Comparativa entre estrategias nacionales de ciberseguridad

Contenido

EE. UU.        2

Reino de Holanda        3

España        5

Reino Unido        7

Conclusiones        9

Bibliografía.        11

EE. UU.

EE. UU. opta por un enfoque muy reactivo en el ciber espacio. Ya en el prólogo de su National Cyber Strategy establece que su Estrategia busca “desalentar a sus adversarios y, si es necesario, castigar a aquellos que usan ciberherramientas con propósitos maliciosos”, a la vez que identifica específicamente a estos adversarios: “[…] Rusia, China, Irán y Corea del Norte usan el ciber espacio como un medio de desafío a EE. UU.”.  Es el único país de los comentados que identifica explícitamente naciones extranjeras concretas como agentes contra los cuales está dirigiendo sus esfuerzos en el Ciberespacio.

Pero no se queda ahí, sino que dedica uno de los cuatro pilares de su Estrategia a describir como “preservar la paz a través de la fuerza”. En él, reincide en el hecho que diferentes estados usan el ciberespacio para alterar el equilibrio de poder estratégico. Contempla contrarrestar ese hecho mediante la “integración del uso de las ciber opciones a través de todos los elementos del poder nacional”.

Dicho de otro modo, EE. UU. pone énfasis en asegurarse que se imponen consecuencias para los actores cuyo comportamiento en el ciber espacio sea contrario los intereses de EE. UU., utilizando todos los instrumentos disponibles “para prevenir, responder y desalentar la actividad hostil contra los EE. UU, incluyendo las capacidades militares (convencionales y ciber)”.

En resumen, en su estrategia de ciberseguridad, EE.UU. hace el enfoque más agresivo, justificando sus acciones ofensivas como represalias, llegando a incluso contemplar las acciones militares convencionales como complemento a una acción ofensiva en el ciberespacio. “La imposición de consecuencias tendrá un mayor impacto y enviará un mensaje más fuerte”.

Reino de Holanda

En términos generales, la rama ofensiva de la estrategia de ciberseguridad holandesa se centra en la recopilación de información y la elaboración de inteligencia. Ello se extrae del punto 1 los principales esfuerzos de Defensa en cibercapacidades: “inteligencia: capacidad de actuar y atribución”. Justifican esta necesidad en que la adecuada defensa y seguridad no son suficientes para impedir que agentes maliciosos lleven a cabo ciber ataques, y se amparan en el artículo 51 de la Carta de las Naciones Unidas como paraguas legal para estas acciones ofensivas.

Aunque asume que la mayoría de los ataques pueden ser disuadidos debido a la presencia de su Departamento de IT o su CERT, reconoce que las amenazas persistentes (APT’s) llevadas a cabo por actores estatales requieren de “investigaciones de inteligencia o contrainteligencia”.

Aunque la ciberinteligencia se enmarca dentro de las capacidades de explotación, en el caso de Holanda puede considerarse que tiene un carácter más ofensivo, puesto que la definen como “el punto de partida de las ciber capacidades ofensivas”, y permite a entidades como el DISS (Defense Intelligence Secutiry Service, el homólogo holandés de nuestro CIFAS) “tomar acción para interrumpir amenazas concretas en el ciber espacio”. Si bien es cierto que en ningún momento especifican cuáles son esas capacidades ofensivas ni en qué escenarios se llevarían a término.

El otro objetivo que persiguen las ciber capacidades de explotación y ofensivas holandesas es la atribución de autoría, aunque a diferencia de otros países del entorno, no establece represalias como una norma de actuación habitual, sino la reprimenda gubernamental y pública a los perpetradores del ataque. Es decir, se establecen las acciones políticas como principal medida de represalia a los ciber ataques.

Es cierto que en su punto 2 también establecen que “la disuasión requiere no sólo de la capacidad de atribuir ataques, sino también de capacidades ofensivas creíbles. Integrándolas en las operaciones militares actuales y futuras, la Defensa mejorará la visibilidad y la credibilidad de sus ciber capacidades militares.”. Aunque no es una política ofensiva per se, sí se extrae que la intención es que a corto plazo las capacidades “ciber” apoyen a las operaciones militares en el resto de los espacios de batalla, y que esa demostración de fuerza sea aprovechada como arma disuasoria.

A diferencia de Reino Unido o EE. UU., parece que Holanda no busca la superioridad manifiesta de sus cibercapacidades, sino que anida su estrategia dentro de las capacidades de las alianzas a las que pertenece. El carácter ofensivo de sus ciberoperaciones se basa en acciones inmediatas resultantes de la adquisición de información y elaboración de inteligencia, y parecen descartar represalias ofensivas en el ciberespacio como norma de actuación, prefiriendo las acciones políticas y diplomáticas como respuesta.

España

Dentro de la Estrategia Nacional de Ciberseguridad, del año 2019, se fijan varios objetivos que la acción del estado en materia de Ciberseguridad.

Como primer objetivo se establece la “seguridad y resiliencia de las redes y de los sistemas de información y comunicaciones del sector público y de los servicios esenciales.”  El desarrollo de este objetivo en párrafos posteriores hace patente que este objetivo se centra en implantar medidas de seguridad enfocadas a mejorar las capacidades de prevención, detección y respuesta ante incidentes.

Es reseñable el hecho que, a diferencia de otros países del entorno, no se hace referencia alguna a posibles acciones ofensivas o, al menos, demostraciones de fuerza con fines disuasorios. La Estrategia parece establecer un esquema pasivo, con un enfoque totalmente inocuo para los agentes maliciosos. No hace referencia alguna a posibles contramedidas, ni represalias de ningún tipo. Parece que haya un empeño mayúsculo y deliberado dentro de la Estrategia en no contemplar las acciones ofensivas en el Ciberespacio como arma disuasoria.

...