Ciberataques: atribución y la respuesta del derecho internacional

Ciberataques

1. Introducción.

Una de las preguntas clave que nos hacemos ante cualquier confrontación entre dos o más Estados es ¿quién ha empezado? Ante un ataque terrorista nos preguntamos ¿quién ha sido? Estas preguntas se producen por nuestro deseo inherente de saber con certeza quién ha sido el culpable de una guerra o de la pérdida de vidas humanas con el objetivo último de poder denunciar ante las instancias pertinentes al infractor y conseguir de esa manera que se haga justicia.

No obstante, ante los nuevos escenarios tecnológicos surgen dudas respecto al nivel de certeza que puede haber al atribuir comportamientos lesivos a Estados. Ciertamente, el ciberespacio está ganando protagonismo y ha abierto un escenario en el que los ataques que se realizan a través de este nuevo dominio son capaces de oscurecer y engañar haciendo cada vez más difícil responder con seguridad a las preguntas ¿quién ha empezado? o ¿quién ha sido?

A lo largo de este trabajo se va a ver la dificultad (que no imposibilidad) de conseguir atribuir un ciberataque a una entidad estatal, presupuesto necesario para poner en funcionamiento las herramientas que el derecho internacional posee a la hora de lidiar con las violaciones de las obligaciones de los Estados.

2. Proceso de atribución.

A pesar de la dificultad para llevar a cabo la atribución de los ciberataques, existen durante todas las fases del proceso del ataque cibernético, algoritmos, programas y huellas que permiten a los expertos extraer pruebas y descubrir indicios que son luego analizados en conjunto para llegar a una conclusión que ciertamente, en muchos casos, roza la especulación.

Los ciberataques suelen estar divididos en tres grandes fases: el reconocimiento, la infiltración y la exfiltración o la continuación del acceso. En la primera de las fases, el reconocimiento, el atacante trata de conseguir la mayor cantidad de información posible de su objetivo, desde la información de las redes, sus sistemas de seguridad (firewalls, antivirus, sistema de contraseñas, etc…) además de información personal que pueda dar algún indicio de vulnerabilidad. La segunda fase, la infiltración, es el núcleo del ciberataque y permite al agresor tener acceso a los servidores de la víctima para en una última fase cumplir con su objetivo y, dependiendo de éste, acabar la conexión existente o dejar la abierta la posibilidad de conseguir de nuevo un acceso en el futuro a través de lo que se conoce como “backdoor”.

Como ya se ha demostrado en varias ocasiones existe la posibilidad de unir un ataque cibernético a un individuo u organización determinada mediante un exhaustivo proceso de investigación de la intrusión. La empresa FireEye señaló en su informe “Digital breadcrumbs” (FireEye, 2013) la existencia de una serie de elementos que dan indicios sobre la autoría de un determinado ataque. Entre estos elementos encontramos: la configuración del teclado, metadatos dentro del malware que indique el lenguaje del creador, el tipo de fuente en los correos electrónicos, el registro DNS o la configuración de los RAT (Remote Access Tool).

Como he señalado anteriormente, durante la fase de infiltración el agresor se va a introducir en los servidores y las redes de la víctima y por ello ese contacto va a dejar un rastro que tendrá que ser analizado por los técnicos con el objetivo de conseguir el mayor conocimiento posible del procedimiento. No obstante, tal y como ocurre en el resto de dominios bélicos, en el ciberespacio también se pueden dejar pistas, algoritmos o indicios cuya finalidad sea la de confundir a los técnicos para que se realice un análisis equivocado que apunte a un responsable diferente del real.

Por ejemplo, se podría dar el caso de un atacante X lleve a cabo una suplantación de la IP de un usuario legítimo Y, que llevara a los investigadores a creer que la fuente real del ataque fue Y y no X lo que desvirtúa de forma completa la investigación y, con ello, la conclusión. Por ello, todas las pruebas e indicios deben ser analizados con el mayor cuidado y sopesando mucho todas las posibilidades.

En los ciberataques las pruebas anteriormente mencionadas que se puedan obtener tienen que ser puestas en un contexto político, es decir, no basta con extraer IPs o hacer ingeniería inversa sino que se tienen que coordinar con otras fuentes de inteligencia y analizar el ambiente político para entender dónde pudo originarse el ataque. En este sentido, hay que hacer referencia a dos ataques, los llevados a cabo contra el Comité Nacional Demócrata y contra Sony Pictures, en ambos casos, los motivos políticos han tenido un peso importante a la hora de atribuir los ciberataques. El hecho de que a Rusia le interese el resultado de las elecciones en EEUU y que Corea del Norte considerase ofensiva una película a punto de estrenar por Sony fueron elementos determinantes que ayudaron junto con los datos adquiridos por el análisis de los ataques a atribuir a Rusia y a Corea del Norte las intrusiones.

3. La atribución como paso previo.

En Derecho Internacional, la atribución es un paso previo y obligatorio a la hora de iniciar cualquier tipo de acción. Como en cualquier sistema legal interno, la acción debe estar dirigida de forma clara contra aquel sujeto que ha violado una obligación legal.

Si acudimos al artículo 2 del Proyecto de artículo sobre responsabilidad internacional del Estado por hechos ilícitos señala que:

Hay hecho internacionalmente ilícito del Estado cuando un comportamiento consistente en una acción u omisión:

a) Es atribuible al Estado según el derecho internacional”

Se debe establecer un nexo claro entre la conducta que se califica como agresión y un sujeto que lleva a cabo la conducta. Establecer la responsabilidad del acto es condición sine qua non para poder recurrir a la figura de la legítima defensa o para exigir la responsabilidad internacional de un Estado.

El elemento crítico que en muchos casos complica la atribución es la dificultad de conocer la identidad real y la afiliación de un sujeto particular. En este sentido “Si algo hay que tener en cuenta, en este caso, es la dificultad que existe en poder llevar a cabo la atribución de forma directa a un país en el ámbito de la ciberseguridad. Por lo general, es muy difícil conocer con exactitud de dónde procede el ataque, dadas las posibilidades existentes a día de hoy para encriptar, anonimizar y dificultar el seguimiento de las huellas. […] ¿Es ese hacker un individuo que actúa “según las instrucciones o bajo el control efectivo” del Estado acusado del ciberataque de acuerdo con lo establecido en la Sentencia sobre las actividades militares y paramilitares en y contra Nicaragua?”

Hay que hacer mención aquí a varias empresas privadas de ciberseguridad que en los últimos años han llevado a cabo la tarea de analizar diversos ciberataques y que han atribuido los mismos a una serie de grupos que con mayor o menor certeza han sido conectados con las estructuras militares de sus países. Me refiero esencialmente a la empresa Mandiant y la empresa Crowdstrike que publicaron respectivamente “APT-1, desenmascarando una de las de la unidades chinas de ciberespionaje” (Mandiant, 2013) y “En medio de osos: Intrusión en el Comité Nacional Demócrata” (Crowdstrike, 2016). En ambos informes las empresas atribuyeron a China y Rusia una serie de ciberataques. Mientras que en el caso ruso Crowdstrike señala que hay indicios de que los grupos detrás de la intrusión son cercanos a los Departamentos de Inteligencia, en el caso de Mandiant se acusa directamente a una unidad militar china de llevar a cabo los ataques lo que supone un factor clave a la hora de responder con medios legales a los ciberataques.

4. Factores que van a condicionar la respuesta a un ciberataque.

Al sufrir un Estado un ciberataque, la respuesta va a estar condicionada por una serie de variables:

– ¿Es factible la atribución? Si lo es, ¿qué grado de certeza se tiene a la hora de atribuir dicho ciberataque?

Como hemos visto anteriormente, la atribución es una condición sine qua non para que puedan iniciarse acciones contra otro Estado y dicha atribución no es un proceso fácil. El grado de certeza que se tenga va a influir de forma notable en las acciones puesto que los Estados no actúan en el vacío. Las acciones que se vayan a ejercer tienen que ser explicadas a la opinión pública nacional y también a la Comunidad Internacional. En ambos casos, las conclusiones deben ser lo suficientemente claras y evidentes para que haya un mínimo de apoyo. Cuanta mayor presión se quiera poner sobre el Estado responsable del ciberataque más evidente tiene que ser la incriminación. Más adelante se verá la posibilidad de que un Estado pueda emplear la fuerza armada como respuesta a un ciberataque, en este caso el Consejo de Seguridad de Naciones Unidas va a jugar un papel determinante a la hora de legalizar la legítima defensa y será necesaria una incriminación clara para que éste permita el ejercicio de acciones militares contra otro Estado.

– ¿Cuáles son las capacidades que se poseen?

Las capacidades que posea un Estado van a determinar de forma definitiva cuáles son las acciones que éste pueda tomar cuando se ha sido víctima de un ciberataque. Cuanto más débil y menos influencia se tenga más se cerrará el abanico de posibilidades abiertas a dicho Estado.

– ¿Cuál ha sido el daño causado?

No todos los ataques son iguales, por ejemplo, en el caso del ciberataque a Sony Pictures Entertainment y en el del ciberataque a la Convención Nacional Demócrata el resultado final fue el del robo de información privada para su posterior difusión. No obstante, es del todo evidente que en el primer caso el afectado fue un grupo corporativo privado y en el segundo se trata del órgano político de uno de los principales partidos en un momento de transición política en EEUU. El primer caso provocó daños económicos y el segundo pudo influir en el escenario político, lo que ha llevado a señalar que se podría tratar de una violación del principio de no intervención consagrado en la Resolución 2625 de Naciones Unidas.

En el hipotético caso de un ataque que provoque víctimas mortales, daños materiales o que afecte a las fuerzas armadas o a la estructura de un Estado la respuesta se incrementaría exponencialmente con el aumento de los daños pudiendo iniciarse incluso acciones armadas.

5. La respuestas disponibles en Derecho Internacional.

A efectos expositivos he dividido las respuestas que da el derecho internacional en dos grupos: aquellas que no implican el uso de la fuerza y las que sí recurren a la fuerza armada. El análisis de las posibilidades se hará de menor a mayor gravedad del ataque.

En cuanto al primer caso me referiré a dos posibilidades, la de exigir la responsabilidad internacional al Estado y la de iniciar contramedidas.

La responsabilidad internacional de los Estados es una consecuencia bien establecida dentro del derecho internacional, implica que cualquier hecho ilícito cometido por un Estado en contravención de sus obligaciones internacionales genera la responsabilidad y la obligación de reparar el daño causado. Como establece el art. 2 del Proyecto de artículos sobre responsabilidad internacional del Estado, existe un hecho ilícito cuando un comportamiento consistente en una acción u omisión es atribuible al Estado y constituye una violación de una obligación internacional (Naciones Unidas, 2001).

Habiendo atribuido un ciberataque y habiendo alegado la quiebra de una obligación (p. ej. el principio de no intervención, un tratado o una costumbre) se podría exigir la reparación del daño mediante el castigo de los culpables, la indemnización o la verificación del hecho ilícito.

Otra posibilidad que no llevaría a recurrir a la fuerza armada sería la de iniciar contramedidas. Se trataría de un conjunto de acciones lícitas pero perjudiciales que podría llevar a cabo el Estado que ha sido víctima de un ciberataque contra el Estado autor del mismo. Hay que tener presente que estas contramedidas deben ser proporcionales, reversibles y se debe comunicar al Estado autor del hecho ilícito que cese en sus actividades (Díez de Velasco Vallejo, 2012).

Entre estas medidas encontramos las sanciones, la expulsión de diplomáticos o la llamada a consulta del Embajador. Incluso se podrían tomar contramedidas en el ciberespacio como suspender las telecomunicaciones o bloquear las direcciones IP de un determinado país, así como realizar el mismo ataque cibernético o intentar hackear a los culpables si es que existe tal grado de certeza.

Finalmente, se va a analizar la posibilidad de que un ciberataque fuerce a otro Estado a iniciar acciones armadas contra el autor.

Dentro de la Carta de las Naciones Unidas encontramos 2 situaciones en las cuales el empleo de la amenaza o del uso de la fuerza está permitido. La primera es con el consentimiento del Consejo de Seguridad y la segunda, y la que aquí nos interesa, es la de la legítima defensa.

Según el artículo 51 de la CNU “Ninguna disposición de esta Carta menoscabará el derecho inmanente de legítima defensa, individual o colectiva, en caso de ataque armado contar un Miembro de las NU”. ¿Es posible que un ciberataque sea considerado como un ataque armado? A mi juicio, sí.

Si se ha demostrado que los ciberataques pueden infectar infraestructuras críticas o que pueden hacerse con el control de UAV, imaginémonos que el virus Stuxnet que infectó las centrifugadoras iraníes pudiese hacer lo mismo en una central nuclear causando una explosión en el reactor y provocando un gran número de víctimas mortales y de daños materiales y medioambientales. ¿No podría producir el mismo resultado que si en vez de un virus hubiese sido un misil? El resultado es el mismo y por lo tanto, la respuesta puede ser la misma.

El ejemplo anterior supondría un claro ataque armado y con ello activaría la posibilidad de ejercitar la legítima defensa siempre y cuando ésta fuese proporcional, inmediata y necesaria. Dicha legítima defensa podría ser ejercida tanto en los dominios bélicos tradicionales (tierra, mar, aire y espacio) como en el propio ciberespacio.

Como se ve, a pesar de la novedad del ciberespacio, el derecho internacional es capaz de dar salida a la introducción de nuevas tecnologías. No hay que caer en el error de creer que porque una tecnología es nueva el derecho ya establecido no se le aplica, dando la impresión de que el ciberespacio es un espacio sin ley.

6. Conclusión.

La atribución es, por lo tanto, el elemento crítico necesario para ejercer cualquier respuesta ante un evento de estas características; no obstante, mientras que en otro tipo de incidentes armados, se puede acotar con relativa facilidad el causante del daño o del ataque, en el caso del ciberespacio la anonimidad, la amplitud de la superficie de ataque, la capacidad para iniciar las acciones desde diversos puntos del globo, la facilidad para encubrir la existencia de una cadena de mando, todo ello dificulta el análisis de los ataques, dando al Estado agresor la posibilidad bien de escapar a cualquier responsabilidad o bien de lanzar sobre la acusación un manto de dudas que le ayude a cubrir el evento de una negación plausible que le permita escapar a cualquier acción punitiva.

No obstante, ante una eventual atribución del ataque, el derecho internacional pone a disposición de los Estados una serie de acciones para responder al mismo, la herramienta elegida por cada Estado dependerá tanto de las capacidades del mismo como de las características del ciberataque.

También puede interesarte:

Hackeo de la Convención Demócrata.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *