Hack-Back: ¿legítima ciberdefensa en empresas?

por Andrés Montero; publicado el 11 de octubre de 2018 por el Real Instituto Elcano

Con los antecedentes sobre la legítima defensa a la vista

Si exceptuamos las agresiones en escenarios de conflicto definidos militarmente, donde el empleo de la fuerza armada para defenderse se rige por reglas de enfrentamiento en marcos legislativos que podríamos denominar como excepcionales, en el ámbito regulado por leyes de naturaleza civil las respuestas defensivas con la fuerza ante una violencia recibida están muy tasadas.

En el ámbito de los Estados, el derecho a la autodefensa está ampliamente reconocido y regulado. Desde la legalidad internacional, a los países se les reconoce internacionalmente el derecho a desplegar medidas de fuerza necesarias y proporcionadas si reciben una agresión ilegítima y cada Estado, en su ordenamiento jurídico interno, dispone los mecanismos necesarios para declarar formalmente las situaciones en las que se activarán medidas militares defensivas u ofensivas ante un ataque por la fuerza. Eso por lo que respecta a amenazas armadas que pueden ser identificadas como actuadas por otros Estados. La cuestión no obstante se complica más cuando la agresión a un país se lleva a cabo por atacantes que no están formalmente adscritos a Estados, por ejemplo organizaciones terroristas, en donde las respuestas legítimas de los Estados comienzan generalmente por postulados y medios de defensa de la ley y pueden extenderse hacia el uso de fuerzas militares: la lucha contra Al-Qaeda o el Estado Islámico son ejemplos de amplios sistemas de respuesta híbrida ante amenazas armadas que combinan mecanismos policiales y judiciales (defensa de la ley) con acciones militares ofensivas internacionales.

En cuanto a la defensa que se prevé en el interior de los Estados para que las Fuerzas de Seguridad o los propios ciudadanos puedan defenderse ante violencia lesiva, directa e inminente, en la mayoría de países de nuestra tradición jurídica, así como en la anglosajona aunque con muchas particularidades en EEUU, el uso legítimo y legal de la fuerza civil para resolver conflictos está limitado al cumplimiento de unas condiciones legales estrictas. Los Cuerpos de Policía pueden utilizar la fuerza en el contexto de esas condiciones y así mismo los ciudadanos. En el primer caso de los Cuerpos de Policía, la fuerza se emplea bajo protocolos regulados generalmente para el mantenimiento del orden público o el aseguramiento de escenarios de riesgo; y tanto en los supuestos de Cuerpos de Policía como en la ciudadanía general, la fuerza se aplica para ejercer el derecho a la legítima defensa, que no es otra cosa que el uso limitado –inmediato y proporcionado- de la fuerza para evitar un daño lesivo a ejercer por un atacante que emplea la violencia contra quien se defiende o contra terceras personas.

La legítima defensa ante una agresión no se puede prever, sino que es una realidad jurídica que aparece, que se configura a posteriori, después de que se haya producido ejercicio de la fuerza por un defensor para resolver una situación de conflicto siempre y cuando esa fuerza se haya ajustado a unos parámetros muy limitativos. Es decir, la legítima defensa siempre es posterior a la agresión. No obstante y continuando con las respuestas ante la violencia que a nivel interno de los Estados se considera legítimo que articulen tanto Fuerzas y Cuerpos de Seguridad como ciudadanos, queda la opción de la disuasión: mostrar suficientes elementos de fuerza de protección que un atacante tenga que hacer una evaluación inicial de coste-beneficio antes de emprender una agresión; ejemplos tanto en armamento y equipamiento de Cuerpos de Policía como en protección en hogares y áreas residenciales sobran para ilustrar esta vertiente de la disuasión, que es no obstante previa a la legítima defensa y que trata de evitar que la agresión se produzca.

De hecho, cuando el ejercicio de la fuerza como respuesta a una agresión puede preverse, puede anticiparse, habitualmente abrigar esa respuesta bajo la legítima defensa suele complicarse, pues casi siempre se entiende que la premeditación (anticipación) en la respuesta de defensa es señal de que podría haberse tomado otro camino distinto de la violencia, por parte de quien se defiende.

De esto último se deduce casi directamente que una de las condiciones que introducirán los ordenamientos jurídicos para que una respuesta de fuerza ante una agresión pueda ser contemplada como legítima, y por tanto legalmente exenta de responsabilidad criminal punible, es la necesidad de ejercer esa fuerza para defenderse y de que no se hayan agotado otras vías alternativas (como la huida si ha podido premeditarse la agresión a recibir) para resolver la agresión. Las otras cuatro condiciones son la oportunidad o inmediatez, la proporcionalidad de medios, la ausencia de intencionalidad de producir daño y la falta de provocación suficiente por parte de quien se defiende. Es decir, para que una persona quede exenta de responsabilidad punible al defenderse por la fuerza de una agresión, la fuerza tiene que ser ejercida inmediatamente en el momento de que el defensor esté siendo agredido (oportunidad ante agresión actual e inminente); con unos medios proporcionales para contener al agresor; sin haberle provocado anteriormente y sin intención de producirle daño sino de impedir un daño al defensor o a terceros; y sin que quepa otra respuesta más que la fuerza para defenderse del agresor. Con estas condiciones, que no son pocas ni fáciles de cumplir, los sistemas democráticos se aseguran que el monopolio de la violencia legítima se reserva a los Estados, que son los que a través de las Fuerzas Armadas y de los Cuerpos de Policía la emplean bajo marcos legales definidos.

Entre la disuasión a la defensa activa

Este mismo monopolio de la violencia o de la fuerza está siendo adaptado sobre la marcha para las agresiones cibernéticas, para los ataques en el ciberespacio. La mayoría de los países han establecido ya, con mayor o menor desarrollo, cibercomandos militares para actuar en situaciones de conflicto bélico donde haya una dimensión de ciberguerra, y esa adaptación está llegando ahora a los servicios civiles de ciberprotección y ciberdefensa.

El principal problema de estas adaptaciones de la seguridad y la defensa de los Estados a las realidades cibernéticas es que se intenta abordar una realidad del siglo XXI con conceptos del siglo XX y, así las cosas, las piezas no suelen encajar.

Sin pretensiones de hacer una revisión aquí que complique excesivamente el foco de análisis del ARI, a título ilustrativo puede mencionarse que en el seno de la OTAN ya se ha elaborado doctrina específica para incorporar operaciones militares ciberofensivas en la defensa colectiva de los Estados Miembros de la Alianza Atlántica. Además, como vía para encontrar una capa adicional de protección de los Estados ante la tolerancia que demuestran las ciberamenazas avanzadas ante la defensa reactiva actual, tanto la ciberseguridad como la ciberdefensa de los Estados se están orientando hacia la ciberdisuasión, hacia la articulación de bases legales y de protocolos y recursos operativos que incluyan medidas tanto defensivas como ofensivas para hacer desistir a potenciales atacantes. Esa ciberdisuasión tiene capacidad para desarrollar un amplio abanico de soluciones muchas de ellas adaptadas de la disuasión propia de la realidad analógica, que van desde la ciberdiplomacia con posibilidad de aplicar sanciones a países sobre los que se pueda realizar una atribución de apoyo de ciberataques; pasando por la provisión de nuevos mecanismos legales –por ejemplo en el Congreso de EEUU– para sustanciar jurídicamente capacidades de ciberdisuasión; hasta llegar a las reflexiones en el denominado Cibersecurity Package de la Unión Europea sobre “crear una respuesta europea de ley penal y de ciberdisuasión para proteger mejor a los ciudadanos, empresas e instituciones de Europa”.

No obstante, tanto la ciberdisuasión como cualquier acción ofensiva de respuesta en el ámbito cibernético se están encontrando con la dificultad de atribuir la autoría del ciberataque con la requerida precisión, es decir, con la complejidad que puede suponer llegar a saber ante quién hay que responder con la fuerza de sanciones, de la ley penal o con ciberataques regulados tanto por presupuestos militares como de seguridad interior.

 El atolladero principal de la atribución de una agresión cibernética reside en que, ante los ciberataques más graves, los agresores son por lo común actores no directamente estatales, ciberamenazas de contornos difusos que aunque muchas veces apoyados por Estados hostiles no necesariamente están integrados en estructuras estatales o su adscripción a ellas requiere de complejos procesos de investigación para obtener evidencias atributivas. Además, lo más habitual es que esas ciberamenazas que actúan a favor de algún Estado en un ciberataque también se dediquen al mismo tiempo a prácticas más propiamente cibercriminales, conformando amenazas híbridas más parecidas a bandas cibermafiosas sobre las que los Estados suelen aplicar mecanismos penales y policiales de defensa de la ley.

Complicando aún más el escenario, la mayoría de los ataques de esas ciberamenazas avanzadas con apoyo estatal más o menos explícito están dirigidos a los sistemas económicos de otros países, a empresas y tecnologías, sobre las que tienen objetivos de ciberespionaje o sobre las que producen un daño para servir a intereses estratégicos del país que “patrocina” el ciberataque, ciberataque que nuestros marcos conceptuales actuales tienen muy complicado definir como agresión propia de la defensa militar y que por tanto se queda en el terreno de la defensa penal de la ley. Esta realidad oscurece que pueda hablarse de legítima ciberdefensa, puesto que los Cuerpos de Policía utilizan la tecnología para investigar y desarticular estructuras, y las unidades de ciberdefensa la emplean para contener los ciberataques: ninguno para aplicar fuerza defensiva sobre el agresor.

La buena noticia es que el debate a futuro que ya ha comenzado a abordarse en ciberseguridad es el mismo que ya se ha tenido en el seno de los Estados en la aplicación de los sistemas de defensa de la ley ante las amenazas analógicas del terrorismo y del crimen organizado: en ambos conjuntos de amenazas complejas hubo que reconvertir mecanismos policiales reactivos y diseñados para la investigación post-facto de delitos para evolucionarlos hacia dispositivos ágiles de inteligencia preventiva y prospectiva destinados no sólo a desarticular bandas terroristas y criminales sino a negarles espacio de operaciones y aumentarles el coste de sus actividades ilícitas, combinando para ello tradicionales medidas de seguridad defensiva y de investigación policial con procedimientos propios de los servicios de inteligencia y, en numerosos escenarios internacionales, con la combinación de la acción de capacidades militares de operaciones especiales; en este último supuesto, no es para nada anecdótico que se compare el desarrollo que debería tener el Cibercomando de EEUU con el propio del Comando de Operaciones Especiales del país.

Al igual que las medidas de negación de operaciones y de aumento del costo de actividad representan dos de las tradicionales estrategias de disuasión del terrorismo y de la criminalidad organizada en la realidad analógica más allá de la seguridad reactiva y de la investigación criminal, en el ámbito de la ciberseguridad y ciberdefensa en empresas también se está proponiendo la conveniencia de diseñar políticas específicas de ciberdisuasión que aumenten para las ciberamenazas el costo de atacar a empresas.

En línea o incluso como continuación natural a los debates sobre la ciberdisuasión aplicable ante los ciberataques a Estados y empresas, a raíz del ataque global del malware destructivo Wannacry de 2017 -que EEUU está imputando actualmente a ciberamenazas vinculadas a Corea del Norte- aunque sea tímidamente se está reflexionando sobre el derecho de los atacados a ejercer algún tipo de legítima ciberdefensa. Esta reflexión está más encarrilada y es más intuitiva cuando se piensa en fuerzas militares y de policía pero ¿qué ocurre con la legítima defensa prevista para las personas en casos de agresión inminente?; ¿qué sucede en el supuesto de ciberagresiones avanzadas y persistentes a personas jurídicas, a empresas, que son las más afectadas actualmente por la plaga de ciberataques con propósitos de ciberespionaje, de lucro económico ilícito o de destrucción de datos e infraestructuras?

A raíz precisamente de Wannacry, el congresista Tom Graves propuso en la Cámara de Representantes de EEUU la Active Cyber Defense Certainty Act, un proyecto legislativo actualmente en una etapa muy temprana de discusión que pretende, en resumidas cuentas, sentar las bases legales para lo que se conoce como “hackback”, traducible como “devolver el hackeo”, la ciberagresión.

El hack-back sería la acción de utilizar la fuerza cibernética para contener el ciberataque de un agresor en un contexto de legítima defensa. Tendría por tanto paralelos con los mismos componentes que la legítima defensa personal en el terreno analógico, con la salvedad de que los defensores en este caso serían personas jurídicas, empresas. Actualmente las empresas se defienden, tienen desplegadas medidas activas y pasivas para detectar, contener, mitigar y negar operaciones a las ciberamenazas, pero todas esas medidas son defensivas y no utilizan la fuerza contra el agresor para neutralizarlo sino que basan en minimizar, y si es posible evitar, la fuerza cibernética que el agresor está empleando contra el defensor.

El debate sobre el hack-back cibernético en empresas apenas está en sus inicios y, al igual que ocurre con la legítima defensa en la realidad analógica, podría adoptar la forma de capacidades públicas de ciberseguridad encargadas de ejercer una ciberdefensa legítima de terceros en riesgo mediante acciones de hack-back sobre ciberatacantes; de capacidades empresariales de ciberseguridad privada preparadas para actuar ofensivamente en el plano defensivo cumpliendo las condiciones legales que se determinaran para efectuar hack-back en respuesta inminente y proporcionada a una agresión en curso; o incluso un concurso de capacidades público-privadas que, como ya sucede en el ámbito de la protección de infraestructuras críticas, combine recursos de las agencias estatales de ciberseguridad con los propios de la ciberseguridad en las empresas.

Respecto del hack-back, la mayoría de las reacciones, tanto en prensa como de profesionales, han sido de llamar a la cautela y de advertir del riesgo de que el hack-back pueda convertirse en un “salvaje ciber-oeste”. Estos llamamientos son comprensibles y el desarrollo de cibercapacidades para disuadir a atacantes mediante una represalia ofensiva siempre ha sido objeto de debate, que puede considerarse heredero del que ha llevado decenios a los Estados para regular el uso de la fuerza en la legítima defensa tradicional. Sin embargo, al igual que ha ocurrido con la legítima defensa analógica, en las lógicas apelaciones a la prudencia a veces se incorporan llamamientos que únicamente ponen el acento en el riesgo de otorgar más derecho al uso de la fuerza en manos privadas como si ese derecho, regulado, viniera a suponer en sí mismo una incentivación de la violencia, sin contemplar que como en todos los supuestos de ejercicio legítimo de la violencia la clave es tasar y protocolizar estrictamente el ejercicio de ese derecho. Por ejemplo, en cualquiera de los países de la Unión Europea, en algunos nada sospechosos de violencia pero con arraigada cultura de posesión de armas como Finlandia o Suiza (45,3 y 45,7 ciudadanos armados por cada 100 habitantes), la legítima defensa está tan regulada como en un país mucho más restrictivo con las armas como España, y en ninguno de ellos el derecho a la legítima defensa del ciudadano combinada con el alto porcentaje social de posesión de armas ha conducido a una incentivación de la violencia. Lo mismo podría decirse de ciberarmas estrictamente reguladas en manos de empresas para uso, también rigurosamente tasado en lo legal, en un supuesto futuro de legítima ciberdefensa.

Caso de que el hack-back llegara a considerarse una realidad necesaria a futuro -cuyo debate ya está activo en EEUU con la mencionada iniciativa de Tom Graves y también en Alemania–  su formalización requerirá mucho pensamiento racional y menos reacciones emocionales, y por tanto regulación precisa en términos jurídicos, igual que la legítima defensa “analógica”. Eso sí, con todavía mayor dificultad que la que representa fundamentar legalmente con rigor un caso de defensa personal, el hack-back se encontrará con numerosos obstáculos procedimentales y de técnica jurídica que será muy intricado soslayar antes de que pueda constituirse en una posibilidad para empresas dentro de un Estado de Derecho. De entre estas dificultades, sólo por mencionar un par, destacan la complejidad actual de realizar atribuciones precisas sobre el origen de un ciberataque, lo que trastoca directamente la legitimidad de una defensa por la fuerza; o el escollo de la necesaria inmediatez para que la fuerza ejercida por un defensor contra un atacante sea considerada legítima y no punible: en la mayoría de ciberataques avanzados, entender siquiera desde dónde está llegando un ataque ya requiere un lapso bastante prolongado de tiempo, que compromete la inmediatez de una respuesta de fuerza que sea legítima.

Estas cuestiones aún en estado embrionario siquiera de reflexión ya se han podido observar aunque sea indirectamente en el terreno práctico, alimentando las prevenciones y los miedos ante el hack-back. En 2014 Microsoft desarrolló una iniciativa activa contra las botnets NJrat y NJw0rm, dos infraestructuras para diseminación masiva de malware (virus informáticos); para ello y realizando una atribución equivocada sobre el origen de la amenaza, solicitó una acción legal para paralizar la infraestructura de dominios web de otra empresa, Vitalwerks Internet Solutions, sospechando que alojaba a las botnets distribuidoras del malware, aunque posteriormente se demostró que la empresa sospechosa no tenía relación con la infraestructura cibercriminal. Aunque la acción de Microsoft no tuvo que ver con el hackback, sino con la interposición de una denuncia judicial para bloquear activos tecnológicos potencialmente dañinos de otra empresa, el caso es suficientemente ilustrativo de la complejidad que se mencionaba respecto del factor más importante en un supuesto de legítima ciberdefensa: actuar contra quien realmente te está atacando.

Conclusiones

El mundo actual hiperconectado vive en un estado de ciber-agresión permanente. No se le denomina ciberguerra porque los contendientes no son actores directamente estatales, sino configuraciones dinámicas, cambiantes y adaptables de ciberamenazas avanzadas que en ocasiones sirven a intereses estratégicos, geopolíticos o económicos de algunos Estados, países que generalmente coinciden en ajustarse a su medida o ligeramente –por expresarlo con diplomacia- a lo que se consideran estándares democráticos o de comercio internacionales.

Aunque instituciones políticas y de Gobierno de numerosos países son objetivo de ciberataque por parte de ciberamenazas avanzadas sobre las que se sospecha un apoyo de Estados con agenda desestabilizadora propia, como fue el caso de la agresión cibernética contra el Comité Nacional Demócrata en el contexto de las últimas elecciones presidenciales en EEUU en 2016, la intencionalidad clara del mayor volumen mundial de ciberataques es económica. Ya en 2011 Paul Cornish en la Chatham House de Londres advertía sobre la vulnerabilidad que presentan los países desarrollados a una ciberguerra económica. En la actualidad, el Informe Anual de Evaluación de la Ciberamenaza (OCTA) de Europol destaca entre sus conclusiones clave que el ransomware (virus que cifra los contenidos de un dispositivo atacado y pide un rescate para liberarlos), el aumento de ataques con mayor facilidad de medios para los atacantes contra infraestructuras críticas, y el uso creciente de botnets (redes compuestas por objetos conectados a la Internet de las Cosas que son infectados con virus), son las principales amenazas cibercrimales en territorio europeo, y todas ellas tienen a las empresas principales objetivos de victimización. 

Como motivación económica de las ciberamenazas no únicamente hay que entender la monetización que pueden obtener grupos cibercriminales a partir del diseño y diseminación de sofisticadas piezas de malware (como el ransomware), sino ciberataques avanzados que tienen propósito de ciberespionaje industrial, de destrucción de activos de datos o de distorsión de procesos en infraestructuras críticas industriales en empresas con valor estratégico nacional o multinacional. Además del ya mencionado Wannacry, son célebres en los últimos años los ataques con las cepas de malware destructivo Industroyer en Ucrania en 2016 o Triton en 2017 sobre Oriente Medio, ambos contra infraestructuras energéticas. Estos incidentes sugieren que una porción muy relevante de las agresiones globales por parte de ciberamenazas avanzadas se despliega en un claro vector de ciberguerra económica, una ciberguerra que ya no respeta las habituales reglas de la guerra analógica: ni es declarada formalmente, ni es directamente atribuible a un Estado (aunque la esponsorice), ni encaja en paradigmas tradicionales de reglas de enfrentamiento o de definiciones de combatiente.

Esta realidad híbrida está provocando una carrera acelerada por producir nuevos conceptos de seguridad y defensa que no sean meras adaptaciones sobrevenidas de marcos doctrinales analógicos, forzados a encajar sin lograrlo en realidades que desbordan las definiciones tradicionales. Entre estos nuevos conceptos podría estar el derecho a la legítima ciberdefensa por parte del conjunto de victimización más perjudicado por la ciberguerra económica difusa: el colectivo de empresas estratégicas y de infraestructuras críticas. No obstante, un nuevo concepto no será suficiente, sino que su eventual desarrollo –que está por ver- implicará nuevas nociones de técnica jurídica combinadas con protocolos muy estudiados de tácticas, procedimientos y tecnologías para asegurar que una respuesta de fuerza cibernética por parte de una empresa agredida es necesaria, proporcional, oportuna y sin intención de producir daño, es decir, legítima.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s