Autor: Mariana P. Torrero para Ciberprisma

La legislación que promovería la competencia con China, en medio de las preocupaciones sobre la cadena de suministros global

El desarrollo, inversión y robustecimiento de las competencias en materia de ciberseguridad y ciberdefensa tanto en el sector público como privado, no logran evitar los cada vez más frecuentes, complejos y dañinos ciberataques.

Un nuevo proyecto de ley podría ser el primer paso para que las empresas puedan «atacar» a los ciberagresores, pero hacerlo podría conllevar grandes riesgos, dicen los expertos (Williams, B.D., 2021).

Qué es el HACK-BACK?

HACK-BACK o devolver el hackeo, consiste en la acción de emplear la fuerza cibernética para contener el ciberataque de un agresor en un contexto de legítima ciberdefensa. A diferencia de la legítima defensa a nivel personal en este caso los defensores serían personas jurídicas y empresas. En la actualidad las empresas se defienden mediante un conjunto de medidas activas y pasivas que tienen armado para detectar, contener, mitigar o evitar ciberataques, sin embargo todas esas medidas son de tipo defensivo y no buscan atacar al agresor para neutralizarlo, sino que están dirigidas a minimizar sus efectos. Asimismo, las empresas se están planteando la posibilidad de diseñar políticas específicas de ciberdisuasión que aumenten a los atacantes el coste de atacar a empresas.

El debate sobre el hack-back cibernético en empresas es aún incipiente y podría resultar en diversas formas de respuesta como por ejemplo:

  • Capacidades públicas de ciberseguridad encargadas de ejercer una ciberdefensa legítima mediante acciones de hack-back sobre ciberatacantes,
  • Capacidades privadas de ciberseguridad preparadas para que las empresas actúen ofensivamente de acuerdo a las condiciones legales que se establezcan, inclusive como una combinación de capacidades público-privadas como ya se dan en el ámbito de la protección de infraestructuras críticas.

El proyecto de ley presentado por el congresista Tom Graves en la Cámara de Representantes de los Estados Unidos denominado Active Cyber Defense Certainty Act, Ley de Certidumbre de Defensa Cibernética Activa, tiene como fin establecer las bases legales para el hack-back, que instruye al Departamento de Seguridad Nacional a estudiar las «consecuencias y beneficios potenciales» de permitir que las empresas privadas contraataquen después de los ataques cibernéticos. En 2017 a partir del ataque global del malware destructivo WannaCry a Estados y empresas (Estados Unidos imputó este ataque a Corea del Norte) se retomó el debate sobre la ciberdisuasión (Montero, A., 2018).

No solo senadores sino también asesores legales militares, le piden a Estados Unidos que revise su política sobre operaciones cibernéticas ofensivas militares, en particular en respuesta a los crecientes ataques de ransomware dirigidos a los sectores público y privado.

Por otra parte, los senadores Sheldon Whitehouse y Steve Daines presentaron un proyecto con el propósito de exigir que el Departamento de Seguridad de los Estados Unidos (DHS) estudie el informe sobre los riesgos y beneficios de permitir que las organizaciones privadas pirateen a los agresores cibernéticos,»sujeto a la supervisión y regulación de una agencia federal designada».

Este proyecto de ley bipartidista (S. 2292-) presentado el 24 de junio de 2021 requeriría que el DHS evalúe los beneficios y riesgos potenciales de permitir que las entidades privadas realicen ‘hack back’. El S. 2292 se cita como el “Estudio sobre la Ley de opciones de respuesta a ataques cibernéticos”.

Asimismo, la Cámara de Representantes de Estados Unidos aprobó el viernes 4 de febrero de 2022, por un escaso margen, la Ley de Competencia de Estados Unidos, un proyecto de ley multimillonario destinado a aumentar la competitividad tecnológica del país, en medio de conflictos partidistas y una fuerte oposición del Partido Republicano. Sin embargo, el Senado aprobó su propio proyecto, la Ley de Innovación y Competencia de Estados Unidos, en junio de pasado. Ambas Cámaras deben aprobar una versión de compromiso antes de enviar el proyecto de ley a la Casa Blanca para la firma del presidente estadounidense, Joe Biden.

Ley de Innovación y Competencia Estadounidense (USICA) fue aprobada en el Senado en junio de 2021, pero aún no ha recibido un voto en la Cámara de Representantes.

Es posible que la estancada Ley de Innovación y Competencia Estadounidense pudiera agregarse a la Ley de Autorización de Defensa Nacional. De ser aprobado, el proyecto recibiría un financiamiento de 190.000 millones de dólares dirigidos a sectores de competencia con China, como la producción de semiconductores, tecnología de seguridad y entrenamiento de la fuerza laboral. La iniciativa incluye también sanciones automáticas a las compañías chinas que cometan actos de robo de propiedad intelectual o ataques cibernéticos en Estados Unidos.

La agencia Reuters informó que China está trabajando activamente contra el proyecto de ley, con cartas a los ejecutivos de Estados Unidos para que intercedan ante el Congreso para alterarlo o abandonarlo (Voz de América, 2021).

DISUADIR O DEFENDER

El ciberespacio tiene peculiaridades propias que afectan a la legalidad y legitimidad de las acciones de respuesta a los ciberataques, tanto de los Estados encargados de preservar la seguridad nacional como así también de los actores privados responsables de proteger sus intereses económicos. La mayor parte de los países ya cuentan con mandos militares de ciberdefensa, para actuar en situaciones de conflicto bélico y con agencias de ciberseguridad encargadas de proteger el funcionamiento diario de los servicios públicos y las infraestructuras críticas. Las empresas, por su parte, también han trabajado en el desarrollo e incorporación de sistemas propios de autoprotección.

Existe por ejemplo, el caso de la OTAN que elaboró una doctrina específica para incorporar operaciones militares ciberofensivas en la defensa colectiva de los Estados Miembros de la Alianza Atlántica (The Role of Offensive Cyber Operations in NATO’s Collective Defence). Además, frente a la resistencia que presentan las ciberamenazas avanzadas ante la defensa reactiva actual, como forma de desarrollar una protección adicional de los Estados, tanto la ciberseguridad como la ciberdefensa de los mismos se están orientando hacia la ciberdisuasión, hacia la articulación de bases legales y de protocolos y recursos operativos que incluyan medidas tanto defensivas como ofensivas para hacer desistir a potenciales atacantes. Esa ciberdisuasión está orientada a desarrollar una gran diversidad de soluciones muchas de ellas adaptadas de la disuasión propia de la realidad analógica, que van desde la Cyber Diplomacy Toolkit de la Unión Europea con posibilidad de aplicar sanciones a países sobre los que se pueda realizar una atribución de apoyo de ciberataques; pasando por la disposición de nuevos mecanismos legales –por ejemplo en el Congreso de EEUU – para sustanciar de modo jurídico capacidades de ciberdisuasión; hasta llegar a las reflexiones en el denominado Cibersecurity Package de la Unión Europea sobre “crear una respuesta europea de ley penal y de ciberdisuasión para proteger mejor a los ciudadanos, empresas e instituciones de Europa”.

A pesar de todas las propuestas, tanto la ciberdisuasión como cualquier acción ofensiva de respuesta en el ámbito cibernético se están encontrando con la dificultad de atribuir la autoría del ciberataque con la necesaria precisión. Sin una clara atribución es difícil responder con la fuerza de sanciones, de la ley penal o con ciberataques regulados tanto por presupuestos militares como de seguridad interior.

El problema principal de la atribución de una agresión de carácter cibernético está en que, frente a los ciberataques más graves, los agresores son por lo común actores no directamente estatales y su definición como agresores presenta contornos difusos. En ocasiones se apoyan por Estados hostiles sin integrarse en estructuras estatales y su adscripción a ellas requiere de complejos procesos de investigación para obtener evidencias de atribución.

La situación más común es que combinen ciberataques en favor de algún Estado con ciberataques destinados a prácticas más puntualmente cibercriminales, conformando amenazas híbridas. Un escenario más complejo se da también cuando la mayoría de los ataques de esas ciberamenazas avanzadas con apoyo estatal más o menos explícito están dirigidos a los sistemas económicos de otros países, a empresas y tecnologías, sobre las que tienen objetivos de ciberespionaje o sobre las que ocasionan un daño para servir a intereses estratégicos del país que sustenta el ciberataque (Montero, A., 2018).

Las fuerzas de seguridad emplean tecnología para investigar y desarticular estructuras cibercriminales y las unidades encargadas de la ciberdefensa pueden contener los ciberataques, pero ni en uno u otro caso tienen facultad para aplicar fuerza defensiva sobre el agresor. Podría decirse que esta situación se asemeja a la adaptación que hubo que enfrentar ante las amenazas analógicas del terrorismo y del crimen organizado.

Estas complejas amenazas provocaron la necesaria reconversión de mecanismos policiales reactivos y diseñados para la investigación post-facto de delitos con el fin de desarrollar dispositivos ágiles de inteligencia preventiva y prospectiva destinados no sólo a desarticular bandas terroristas y criminales sino a negarles espacio de operaciones y aumentarles el coste de sus actividades ilícitas. Esto llevó a la combinación de medidas tradicionales de seguridad defensiva y de investigación policial con procedimientos propios de los servicios de inteligencia y, en numerosos escenarios internacionales, con la combinación de la acción de capacidades militares de operaciones especiales.

NUEVAS ACCIONES

Los Estados y las empresas desarrollaron sistemas, en especial defensivos, frente a los ciberataques recibidos. El planteo ahora está en realizar acciones ofensivas contra los sistemas tecnológicos de esas empresas, robar información de alto valor (ciberespionaje), destruir sus datos o distorsionar sus procesos críticos. Los Estados y las empresas desplegaron y robustecieron sus capacidades de ciberseguridad y de ciberdefensa, pero no logran, muchas veces,  impedir ciberataques cada vez más sofisticados y dañinos.

En algunos casos, los Estados están considerando o incluyendo directamente en sus estrategias nacionales de ciberseguridad capacidades de disuasión ofensiva (deterrence by punishment) como parte de medidas adicionales a la defensa reactiva a fin de contenerlas operaciones de las ciberamenazas. Ante este contexto se plantea si las empresas también podrían adoptar mecanismos y procedimientos de defensa ofensiva activa que sean útiles y no contraproducentes pero sobre todo legales y legítimos.

El derecho a la autodefensa de los Estados está reconocido y regulado. Frente a una agresión armada las fuerzas militares tienen laposibilidad de desplegar las medidas de fuerzas necesarias y proporcionadas. No obstante, el tema se complejiza cuando la agresión no es militar directa ni se realiza por Estados, caso de las agresiones llevadas a cabo por los grupos terroristas como al-Qaeda o el Estado Islámico ode amenazas hibridas en las que participan actores no estatales. Para estos casos, los Estados están desarrollando sistemas de respuesta híbrida en los cuales combinan instrumentos policiales y judiciales con acciones militares, actuaciones preventivas y reactivas, ofensivasy defensivas.

CUÁL ES EL RIESGO DEL HACK-BACK?

Los peligros de la ciberseguridad ofensiva

El hack-back despertó muchas reacciones desde diferentes ámbitos del conocimiento, sobre todo haciendo hincapié en la cautela de su implementación y advirtiendo el riesgo de que esta medida pueda convertirse en un “salvaje ciber-oeste”. Entre las objeciones más frecuentes, se puede mencionar la de que dejar el uso de la fuerza en manos privadas incentiva la violencia. No obstante, también se sostiene que la disponibilidad de una capacidad de legítima autodefensa en las empresas no tiene por qué fomentar la violencia si está estrictamente regulada.

La formalización potencial del hack-back requiere mucha reflexión jurídica. Dentro de las dificultades, se pueden destacar la complejidad actual de realizar atribuciones precisas sobre el origen de un ciberataque, lo que trastoca directamente la legitimidad de una defensa por la fuerza; o la dificultad de la necesaria inmediatez para que la fuerza ejercida por un defensor contra un atacante sea considerada legítima y no punible.

En la mayoría de los países, las reglamentaciones actuales prohíben que las empresas y las personas realicen piratería. Solo unas pocas agencias gubernamentales seleccionadas tienen la autoridad para perseguir a los ciberdelincuentes sospechosos de esta manera. Esto se debe a que la adopción de un enfoque ofensivo tiene riesgos que pueden ser inaceptables, o incluso ilegales, si no se lleva a cabo con extrema precisión, como un ataque militar físico.

El principal problema de lanzar un ataque ofensivo es asegurarse de que no sea un error.

Una ciberofensiva en toda regla podría tener efectos comparables en escala a los de una guerra convencional o una bomba nuclear. Por ejemplo, una empresa podría apuntar accidentalmente a una infraestructura crítica porque cree que el ataque que está experimentando se origina en ella. Una ofensiva cibernética equivocada podría generar venenos en el suministro de agua o una pérdida masiva de energía. Además, las ramificaciones de un “golpe” inapropiado podrían justificar una escalada que muchas organizaciones no están preparadas para enfrentar técnica y legalmente.

Para finalizar, es interesante mencionar las posturas tanto de Jen Ellis (defensora de la seguridad cibernética y coordinadora de la comunidad enRapid7) como de Dirk Schrader (vicepresidente global de investigación de seguridad en New Net Technologies (ahora parte deNetwrix)) quienes creen que, en lugar de atacar a los atacantes, el camino a seguir debería ser mejorar las defensas. Schrader agrega la necesidad de mejorar la cooperación internacional en la aplicación de la ley transfronteriza.

“Los esfuerzos dirigidos a aumentar la resiliencia cibernética del sector privado, de las infraestructuras nacionales críticas y la administración son mejores enfoques, combinados con el esfuerzo internacional para armonizar la ilegalidad del delito cibernético en todo el mundo y formar alianzas que permitan resoluciones rápidas. De igual modo, las acciones policiales para hacer frente a cualquier tipo de delito cibernético, incluida la explotación sexual de niños, el compromiso de correo electrónico comercial, el malware y todas las demás formas”, Dirk Schrader.

En lugar de retroceder, dice Ellis:

“Las organizaciones tal vez deberían centrarse en la capacitación de concientización del usuario, reducir su exposición a ataques, administrar el riesgo de la cadena de suministro, segmentación adecuada, parches, administración de acceso a la identidad y todas las demás cosas que componen un programa robusto de defensa en profundidad y que con frecuencia vemos fallar”.

El mundo actual hiperconectado vive en un estado de ciberagresión permanente. Los contendientes no son actores directamente estatales, sino configuraciones dinámicas, cambiantes y adaptables de actores que en ocasiones sirven a intereses estratégicos, geopolíticos o económicos de algunos Estados.

La realidad híbrida del presente está provocando una carrera acelerada por generar nuevos conceptos de seguridad y defensa. Entre estos nuevos conceptos podría estar el derecho a la legítima ciberdefensa por parte del conjunto de victimización más perjudicado por la ciberguerra económica: el colectivo de empresas estratégicas y de infraestructuras críticas. Sin embargo, no solo habrá que desarrollar un nuevo concepto, sino que también su posible desarrollo que podría implicar nuevas nociones de técnico-jurídicas combinadas con protocolos muy precisos y estudiados de tácticas, procedimientos y tecnologías para asegurar que una respuesta de fuerza cibernética por parte de una empresa agredida es necesaria, proporcional, oportuna y sin intención de producir daño, es decir, legítima.