilidad: operan según las leyes nacionales e internacionales; (b) precisión: las acciones son cuidadosamente planificadas y ejecutadas para lograr objetivos específicos; y (c) calibración: se evalúan continuamente los efectos de las operaciones y se ajustan según sea necesario para evitar una escalada innecesaria. Además, señalan la importancia de la transparencia y la rendición de cuentas para asegurar la confianza pública en las operaciones. Menciona como retos la rápida evolución de la tecnología digital, la necesidad de personal capacitado y la medición del impacto de las operaciones. Señala que la NCF busca escalar sus capacidades y que, en el futuro, integrará ciberoperaciones con otras áreas del gobierno y aliados internacionales.Estos documentos son excepcionales, pues cuesta trabajo encontrar información pública sobre las capacidades ofensivas. En estos, reconocen que las tienen y explican cómo las usan. Sería bueno que en Colombia las autoridades locales se inspiraran para indicar si tienen esas capacidades, o si las van a desarrollar y —sobre todo— cómo las piensan usar en el marco legal.