Si en este artículo de LISA News profundizábamos en hasta qué punto se podía saber si un ciberataque había sido patrocinado por un Estado, en este artículo profundizaremos en la dificultad que supone para la comunidad internacional legislar al respecto.
¿Cómo se sabe el origen de los ciberataques?
Para poder sancionar, tanto a un Estado como a un grupo o una persona individual, por un ciberataque es lógicamente necesario saber con seguridad quién está detrás del mismo. Y, como analizamos en este artículo, lo cierto es que es muy complicado saber con seguridad qué actor está detrás si no se reivindica.
En los casos de los ciberataques realizados por usuarios o grupos sí suele ser común que sean ellos mismos quienes reivindiquen la autoría de los mismos, ya que esto supone para ellos en muchas ocasiones un logro o reconocimiento por parte de la comunidad a la que pertenecen. En el caso de que sea un Estado el que esté detrás de un ciberataque es más complicado determinar el origen con certeza. Principalmente, porque suele ser muy poco común que se reivindiquen por parte de los países y porque si hay un grupo afín a un país detrás del mismo es muy complicado vincularlo al propio Estado.
Un ejemplo claro de este tipo de ataques son las APT (Amenazas Persistentes avanzadas) rusas en la que los ciberataques se caracterizan por técnicas continuas y clandestinas con el objetivo de permanecer en el sistema durante un tiempo prolongado con consecuencias potencialmente destructivas. Estas son amenazas que suelen ir asociadas a objetivos de alto valor, como países y grandes organizaciones, y se prevé que no hay un único usuario detrás debido al esfuerzo necesario para poder realizar un ciberataque de este tipo. Se consideran que estas ciberamenazas están patrocinadas por, en este caso, Rusia por diferentes motivos.
➡️ Te puede interesar: ¿Es posible saber si un ciberataque está patrocinado por un Estado?
Entre ellos destacamos la actividad excesivamente estructurada y organizada, algo que una sola persona o un pequeño grupo no sería capaz de hacer, o el objetivo del ciberataque de estas APT que suele ir dirigido a sectores de interés para Rusia (y para el Estado víctima del ciberataque) como el aeroespacial, energético, defensa, administración pública, medios de comunicación, etc. Sin embargo, como decimos, gracias al anonimato que ofrece el ciberespacio, es muy difícil asegurar al 100% que estos ataques provienen orquestados por un Estado concreto si el mismo no lo reivindica.
¿Cómo se puede sancionar un ciberataque?
Como ya se ha comentado, es muy difícil asegurar al 100% de dónde proviene un ciberataque, sobre todo cuando se trata de ataques estatales. Sin embargo, una vez se determina y verifica quién está detrás del mismo es clave valorar las consecuencias de una posible sanción en función del atacante.
Si el atacante es un usuario o un grupo de usuarios a título personal
En caso de ser un usuario o un grupo de usuarios los responsables del ciberataque en cuestión todo dependerá de la legislación del país víctima del ataque y del país en el que se encuentre el atacante.
En España, por ejemplo, la regla general de competencia cuando se habla de delitos informáticos es la de la «ubicuidad». Es decir, tiene competencias en la cuestión tanto el país desde el que actúa el atacante como el propio país atacado. Cada país tiene sus propias reglas de competencia y, en este sentido, cada país podrá sancionar a los atacantes en función de la misma.
➡️ Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
Si el atacante es un Estado
Como ya se ha comentado, es difícil determinar que un ataque lo ha realizado un Estado. Igualmente, si se pudiera determinar que un gobierno efectivamente ha realizado este tipo de ataques, hay que tener en cuenta que las organizaciones que tienen peso sobre los distintos países son la UE, la ONU y la OTAN y las consecuencias de las sanciones en la geopolítica global.
¿Qué organizaciones internacionales pueden sancionar un ciberataque?
¿Puede la Unión Europea sancionar un ciberataque?
Si nos encontramos en el ámbito europeo, además de las competencias nacionales explicadas anteriormente también entra en juego la competencia sancionadora de la Unión Europea. Fue en mayo de 2019 cuando el Consejo Europeo estableció un marco que permite a la Unión imponer sanciones para impedir los ciberataques que constituyen una amenaza para la UE o para sus Estados miembros así como las pautas para responder ante ellos.
De esta forma la Unión Europea puede sancionar las tentativas o a quienes presten apoyo financiero, técnico o material para ello. Estas sanciones contra ciberataques pueden materializarse en la prohibición de la entrada en la Unión en el caso de las personas individuales o en la inmovilización de activos en caso de entidades. Así, lo primero a valorar por los 27 es si realmente el ciberataque en cuestión entra dentro de las pautas establecidas para ser sancionado.
La primera vez que la Unión Europea impuso sanciones a raíz de ciberataques fue en 2020. En ese momento se sancionó a seis personas y tres entidades por ser responsables de diversos ciberataques o estar implicados de alguna forma en los mismos. Entre los sancionados se encontraban los grupos «Wannacry», el «NotPetya», y el «Operation Cloud Hopper» y el motivo de la sanción fue un ciberataque a la Organización para la Prohibición de Armas Químicas. Esta decisión se materializó en base a la Decisión 2020/1127 del 30 de julio de 2020, y las sanciones impuestas a los atacantes fueron la prohibición de viajar, la inmovilización de bienes, y la prohibición para las personas y entidades de la UE de poner fondos a su disposición, entre otras.
La Unión Europea también puede sancionar a un Estado miembro en materia de cibercrimen; sin embargo, los ciberataques patrocinados por otros países no suelen tener el origen en un Estado miembro atacando a otro.
➡️ Te puede interesar: Curso de Experto en la Unión Europea
¿Puede la ONU sancionar un ciberataque?
La ONU, organización que nació a raíz de la Segunda Guerra Mundial y que vela por los derechos humanos de los ciudadanos, puede sancionar a otros países por motivos relacionados con la vulneración del derecho internacional. Sin embargo, la ONU solo actúa en defensa de estos derechos humanos lo que supone que, si no hay un claro perjuicio para los civiles, no se podría realizar ninguna sanción en este sentido.
En este sentido a nivel general y más allá de la ciberseguridad, el último caso de sanción a un país por parte de la ONU ha sido Rusia, país recientemente expulsado del Consejo de Derechos Humanos debido a las violaciones y abusos graves cometidos durante la invasión de Rusia a Ucrania.
➡️ Te puede interesar: ¿Es posible expulsar a Rusia del Consejo de Seguridad de la ONU?
Sin embargo, desde la ONU sí intentan crear normativa en cuestiones relacionadas con el cibercrimen y la ciberseguridad. En este sentido su actividad se ha centrado en:
- Ofrecer marcos legales a los Estados e instarlos a legislar en el tema.
- Publicar resoluciones para la creación de una cultura global de ciberseguridad que se basa en los principios de conciencia, responsabilidad, respuesta ética, democracia, evaluación de riesgos, diseño y puesta en práctica de la seguridad, gestión de la seguridad y reevaluación.
- Proteger las infraestructuras de información mediante la invitación al desarrollo de normas de conducta en el ciberespacio.
Como decimos, todas estas acciones van encaminadas, de nuevo, a que los países legislen internamente, y no tanto a establecer sanciones en caso de que el perpetrador del ataque sea un Estado Miembro. Por tanto, cuando se trata de un ataque cibernético de un país hacia otro país tampoco tiene cabida alguna la ONU.
➡️ Te puede interesar: Masterclass | Ciberseguridad en Infraestructuras Críticas: Ciberamenazas vs Planes de Seguridad
¿Puede la OTAN sancionar un ciberataque?
Si bien la OTAN se encarga de la ciberdefensa, y la defensa en general, de los países miembros, su política se centra principalmente en incentivar medidas para evitar ciberataques y poderles hacer frente. En este sentido la OTAN establece como criterio para las cuestiones de ciberdefensa que sean los propios países los que establezcan protección en sus redes y regulación respecto a ello, creando un marco sobre el que hacerlo.
La Alianza también actúa para proteger a todos los Estados que la forman tanto en el plano físico como en el virtual. En este sentido, el artículo 5 del Tratado de la Alianza del Atlántico Norte establece:
«las Partes acuerdan que un ataque armado contra una o más de ellas […] será considerado como un ataque dirigido contra todas ellas y, en consecuencia, acuerdan que si tal ataque se produce, cada una de ellas, en ejercicio del derecho de legítima defensa individual o colectiva […], ayudará a la Parte o Partes atacadas, adoptando seguidamente […], las medidas que juzgue necesarias, incluso el empleo de la fuerza armada […]».
➡️ Te puede interesar: ¿Activará la OTAN el artículo 5?
Este artículo permite a todos los países que forman la OTAN emplear la fuerza contra otro país que haya atacado a uno de los Estados que la forman; s decir, actuar en legítima defensa propia y ajena.
Aunque este artículo habla de «ataque armado», no fue hasta la Cumbre de Bruselas del 14 de junio de 2021, que se estableció que:
«reafirmando el mandato defensivo de la OTAN, la Alianza está decidida a emplear toda la gama de capacidades en todo momento para disuadir, defenderse y contrarrestar activamente todo el espectro de ciberamenazas, incluidas las que se llevan a cabo como parte de campañas híbridas, de conformidad con el derecho internacional. Reafirmamos que el Consejo del Atlántico Norte tomaría una decisión caso por caso sobre cuándo un ataque cibernético daría lugar a la invocación del Artículo 5».
Así, la OTAN debería estudiar caso a caso si el ciberataque tiene la gravedad suficiente como para activar el artículo 5 del Tratado, suponiendo esto un ataque por parte del resto de países al Estado que ha lanzado el ciberataque.