La ciber-retorsión como opción defensiva ante ciberataques

0

Hoy día son cada vez más frecuentes los ciberataques (cybercrimen) que tienen como objetivo infraestructuras de medios de comunicación, empresas e instituciones de todo tipo e incluso gobiernos (cyberwarfare). Actualmente, por desgracia, el tiempo que transcurre entre un ciberataque y la atribución del mismo puede ser grande debido a la complejidad del proceso. Días, semanas o incluso más, como es el caso de un reciente ataque DDoS (Distribute Denial of Service) a un medio de comunicación digital español que ha llevado más de un año su atribución [2]. Esto hace que también la actuación de las autoridades para detener el ataque también se vea muy retrasada y tarde demasiado dejando a la víctima expuesta a un gran riesgo y/o sin poder desarrollar su actividad con normalidad con el consiguiente perjuicio económico a veces muy grande.

Esto hace que se plantee en la actualidad la siguiente cuestión: ¿es lícito que el atacado pase a contraatacar a su agresor para defenderse de un ciberataque?. Este contraataque es lo que se conoce como ciber-retorsión (active defense or strike-back technology or proactive cyber defence [3]).

ciberataque1

Pero cuidado, es muy fácil falsear el origen de un ataque (de hecho es la práctica habitual para que el atacante no sea descubierto), y en muchos casos extremadamente difícil simplemente identificar de donde viene el ataque (lo que se conoce como attribution issue), de modo que si la ciber-retorsión estuviese permitida y fuese legal, la empresa podría iniciar por error un ataque contra otra empresa inocente provocándole a su vez nuevos daños. Imaginemos un escenario en que una y otra vez la nueva víctima inicia a su vez una ciber-retorsión contra una víctima inocente falseada y esta a su vez hace lo mismo y este bucle se propaga y se repite una y otra vez (lo cual es muy sencillo y habitual en Internet). Podría darse la paradoja de que en vez de terminar con la amenaza podríamos echar abajo a miles de infraestructuras de comunicación inocentes provocando muchos daños y el caos en La Red.

No caigamos en el error frecuente en Seguridad de que ante una amenaza creamos un monstruo que nos trae muchos más problemas de seguridad que la propia amenaza.

Y hay alternativas. Como por ejemplo la creación de un organismo internacional, bajo el paraguas de la ONU por ejemplo, dotada de jurisdicción y cibercapacidad de acción, con oficinas por todo el mundo pero interconectadas y coordinadas entre si para una acción efectiva y rápida, que analice en tiempo real la ciberseguridad mundial e intervenga de forma muy selectiva con neutralidad y justicia en estos casos.  Pero nunca debe ser la propia empresa o el individuo por su cuenta. Esto nos llevaría al caos con infinidad de inocentes en riesgo como ocurriría en el mundo real no-cibernético si siguiéramos ese patrón de retorsión por nuestra cuenta.

Y hay otras alternativas como las estrategias y sistemas resistentes a ataques (cyber resilience), planes de contingencia, etc.

En España y otros países es delito el acceso no autorizado a equipos ajenos u obstaculizar su funcionamiento [4][5], y la ciber-retorsión eso justamente es lo que hace. No nos podemos enfrentar a un delito cometiendo otro delito, esto es elemental.

ciberataques-china-eeuu1-1024x463

España comparte con una buena parte de países el principio del monopolio de las estructuras estatales en el uso de la fuerza. Y aunque estas actividades haya quien las realice de forma ilegal, eso no justifica su validez.

En un reciente artículo sobre de Ángel Vallejo y Modesto Abad en CIBER Elcano [1] titulado “El avance de la ciber-retorsión” también plantea estas consideraciones pero llega a plantear la ciber-retorsión como una opción a considerar. Y propone como “remedio” al vacío legal acudir a la ley de legítima defensa, algo que de hacerse norma para justificar la ciber-retorsión nos llevaría como antes he comentado a situaciones caóticas y arbitrarias.

La seguridad es tarea de todos y no podemos conseguirla actuando cada uno por su cuenta.

 

Los autores del artículo afirman que “dado que las fuerzas y cuerpos de seguridad de los Estados no parecen tener capacidad real de proteger de manera pronta a sus ciudadanos, bien puede entenderse que concurren los requisitos legales reseñados”…. para usar la defensa propia con la ciber-retorsión.

Por otro lado el artículo plantea un escenario complicado de conseguir en la actualidad donde suponen que la víctima “ha logrado identificar a su atacante y se las ingenia para atacar la plataforma desde la que se le agredió, destruyendo la capacidad operativa de la misma”. Algo que como ya hemos explicado es muy complicado de conseguir en realidad con la certeza y el rigor que exige un asunto tan serio como lanzar un ciberataque contra otra institución o empresa que supuestamente es culpable solo según el criterio del atacado inicialmente. Estaríamos ante un terreno pantanoso y muy muy peligroso.

Los autores afirman que “… y en nuestra opinión, la ley debería decantarse del lado del ofendido”. Un planteamiento en mi opinión carente del suficiente rigor jurídico y ético que necesitan estas acciones.

El artículo califica de “aberrante” que la víctima simplemente denuncie y espere la actuación de las autoridades como, a todas luces, es justamente lo razonable que debe hacer cualquier víctima en cualquier ámbito.

Poniendo un poco de sensatez en este asunto, parece mucho más razonable que todos, y más aún desde los gobiernos de estados, nos tomemos en serio y en coordinación con el resto de la comunidad internacional la protección efectiva y la neutralidad de La Red, y siempre con la normativa legal internacional pertinente, y nunca al criterio de un individuo, una empresa o un gobierno que actúe por su cuenta. En este sentido algunos fórums están intentando plantear lo que se conoce como el futuro gobierno de internet o Internet Governance [6].

La seguridad es tarea de todos y no podemos conseguirla actuando cada uno por su cuenta.

Referencias:

[1] http://www.realinstitutoelcano.org/wps/wcm/connect/68979900485661a5a4b6b77939ebc85f/Ciber_Elcano_Num3.pdf?MOD=AJPERES&CACHEID=1431364739259

[2] http://politica.elpais.com/politica/2014/12/14/actualidad/1418559018_128006.html

[3] https://en.wikipedia.org/wiki/Proactive_cyber_defence

[4] Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (Vigente hasta el 28 de Octubre de 2015) http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l3t1.html

[5] Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. http://noticias.juridicas.com/base_datos/Penal/549720-lo-1-2015-de-30-mar-modifica-la-lo-10-1995-de-23-nov-del-codigo-penal.html

[6] https://en.wikipedia.org/wiki/Internet_governance

Fuente: http://globbsecurity.com/

Anuncios