Otras publicaciones:

Book cover

9789877230758-frontcover

Otras publicaciones:

12-158t

Book cover

La ciberseguridad en el siglo XXI y la situación de América Latina[1]

Mariano César Bartolomé[2]

Palabras clave: ciberseguridad, ciberespacio, internetworking, ciberterrorismo.

1. Introducción

El presente trabajo se enfoca en un fenómeno relativamente novedoso en el campo de la seguridad internacional, desde el momento en que registra apenas dos décadas de desarrollo: el de la así llamada “ciberseguridad”, un recorte interdisciplinario donde confluyen las relaciones internacionales, el derecho y la informática. Las perspectivas y abordajes que admite esta cuestión son múltiples, heterogéneos y objeto de una permanente actualización, lo que da como resultado un estado del arte signado por el dinamismo. Con este panorama, este trabajo se propone ofrecer al lector un panorama general de la ciberseguridad y sus repercusiones en América Latina.

A esos efectos, en primer lugar presentaremos el concepto “ciberespacio”, describiendo las amenazas más conocidas que se presentan en ese dominio; posteriormente, se pasará revista a cinco casos paradigmáticos de consumación de amenazas planteadas en el ciberespacio, diferentes entre sí, que gozaron de amplia repercusión internacional; y en tercer término, se revisará el escenario hemisférico en materia de ciberseguridad y, dentro de ese espacio geográfico, la situación de América Latina en particular. Luego de esta fase de desarrollo, se esbozarán unas breves conclusiones.

2. La irrupción del ciberespacio y la heterogeneidad de las ciberamenazas

A comienzos de la década del noventa, dos fenómenos diferentes pero íntimamente relacionados entre sí se combinaron para generar un importante impacto en el campo de la seguridad: por un lado, el avance cualitativo registrado en el campo de las tecnologías de la información y las comunicaciones (TIC, según su abreviatura usual); por otra parte, la expansión de los procesos de internetworking, entendida como la interconexión de diferentes redes de transmisión de datos, que da lugar así a redes mayores. Todo esto en un contexto económico y tecnológico en el cual la información, como activo, registraba una notoria revalorización a escala global.

A la luz de esta inédita situación, surgieron numerosos conceptos que pretendían dar cuenta de amenazas y riesgos verdaderamente novedosos (o de antigua data aunque reconfigurados a la luz del cambio tecnológico), que no podían estar ausentes de las apreciaciones estratégicas ni del diseño e implementación de políticas públicas específicas. Así, en un listado que en modo alguno es exhaustivo, comenzó a hablarse de “guerra informática”, “guerra cibernética”, “guerra digital”, “criminalidad cibernética” (o “cibercriminalidad), “terrorismo digital”, “terrorismo cibernético” (o “ciberterrorismo”) y “guerra de la información”, entre otros conceptos.

Con el paso del tiempo, el ciberespacio se consolidó como concepto rector en este campo, situación que perdura hasta el presente. Aunque en su última obra Kissinger (2014) lo describe de manera genérica como un entorno virtual de información e interacciones entre personas, definiciones más completas refieren a un “dominio global y dinámico compuesto por infraestructuras de TI (incluido Internet), redes, sistemas de información y telecomunicaciones” (Quintana, 2016: 45). O, de manera similar, a “un dominio global dentro del entorno de la información, que consiste en una red interdependiente de infraestructuras de TI, incluyendo Internet, redes de telecomunicaciones, sistemas informáticos, procesadores embebidos y controladores” (JCS, 2019: 55).

Hoy las ciberamenazas, entendidas como las amenazas que se desarrollan en el ciberespacio, son múltiples y heterogéneas. Y su potencial de daño es mucho mayor que antaño, debido principalmente al crecimiento exponencial de ese espacio cibernético. A modo de ejemplo de ese potencial de daño, en el año 2018 la firma de ciberseguridad estadounidense Cisco evaluó más de 3 600 ataques cibernéticos padecidos por empresas de 26 países diferentes, comprobando que en más del 53 % de las ocasiones cada agresión le había ocasionado perjuicios superiores a USD 500 mil a la compañía afectada, en concepto de pérdida de ingresos, clientes, oportunidades y costos de desembolso (Cisco, 2018: 46).

Hace un lustro, el Foro Económico Mundial calculaba que 3,2 mil millones de personas se conectaban cotidianamente a Internet, casi dos tercios de ese total desde naciones en desarrollo; esa cifra representaba una tasa de penetración equivalente al 43 % de la población mundial, contra apenas 6,5 % a principios de siglo (WEF, 2016). Por la misma época, se estimaba que el cibercrimen generaba un costo anual de hasta USD 575 mil millones, equivalente al 0,5 % del PIB global, casi cuatro veces más que el monto anual de las donaciones para el desarrollo internacional (BID, 2016). Los últimos guarismos disponibles corresponden a Manuel Castells, quien actualizó los datos del Foro indicando que hoy ya hay 4,2 mil millones de usuarios de Internet, mientras que la telefonía celular totaliza más de 7 mil millones de aparatos (Castells, 2020). Con base en relevamientos efectuados a nivel global, plasmados en el cuadro 1, hoy los ciberataques están jerarquizados entre los diez riesgos más importantes, tanto en términos de probabilidad de ocurrencia, como de impacto, este entendido como generación de daño (WEF, 2019).

Cuadro 1

Riesgos prioritarios a nivel global

Probabilidad de ocurrencia

Impacto

1. Eventos climáticos extremos.

2. Fracaso de la mitigación y adaptación al cambio climático.

3. Desastres naturales.

4. Fraude informático.

5. Ciberataques.

6. Desastres ambientales generados por el hombre.

7. Migraciones masivas involuntarias.

8. Pérdida de la biodiversidad y colapso del ecosistema.

9. Escasez de agua potable.

10. Burbujas financieras en grandes economías.

1. Armas de destrucción masiva.

2. Fracaso de la mitigación y adaptación al cambio climático.

3. Eventos climáticos extremos.

4. Escasez de agua potable.

5. Desastres naturales.

6. Pérdida de la biodiversidad y colapso del ecosistema.

7. Ciberataques.

8. Colapso de infraestructuras críticas.

9. Desastres ambientales generados por el hombre.

10. Expansión de enfermedades infecciosas.

Fuente: Foro Económico Mundial.

En este campo, un puñado de tecnicismos hasta hace poco desconocidos configuran importantes fuentes de peligro. Entre ellos, en un listado no exhaustivo: el malware consiste en programas que dañan severamente los equipos informáticos de la víctima, extrayendo de ellos datos sin consentimiento; el spyware son softwares que recopilan y extraen información de computadoras-blanco, transfiriéndola a otras; el ransomware consiste en un tipo de programa que veda nuestro acceso a determinadas partes del sistema operativo o a nuestros archivos (por ejemplo, encriptándolos), por lo cual es usual que su ejecutor solicite una suerte de rescate (ransom) económico o de otro tipo por su desactivación; el ataque distribuido de denegación de servicio (DDoS) es el bloqueo a un sitio web para impedir consecuentemente la prestación de servicios; y el conocido phishing, una operación a través de la cual proporcionamos información personal que será empleada en beneficio del timador, a un sitio web malicioso disimulado como una entidad legítima y conocida. A estos neologismos se puede agregar también el hacktivismo, vocablo que resulta de la combinación de hacker (o hacking) y “activismo”, para hacer referencia a acciones coordinadas llevadas a cabo por miembros de una comunidad online descentralizada para alcanzar un objetivo común.

Con la salvedad expresa del plano internacional, que se rige por patrones y reglas propios, la puesta en práctica de las mencionadas ciberamenazas (que, como tales, hasta el momento de su ejecución se encuentran en el plano de lo conjetural) configura un delito cibernético o ciberdelito, entendido como un acto en el que claramente se aprecia la relación entre el uso de la tecnología informática mediante computadoras y servidores, y la apropiación ilegal de información valiosa por parte de la delincuencia (Buscaglia, 2015: 27). Existen definiciones más amplias que no se restringen a la información como blanco, como es el caso de la propuesta por la Unión Internacional de Telecomunicaciones: “Actividades en las cuales las computadoras o redes son empleadas como herramientas, blancos o lugares para el logro de fines criminales” (Instituto Igarapé and The Sec Dev Foundation, 2012: 3).

Independientemente de su formato, las ciberamenazas reúnen una serie de cualidades que incrementan notablemente su peligrosidad, a la vez que dificultan su control y eventual anulación. A nuestro juicio, nueve características son especialmente relevantes en este sentido, la primera de las cuales es su relativamente bajo costo en relación con otras formas de generación de daño; en este punto, es importante tener presente que el “armamento” utilizado por el agresor puede consistir en computadoras de uso cotidiano y software de precio accesible. La segunda característica es el carácter difuso de sus límites, pues en el espacio virtual se diluyen las tradicionales diferencias entre sectores o intereses públicos y privados, internos y externos[3]. En tercer lugar, es importante destacar su difícil detección, ya que las agresiones pueden pasar inadvertidas, o ser confundidas con fallas de hardware o software. Cuarto, las ciberamenazas generan la obsolescencia de los tradicionales métodos de recolección y análisis de información para identificar a los agresores y comprender sus modos de operación. Una quinta característica de las ciberamenazas, que impacta en su peligrosidad, es su efecto multiplicador de blancos potenciales, incorporando a aquellos que, aunque adecuadamente protegidos desde el punto de vista físico, se encuentran vinculados informáticamente con el exterior; por ejemplo, a través de un virus se puede alcanzar en forma simultánea o concatenada a miles de computadoras y bases de datos interconectadas en todo el planeta. En sexto lugar, la inexistencia del factor “distancia” en el ciberespacio permite la operación remota desde el otro extremo del orbe. Como séptima cualidad, las amenazas en el ciberespacio pueden consumarse sobre varios blancos diferentes al mismo tiempo. En octavo término, se destaca que una agresión cibernética puede ser programada con mucho tiempo de antelación para ocurrir en fecha y horas exactas, o solo bajo determinadas condiciones. Finalmente, suele ser extremadamente dificultoso identificar con certeza los autores intelectuales de la agresión, e incluso sus ejecutores.

Del conjunto de características que presentan las ciberamenazas, la referencia a la multiplicidad de blancos es de vital importancia, por dos razones concretas. Por un lado, porque tal multiplicidad se ve facilitada por la estandarización a nivel global de software, precondición para el desarrollo del fenómeno de internetworking (por ejemplo, el sistema operativo Windows de Microsoft). Por otra parte, porque incluye las llamadas “infraestructuras críticas”, cuyo funcionamiento depende de sistemas de control industrial (ICS) que suelen emplear Internet. Aquí entendemos como infraestructuras críticas a la infraestructura y los activos de vital importancia para la seguridad, gobierno, salud pública y economía nacionales, y para la confianza ciudadana[4]. Básicamente, la idea de infraestructuras críticas refiere a sistemas, máquinas, edificios o instalaciones relacionados con la prestación de servicios esenciales a la población (Quintana, 2016: 95). Esas infraestructuras incluyen los sistemas de procesamiento de información y telecomunicaciones, el software que permite operarlos, y el personal que maneja esos sistemas y emplea tal software. Como ha indicado un especialista (Burnett, 2015), la protección de las infraestructuras críticas demanda importantes niveles de cooperación internacional, debido a que en casi todos los países estas infraestructuras no cesan en las fronteras, sino que las trascienden. Por otro lado, las infraestructuras suelen ser administradas por operadores privados, que pueden ser corporaciones multinacionales que se encuentran en el exterior.

A partir de la relevancia de estos blancos potenciales, diferentes Gobiernos constituyeron organismos oficiales de distinto tipo para lidiar con la cuestión. En este campo, la iniciativa le correspondió al Gobierno estadounidense, cuyas decisiones fueron emuladas parcial o totalmente por actores homólogos. Así, en 1998 la Casa Blanca constituyó dentro de su ámbito al Centro Nacional de Protección de Infraestructura (NIPC), que luego de los atentados terroristas del 11S quedó absorbido por el Departamento de Seguridad Interior. Desde esta dependencia se emitió en el año 2003 la primera Estrategia Nacional para un Ciberespacio Seguro, en cuyas páginas se pone de relevancia las vulnerabilidades de las infraestructuras críticas y la crucial importancia de su protección, articulando un conjunto de respuestas en tal sentido (The White House, 2003). Casi un decenio más tarde, Leon Panetta, por entonces secretario de Defensa, alertó públicamente que las mencionadas vulnerabilidades no habían sido resueltas totalmente, y en consecuencia su país enfrentaba el creciente peligro de sufrir un “Pearl Harbour cibernético” que hiciera colapsar el suministro eléctrico, las redes financieras y los sistemas de transporte (Spillius, 2012). Dentro del Departamento de Seguridad Interior, el NIPC dio lugar a la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), encargada de elaborar los documentos rectores en la materia, siendo su corolario la Ciber-Estrategia Nacional emitida el año 2018 (The White House, 2018).

Las nueve características que ponderamos especialmente en las ciberamenazas no solo incrementan su peligrosidad, sino también su versatilidad, ya que pueden adoptar diferentes manifestaciones según el actor que las ejerce, como lo expresamos en el cuadro 2. Entre esos actores se encuentra el Estado, que, como se constatará en párrafos siguientes, ha sido responsable de este tipo de acciones en repetidas oportunidades. De hecho, el programa de monitoreo de incidentes cibernéticos que lleva adelante un prestigioso think tank estadounidense identificó, hasta la actualidad, 28 naciones sospechadas de conducir acciones de ese tipo[5]. Huelga aclarar que, cuando ese actor es una organización criminal o un grupo terrorista, se estaría frente a situaciones de cibercriminalidad y ciberterrorismo, respectivamente.

Cuadro 2

Manifestaciones de ciberamenazas

Agresor Blanco Objetivo específico Fin último
Organismo estatal (civil o militar) Red C4ISR Interrupción de actividades de comando y control Ganar el conflicto
Organización terrorista Sistemas de comunicaciones civiles Interrupción de actividades económicas y libre flujo de la información Producir un acto de naturaleza política
Organización criminal Sistema de contabilidad de una empresa Transferencia de fondos a cuentas propias Ganancia financiera
Empresa privada Banco de datos de la competencia Acceso a información clasificada Obtener una ventaja competitiva

Fuente: elaboración propia.

3. Cinco casos de relevancia

La versatilidad de las ciberamenazas actuales se constata en cinco casos extremadamente heterogéneos entre sí, todos ellos de amplia repercusión mediática internacional, ocurridos en los últimos trece años. El primero de esos eventos se desató en abril del año 2007 en Estonia, nación báltica que sufrió un ciberataque de más de una veintena de días de duración. Las investigaciones encaradas por el Gobierno local, con la asistencia de la Organización del Tratado del Atlántico Norte (OTAN), apuntaron hacia Rusia, indicando que los atentados se hicieron desde direcciones IP allí localizadas. Sin embargo, hasta el día de hoy las evidencias concretas no indican que esos ataques los haya realizado el Gobierno ruso, sino grupos de hackers freelance sin jerarquía estatal.

Los adherentes a la referida “pista rusa” señalan que el acto habría sido una suerte de represalia llevada adelante por Moscú. Y la causa, la decisión adoptada por el régimen estonio de relocalizar en un cementerio de las afueras de Tallinn una estatua militar soviética que hasta esos momentos estaba ubicada en el centro de la ciudad. De acuerdo a las crónicas de la época, el monumento erigido en 1947 tenía un alto valor simbólico para la minoría local rusa, pues representaba los grandes esfuerzos realizados por la entonces existente Unión Soviética para liberar al país del yugo nazi; sin embargo, sectores mayoritarios de la población asociaban la esfinge con la opresión padecida precisamente a manos de los soviéticos, desde la expulsión de los nazis hasta 1991.

Los ciberataques en cuestión estuvieron dirigidos a entidades bancarias, periódicos, el gobernante Partido de las Reformas, el Parlamento y oficinas estatales, cuyos sistemas online colapsaron debido a la saturación producida por equipos informáticos infectados con virus –conocidos como zombies– desde donde les enviaron cantidades masivas de mensajes basura (spam). Como ya se dijo, este tipo de agresión es conocido como ataque distribuido de denegación de servicio (DDoS). Así, las reparticiones estatales vieron suspendidas sus actividades, se paralizó la banca electrónica y el empleo de cajeros automáticos, y los medios de comunicación no pudieron transmitir las noticias.

El caso de Estonia planteó un importante dilema en la OTAN (institución a la cual ya pertenecía el país en aquellos momentos) en cuanto al tipo de respuesta que debía adoptar. No quedaba claro si un ciberataque encuadraba en el mecanismo de defensa colectiva previsto por el Tratado del Atlántico Norte en su artículo 5, que indica que un ataque armado contra uno o varios aliados será considerado como un ataque dirigido contra todos los miembros. En cualquier caso, la Alianza Atlántica radicó allí su Centro de Excelencia Cooperativa de Ciberseguridad, que incluyó entre sus primeras tareas la convocatoria a un grupo de expertos para elaborar un texto referencial sobre el marco legal aplicable a ciberataques. El texto en cuestión, conocido como Manual de Tallin, constituye hasta el presente el documento más avanzado en esa materia: a lo largo de dos partes, siete capítulos y casi un centenar de reglas de conducta, la obra aborda la interacción entre el ciberespacio y el Estado respecto al uso de la fuerza (Schmitt, 2013).

En línea de tiempo, el segundo acontecimiento de amplia repercusión mediática internacional que puso en evidencia tanto la versatilidad de las ciberamenazas, como su letalidad, tuvo lugar en el año 2008, y su protagonista fue Anonymous. Con ese nombre se conoce a una red global de hacktivistas, sin liderazgos claros, que coordinan sus acciones para realizar protestas o reclamos masivos en la web, produciendo en numerosas ocasiones ciberataques contra sitios gubernamentales, de determinadas corporaciones e incluso de grupos terroristas (entre ellos, Daesh o ISIS), hackeándolos y publicitando datos reservados, o simplemente inutilizándolos vía denegación de servicio. Su nota distintiva es una caricatura basada en el rostro de Guy Fawkes, un soldado católico inglés que intentó asesinar con una bomba al rey Jacobo I, a principios del siglo XVII.

Aparentemente creada en el año 2003, su lema es: “El conocimiento es libre. Somos Anonymous. Somos Legión. No perdonamos. No olvidamos. ¡Esperadnos!”. Los ejes de sus protestas suelen enfocar en el fenómeno de la globalización, el consumismo, la libertad de expresión, los derechos humanos y los sistemas gubernamentales de seguridad pública y preservación de la información, a los que consideran mecanismos de vigilancia y censura ciudadanas, respectivamente. Como se anticipó, su acción más publicitada tuvo lugar en el año 2008, cuando articuló dos olas de protestas de alcance global contra la así llamada Iglesia de la Cientología, con lo que confirmó su alcance planetario y su incidencia en la opinión pública. Con esta y otras acciones, demostró la efectividad que en tiempos actuales puede alcanzar la apropiación y divulgación de información sensible como forma de activismo político (Torres Soriano, 2013). En el año 2012, Anonymous fue elegida en el primer lugar de las cien personalidades más influyentes de todo el mundo, en las votaciones que organizó la revista TIME, delante de figuras como el futbolista Lionel Messi o el expresidente Barack Obama.

El tercer evento a destacar es el conocido como Stuxnet: ese fue el nombre asignado a un virus introducido furtivamente a comienzos del año 2010 en el sistema informático de la planta nuclear iraní de Natanz. El virus, que físicamente habría ingresado en una memoria USB infectada, se propagó a través de las computadoras hasta encontrar el software de las llamadas “centrifugadoras”, máquinas que giran a altas velocidades para separar diferentes tipos de uranio. Estas máquinas eran empleadas por los iraníes presumiblemente para obtener uranio enriquecido en el marco del proceso de fabricación de armas nucleares.

Luego de introducirse en el software de las centrifugadoras, Stuxnet permaneció latente durante casi un mes, lapso en el cual habría observado cómo operaba el sistema normalmente, registrando los datos generados. Luego reprogramó las centrifugadoras, alterando su velocidad en repetidas oportunidades durante varios meses, averiando progresivamente cerca de un millar de esas máquinas. A lo largo de ese período, el virus reprodujo en los equipos de control los datos grabados cuando todo estaba funcionando normalmente, ocultando las fallas al personal técnico mientras las centrifugadoras quedaban dañadas de manera irreparable. Incluso cuando los operadores de las centrifugadoras se percataron de que las cosas estaban fuera de control, Stuxnet anuló los sistemas de apagado de emergencia.

La empresa de seguridad informática Symantec, encargada de elaborar un informe integral sobre Stuxnet, consideró que se necesitaron entre cinco y diez expertos en software, y hasta un semestre intensivo de trabajo, para crear el sofisticado virus. Además, indicó que su complejidad era tal, que pocos actores tenían capacidad de crearlo, situación que paradójicamente tenía un correlato positivo: difícilmente se verían muchos incidentes de similar sofisticación en el mediano plazo. Y terminó indicando que las implicancias de Stuxnet trascendían cualquier amenaza de ese tipo vista con anterioridad, para concluir textualmente que “es el tipo de amenaza que esperamos nunca volver a ver” (Falliere, O’Murchu y Chien, 2011: 55).

El reporte en cuestión no identificó explícitamente a ningún responsable del ataque, aunque Ralph Langer, experto que lideró el equipo de especialistas de Symantec involucrado en el caso, aseguró que el virus había sido creado por Estados Unidos e Israel para sabotear el programa nuclear de Irán (Langer, 2011). Por cierto, esta es la versión más difundida de aquellos sucesos, sostenida incluso por periodistas estadounidenses (Broad, Markoff y Sanger, 2011; Nakashima y Warrick, 2012), a la cual adhiere oficialmente el régimen de Teherán, aunque obviamente las autoridades estadounidenses e israelíes nunca han confirmado esa afirmación.

También en el año 2010 tuvo lugar el affaire conocido como WikiLeaks, el cuarto acontecimiento a mencionar en esta zaga de ciberamenazas. WikiLeaks consistió básicamente en una página web creada cuatro años antes a través de la cual su responsable, un hacker australiano llamado Julian Assange, daba a luz documentación oficial o corporativa estadounidense que no era pública, especialmente de casos de corrupción[6]. La información que nutría el sitio web era cargada de manera tal que preservaba la confidencialidad de su proveedor, permitiendo la difusión de material procedente de periodistas o fuentes censuradas.

En su cuarto año de existencia, WikiLeaks comenzó a filtrar de manera masiva material escrito y audiovisual clasificado del Departamento de Defensa estadounidense sobre las guerras de Afganistán e Irak, que rápidamente fue replicado por algunos de los principales periódicos del mundo. El proceso llegó a su punto álgido a fines de ese año 2010 con la publicación de más de 700 mil documentos del Departamento de Estado, incluyendo cables diplomáticos, hecho que fue calificado como una de las mayores filtraciones de información clasificada en la historia de Estados Unidos. Las pesquisas gubernamentales indicaron que tras las filtraciones se encontraba una exsoldado y analista de inteligencia del Ejército, quien contaba con las habilitaciones de seguridad necesarias para ingresar en computadoras del Departamento de Defensa conectadas a SIPRNet, una red oficial empleada para el tráfico de documentos y comunicaciones clasificadas. Con la ayuda de Assange e incluso alentada por él, la analista vulneró las claves de SIPRNet y extrajo de allí la información que luego fue difundida[7].

El caso generó numerosos debates en torno a la ética del manejo estatal de la información y los derechos ciudadanos a acceder a ella, que escapan al alcance del presente trabajo. Más allá de esos contrapuntos, lo que WikiLeaks demostró, según puntualizó acertadamente el periodista Micah Sifry (2011), autor del más importante libro sobre la cuestión, es la capacidad que en la era digital tiene una organización no estatal para vulnerar la decisión de los más poderosos Gobiernos de resguardar información. De alguna manera, la Casa Blanca admitió tácitamente estas potencialidades al considerar a WikiLeaks una suerte de “hostil servicio de inteligencia no estatal” (AFP, 2019).

Culminando esta recopilación, en noviembre de 2014 la compañía cinematográfica Sony Pictures fue víctima de un ciberataque, presuntamente perpetrado por un grupo de piratas informáticos llamado Guardianes de la Paz (GOP). La agresión fue justificada por GOP como una represalia por la realización en esa empresa del film The Interview, en la cual se satirizaba al mandatario norcoreano Kim Jong-Un; de acuerdo a sus responsables, la represalia sería extensiva a las cadenas de cines que proyectaran la película en cuestión, razón por la cual muchas de ellas desistieron de hacerlo.

La agresión consistió en el robo de información de la empresa y sus empleados, incluyendo miles de correos electrónicos de los principales ejecutivos, la que fue filtrada a la opinión pública en las siguientes semanas. Además, en los meses subsiguientes al ciberataque, la compañía habría perdido cerca de USD 200 millones en concepto de caída de la cotización de sus acciones en las bolsas de valores, lucro cesante por demoras en el estreno y resarcimiento económico a empleados cuyos datos personales fueron hechos públicos. Las pesquisas de la Oficina Federal de Investigaciones (FBI) concluyeron que el software malicioso (malware) utilizado para robar información de la red informática de Sony era similar al usado en marzo de 2013 por hackers vinculados con Corea del Norte en un ataque similar contra la banca surcoreana. De esa manera, atribuyeron la responsabilidad de esas acciones al régimen de Pyongyang, que ya meses antes había calificado al film como un acto de guerra y de terrorismo gratuito.

Merece destacarse de este caso el hecho de que fuera calificado desde la Casa Blanca como un asunto de seguridad nacional, pese a involucrar solamente una empresa privada, cuyo capital no es únicamente estadounidense. La tipificación fue fundamentada en la intención del régimen de Kim de censurar el derecho de los ciudadanos norteamericanos a expresarse en libertad (Murphy y Scanell, 2014). Además, constituyó el primer hito relevante de una tendencia que luego se haría más nítida: la creciente capacidad de los hackers superaría los esfuerzos del sector privado, aun de las mayores empresas, por preservar su infraestructura de información, demandando la colaboración del Estado en el diseño e implementación de soluciones efectivas (Simon, 2017).

En definitiva, no caben dudas de que las amenazas en el ciberespacio, o ciberamenazas, constituyen una cuestión prioritaria de seguridad internacional. A la vez, son un formidable desafío a los Estados, que deben articular respuestas efectivas entre sí y con el sector privado, para reducir la vulnerabilidad frente a estos flagelos. En este sentido, las falencias son notorias: en materia de ciberdelitos, a pesar de los ingentes esfuerzos realizados, la Organización de las Naciones Unidas todavía carece de un tratado rector en esta materia. El mayor avance en este campo corresponde a una norma regional del Consejo de Europa con su Convenio sobre la Ciberdelincuencia (o Convenio de Budapest), firmado en 2001 y entrado en vigor tres años más tarde[8].

Conviene recordar que este convenio incluye diferentes dimensiones dentro de la ciberdelincuencia:

  • delitos contra la confidencialidad, integridad y disponibilidad de información y sistemas informáticos;
  • delitos relacionados con el contenido de la información (por ejemplo, pornografía infantil, apuestas ilegales, discursos de odio);
  • delitos relacionados con la preservación e integridad de la información (ejemplo, fraude, falsificación, robo).

En consecuencia, el texto define en sus primeros diez artículos una serie de delitos informáticos, incluyendo una lista de aquellos que cada Estado firmante debe trasladar a su legislación propia, obligando a las partes firmantes a prestar cooperación internacional para las investigaciones y los procedimientos judiciales relativos a ellos (Consejo de Europa, 2001)[9].

4. América Latina frente a las ciberamenazas

La cuestión de la ciberseguridad irrumpe en el hemisferio americano en el año 2002, en forma prácticamente simultánea a la aprobación por parte de la Asamblea General de las Naciones Unidas de la creación de una Cultura Mundial de Seguridad Cibernética para Sistemas y Redes de Información (ONU, 2002). Esa irrupción se plasmó en tres ámbitos específicos dentro de la Organización de Estados Americanos (OEA): la Comisión Interamericana de Telecomunicaciones (CITEL), el Comité Interamericano contra el Terrorismo (CICTE), y la Reunión de Ministros de Justicia o Procuradores Generales de las Américas (REMJA), en este último caso a través de un Grupo de Expertos Gubernamentales sobre Delito Cibernético.

La CITEL señaló la necesidad de promover una cultura de ciberseguridad que aumente el conocimiento de los ciudadanos americanos en torno a la importancia de la infraestructura de las telecomunicaciones, facilitando la adopción de las medidas necesarias para enfrentar los riesgos de seguridad en este campo. A su turno, el CICTE, en una reunión celebrada en El Salvador, tipificó las amenazas a la seguridad cibernética como amenazas terroristas emergentes, exhortando a los Estados miembros del organismo a fortalecer la cooperación en este campo, incluyendo actividades de concientización. Para lograr este objetivo, el Comité promovió la constitución en cada nación de equipos especializados en la detección, anulación y mitigación de daños de ciberamenazas (conocidos usualmente como CSIRTs, acrónimo en inglés de National Computer Security Incident Response Team). Por su parte, los responsables de Justicia recomendaron la elaboración de los instrumentos jurídicos interamericanos necesarios para fortalecer la cooperación hemisférica en el combate del delito cibernético.

Con estos antecedentes inmediatos, la OEA incorporó la cuestión de la ciberseguridad a su agenda en el año 2003, por una doble vía. La primera se plasmó en la Conferencia Especial de Seguridad celebrada en México, donde se ratificó que constituía una amenaza a la seguridad de los Estados miembros, de carácter no tradicional (OEA, 2003a); la otra, cuando su Asamblea General aprobó el documento “Desarrollo de una Estrategia Interamericana para combatir las Amenazas a la Seguridad Cibernética”. Como su título lo indica, la resolución ratificó la necesidad de desarrollar en el hemisferio una estrategia integral para la protección de las infraestructuras de información, hasta ese momento inexistente. Esa estrategia, además, debía adoptar un enfoque integral, internacional y multidisciplinario de la cuestión (OEA, 2003b).

Esa carencia se palió al año siguiente con la sanción de la Estrategia Interamericana de Seguridad Cibernética. Su texto confirma la imposibilidad de realizar un abordaje a las amenazas a la ciudadanía, economía y servicios esenciales (infraestructuras críticas como la electricidad, el agua y las redes de transporte) que sea llevado a cabo unilateralmente por un Gobierno, utilizando una única disciplina o práctica. En tal sentido, la estrategia apuntó a cuatro objetivos a ser alcanzados a través de acciones concertadas de la CITEL, el CICTE y el grupo de expertos de la REMJA:

  • proporcionar información a los usuarios y operadores para ayudarles a asegurar sus computadoras y redes contra amenazas y vulnerabilidades, a responder ante incidentes y a recuperarse de ellos;
  • fomentar asociaciones públicas y privadas con el objetivo de incrementar la educación y la concientización, y trabajar con el sector privado para asegurar las infraestructuras de información de las que dependen las naciones;
  • identificar y adoptar normas técnicas y prácticas óptimas para asegurar la seguridad de la información transmitida por Internet y otras redes de comunicaciones; y
  • promover la adopción de políticas y legislación sobre delito cibernético que protejan a los usuarios de Internet y prevengan y disuadan el uso indebido e ilícito de computadoras y redes informáticas, respetando a su vez la privacidad de los derechos individuales de los usuarios (OEA, 2004).

El papel del CICTE en esa iniciativa hemisférica es clave, colaborando con los Estados miembros en la elaboración de estrategias nacionales de seguridad cibernética, promoviendo la constitución y capacitación de CSIRT, así como en la creación de una plataforma de colaboración y comunicación entre los equipos locales. En 2012, a través de la “Declaración de Fortalecimiento de la Seguridad Cibernética en las Américas”, el Comité reafirmó su compromiso en este campo, impulsando nuevos avances. Entre ellos se destacó la creación de su “Programa de Seguridad Cibernética”, en 2013, conocido en adelante con el término “OEA Cyber”; la declaración “Protección de Infraestructura Crítica ante las amenazas emergentes”, en 2015, que reforzó el compromiso de fortalecer la cooperación con y entre los Estados miembros dada la interdependencia de las infraestructuras críticas nacionales[10]; y al año siguiente, la declaración “Fortalecimiento de la cooperación y del desarrollo en la seguridad cibernética y la lucha contra el terrorismo en las Américas”, que innova al aplicar al campo cibernético el concepto de Medidas de Fomento a la Confianza y Seguridad (CSBM) entre Estados miembros, para incrementar la cooperación, transparencia y previsibilidad en el uso del ciberespacio.

En forma simultánea a la emisión del referido Programa de Seguridad Cibernética, un reporte elaborado por la OEA con asistencia de actores privados, sobre la situación y tendencias que se observaban en el hemisferio en materia de ciberseguridad, confirmó la falta de una adecuada preparación para enfrentar el problema por parte de la región, y una nítida vulnerabilidad de sus infraestructuras críticas. El informe desnudó que no todos los países consideraban a las cuestiones de ciberseguridad de la misma manera, ni le asignaban una prioridad similar. En muchas ocasiones se comprobaba la inexistencia tanto de una legislación adecuada sobre la cuestión, como de políticas públicas efectivas, y es destacable que numerosas naciones no contaban con equipos CSIRT. Además, era notoria la falta de una efectiva comunicación entre Gobiernos, así como la carencia de mecanismos de intercambio de información sobre estos temas.

De manera más específica, se constató que las naciones del continente no tenían una idea precisa de la cantidad de ataques exitosos que podrían haber padecido sin haber sido detectados, y muchas veces las detecciones en cuestión acontecían meses, e incluso años, después de ocurrido el incidente. Complicando este panorama, sea por la inexistencia de mecanismos eficaces para difundir información, o por la intención de preservar la propia imagen, los Gobiernos y los actores privados no siempre comunicaban los ataques padecidos. En este contexto, el análisis de las ciberamenazas que sí habían sido detectadas indicaba, desde un punto de vista cuantitativo, tasas de incremento interanuales que fluctuaban entre un 8 % y hasta un 40 %, según el país (OEA y Trend Micro, 2013). Un dossier posterior (OEA y Trend Micro, 2015), enfocado específicamente en infraestructuras críticas, confirmó que los ataques a este tipo de blancos son habituales en el hemisferio, de una severidad elevada, con una frecuencia en ascenso y cada vez más sofisticados. Frente a esta realidad, continuaban registrándose falencias en la asociación pública-privada, así como bajos presupuestos en las agencias gubernamentales.

El pesimista diagnóstico del continente en general, elaborado por el organismo multilateral, se repetía en América Latina, un área donde el panorama era aún más sombrío, según algunas fuentes. Así, dentro de sus límites, el empleo del ciberespacio crecía a mayor velocidad que en otras partes del mundo, en buena medida gracias al aumento de la población joven: más del 40 % de la población latinoamericana estaba conectada online, y cerca de dos tercios de esos usuarios de Internet tenía menos de 35 años de edad. Este panorama se agravaba debido a las limitadas capacidades de las fuerzas de seguridad para lidiar con estos problemas, a la creciente complejidad de la cibercriminalidad y, sobre todo, a la inexistencia de consenso en torno a determinadas definiciones, lo que dificultaba la armonización legislativa y la cooperación interestatal. Entre las definiciones que no generaban consenso estaba incluida la de cibercriminalidad, pese a los avances registrados en esta materia por la Convención de Budapest y la UIT.

El relevamiento indicaba además que muchos Gobiernos latinoamericanos apenas estaban comenzando a adoptar medidas concretas para combatir las ciberamenazas. Esas medidas solían incluir la sanción de legislación especial, la creación de organismos especializados y la formación de equipos CSIRT. En numerosos casos, empresas privadas se encontraban más avanzadas que el sector público en este campo; sin embargo, solían mostrar escasa transparencia informativa y entre sus metas no estaba incluida la promoción de estándares de seguridad a nivel regional, entendiendo que esa no es una de sus tareas. En la acera opuesta, las organizaciones criminales transnacionales que operaban en América Latina incrementaban de manera constante sus actividades en el ciberespacio, de forma tal que reemplazaron los canales tradicionales de difusión y comercialización, conformando nuevas vías para amenazar y silenciar a grupos rivales, periodistas y activistas de la sociedad civil (Instituto Igarapé y The SecDev Foundation, 2012: 3).

No existe información actualizada que permita apreciar si estas falencias se han corregido o, por el contrario, se han agravado aún más. El Banco Interamericano de Desarrollo (2016) creó un Modelo de Madurez de Capacidad de Seguridad Cibernética compuesto por 49 indicadores, que precisamente examina la “madurez cibernética” de cada país en cinco dimensiones:

  • política y estrategia de seguridad cibernética;
  • cultura y sociedad cibernética;
  • educación, formación y competencias en seguridad cibernética;
  • marcos jurídicos y reglamentarios; y
  • normas, organizaciones y tecnologías.

El modelo confirmó que, a pesar de los avances registrados, numerosos países de la región eran vulnerables a ataques cibernéticos potencialmente devastadores; cuatro de cada cinco países carecían de sólidas estrategias de ciberseguridad o planes de protección de infraestructura crítica; y dos de cada tres no contaban con un centro de comando y control de seguridad cibernética. Evaluaciones formuladas desde el ámbito académico son coincidentes con ese diagnóstico, indicando que la fragilidad del ciberespacio latinoamericano demanda el diseño y desarrollo de sistemas de ciberseguridad donde coincidan los esfuerzos públicos y privados, constituyéndose la “cooperación” en el principio rector en este campo (Saavedra, 2016). Atenta a la peligrosidad de las ciberamenazas, América Latina no debe bajar la guardia.

5. Una breve conclusión

El presente trabajo pone de manifiesto la importancia que ha adquirido el ciberespacio en el campo de la seguridad internacional contemporánea. Desde inicios de los años noventa, sustentado por los avances registrados en materia de TIC e internetworking, este ámbito no físico se ha consolidado como el quinto dominio (tras el terrestre, el marítimo, el aéreo y el espacial) donde se despliegan amenazas y riesgos a la seguridad de los Estados, las sociedades que los componen y los individuos que las integran. Las ciberamenazas son múltiples y heterogéneas, su evolución es constante y su capacidad de daño y complejidad se elevan de manera permanente, a caballo de la expansión del ciberespacio.

Las formas de materialización de las ciberamenazas son múltiples, como se observa en los ejemplos representativos consignados. En ellos, se constata cómo se difuminan parámetros clave en el tratamiento convencional de las cuestiones de seguridad, como las dicotomías entre esferas civil/militar y pública/privada, la dimensión espacio y la atribución de responsabilidades. Los casos de Estonia, Stuxnet y Sony Entertainment indican que los ejecutores de ciberataques no solo pueden ser Estados, sino también aparatos estatales civiles, militares o incluso empresas privadas. La misma amplitud de blancos se comprueba en los casos de Anonymous y WikiLeaks, aunque en estos casos la responsabilidad recae en grupos no estatales articulados en red, e individuos. En este contexto, adquieren relevancia estratégica las llamadas “infraestructuras críticas”, cuyo funcionamiento es de vital importancia para el normal funcionamiento de la economía y administración pública nacionales.

Frente a este estado de cosas, la situación en el hemisferio, y en América Latina más específicamente, revela ciertas carencias. Es cierto que a nivel continental la cuestión de las ciberamenazas se instaló hace casi dos décadas, de la mano de la Comisión Interamericana de Telecomunicaciones (CITEL), el Comité Interamericano contra el Terrorismo (CICTE) y la Reunión de Ministros de Justicia o Procuradores Generales de las Américas (REMJA); las labores de estos órganos, a su turno, confluyeron en el documento pionero Desarrollo de una Estrategia Interamericana para combatir las Amenazas a la Seguridad Cibernética. Desde ese momento hasta el presente, los avances han sido significativos, destacándose la constitución de equipos CSIRT en las naciones miembros. Sin embargo, continúan registrándose falencias en lo que hace a protección de infraestructuras críticas, elaboración de legislación especializada e intercambio de información sobre estos temas entre Gobiernos.

En síntesis, desde una perspectiva de seguridad internacional, de cara a un previsible agravamiento de los riesgos y amenazas procedentes del ciberespacio, urge que las naciones del hemisferio, incluyendo las que corresponden al espacio latinoamericano, optimicen sus capacidades para enfrentarlas de manera efectiva. Entre las múltiples medidas que pueden inscribirse en ese esfuerzo de optimización, la profundización de la cooperación interestatal y la colaboración entre los ámbitos público y privado ocupan un lugar central.

Bibliografía

AFP (2019). Julian Assange: A Decade of Stunning Leaks of U.S. Secrets. Security Week, 11 de abril.

Banco Interamericano de Desarrollo (2016). Ciberseguridad. ¿Estamos preparados en América Latina y el Caribe? Washington D. C.: Banco Interamericano de Desarrollo.

Broad, W., Markoff, J. y Sanger, D. (2011). Israeli Test on Worm Called Crucial in Iran Nuclear Delay. The New York Times, 15 de enero.

Burnett, P. (2015). El vital papel de la Protección de la Infraestructura de Información Crítica (CIIP) en la Seguridad Cibernética. En Organización de Estados Americanos y Trend Micro (ed.): Reporte de Seguridad Cibernética e Infraestructura Crítica de las Américas (pp. 13-14). Washington D. C.: Organización de Estados Americanos.

Buscaglia, E. (2015). Lavado de dinero y corrupción política. Ciudad de México: Debate.

Castells, M. (2020). La nueva sociedad red. La Vanguardia, 18 de enero.

Cisco (2018). Cisco 2018. Annual Cybersecurity Report. San Jose (CA), Singapur y Ámsterdam: Cisco.

Consejo de Europa (2001). Convenio contra la Ciberdelincuencia. Budapest, 23 de noviembre.

Falliere, N., O’Murchu, L. y Chien, E. (2011). W32.Stuxnet Dossier Version 1.4. Symantec Security Response, febrero.

Instituto Igarapé y The SecDev Foundation (2012). A fine balance: Mapping cyber (in)security in Latin America. Strategic Paper 2, junio.

Kissinger, H. (2016). Orden Mundial. Barcelona: Debate.

Langer, R. (2013). To Kill a Centrifuge. A Technical Analysis of What Stuxnet’s Creators Tried to Achieve. Arlington, Hamburgo y Múnich: The Langner Group.

Murphy, M. y Scanell, K. (2014). Sony Hack a “National Security Matter. Financial Times, 18 de diciembre.

Nakashima, E. y Warrick, J. (2012). Stuxnet was Work of U.S. and Israeli Experts, Officials say. The Washington Post, 2 de junio.

Organización de Estados Americanos (2003a). Declaración sobre Seguridad en las Américas. OEA/Ser.K/XXXVIII, 28 de octubre.

Organización de Estados Americanos (2003b). Desarrollo de una Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética. AG/RES. 1939 (XXXIII-O/03), 10 de junio.

Organización de Estados Americanos (2004). Estrategia Interamericana de Seguridad Cibernética: Un Enfoque Multidimensional y Multidisciplinario para la creación de una Cultura de Seguridad Cibernética. AG/RES. 2004 (XXXIV-O/04), 8 de junio.

Organización de Estados Americanos y Trend Micro (2013). Tendencias en la Seguridad Cibernética en América Latina y el Caribe y Respuestas de los Gobiernos. Washington D. C.: Organización de Estados Americanos.

Organización de Estados Americanos y Trend Micro (2015). Reporte de Seguridad Cibernética e Infraestructura Crítica de las Américas. Washington: Organización de Estados Americanos.

Office of the Chairman of the Joint Chiefs of Staff, JCS (2019). DOD Dictionary of Military and Associated Terms (online). Washington D. C.: The Joint Staff.

Quintana, Y. (2016). Ciberguerra. Madrid: Ediciones de la Catarata.

Saavedra, B. (2016). Cybersecurity in Latin America and the Caribbean: the State of Readiness for the Defense of Cyberspace. Washington D. C.: William Perry Center for Hemispheric Defense Studies.

Schmitt, M. (ed.) (2013). Tallinn Manual on the International Law Applicable to Cyber Warfare. Cambridge: Cambridge University Press.

Sifry, M. (2011). In the Age of WikiLeaks, the End of Secrecy? The Nation, 3 de marzo.

Simon, D. (2017). Raising the Consequences of Hacking American Companies. Washington D. C.: Center for Strategic and International Studies (CSIS).

Spillius, A. (2012). US at risk of “cyber-Pearl Harbor”, Leon Panetta warns. The Telegraph, 8 de febrero.

The White House (2003). The National Strategy to Secure Cyberspace. Washington D. C.

The White House (2018). The National Cyber Strategy of the United States of America. Washington D. C.

Torres Soriano, M. (2013). Siete lecciones no aprendidas sobre Anonymous. Instituto Español de Estudios Estratégicos, Documento de Opinión 122/2013, 10 de diciembre.

World Economic Forum (2016). Global Agenda Council on Cybersecurity. Geneva: World Economic Forum.

World Economic Forum (2019). The Cybersecurity Guide for Leaders in Today’s Digital World. Geneva: World Economic Forum.


  1. El presente capítulo de libro constituye una extensión del trabajo titulado “Las ciberamenazas y su impacto en el amplio campo de la Seguridad Internacional”, elaborado para la Revista de la Escuela Superior de Guerra, de la Universidad de la Defensa Nacional (UNDEF).
  2. Graduado y doctor en Relaciones Internacionales. Director de la Maestría en Relaciones Internacionales de la Universidad del Salvador (USAL). Docente e investigador en niveles de grado y posgrado en la USAL, Universidad Austral, Universidad Nacional de La Plata y Universidad de la Defensa Nacional. Correo electrónico: mariano.bartolome@usal.edu.ar.
  3. Cabe aclarar que la cuestión de los límites difusos es particularmente relevante en casos como el de la República Argentina, donde el marco normativo que regula las actividades de seguridad y defensa discrimina entre amenazas internas y amenazas exógenas, criterios de difícil aplicabilidad en el ciberespacio.
  4. En la literatura especializada en idioma inglés, resulta usual la referencia a las infraestructuras críticas mediante la sigla CI/KR, por “Critical Infrastructure and Key Resources”.
  5. El centro académico en cuestión es el Council on Foreign Relations, y su programa online de monitoreo de incidentes cibernéticos a escala global, con actualización permanente, se encuentra disponible en https://on.cfr.org/3abiOo3.
  6. En un reportaje, Assange explicó que “wiki” significa “rápido” en hawaiano, o sea que WikiLeaks significa “filtraciones rápidas”, un nombre inspirado en Wikipedia, la famosa enciclopedia online.
  7. La exsoldado y analista se llamaba Chelsea Manning y recibió en el año 2013 una condena de 35 años de cárcel, argumentando que las filtraciones comprometieron la seguridad nacional y pusieron en peligro la vida de sus soldados, agentes y colaboradores. Manning fue indultada en 2017 por Barack Obama justo antes de abandonar la Casa Blanca, aunque dos años más tarde fue arrestada nuevamente tras negarse a testificar en un juicio contra WikiLeaks.
  8. Argentina adhirió a esta convención en noviembre de 2017.
  9. Los delitos definidos por el Convenio son: acceso ilícito; interceptación ilícita; ataque a la integridad de datos; ataques a la integridad del sistema; abuso de los dispositivos; falsificación informática; fraude informático; delitos relacionados con la pornografía infantil; y delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines.
  10. La declaración indica explícitamente que la Secretaría Ejecutiva del CICTE, a pedido de los Estados miembros, colaborará en el desarrollo de un proyecto de asistencia técnica que le permita al requirente elaborar un listado de sus infraestructuras críticas junto con su clasificación y vulnerabilidades.


Deja un comentario