Las claves para comprender la estrategia cibernética francesa y sus riesgos

El Ejército francés reconoce la importancia de usar las capacidades de las ofensivas cibernéticas para proteger la seguridad nacional
Atalayar_, la Ministra de Defensa francesa Florence Parly

AP/MICHAEL SPINGLER  -   Fotografia de archivo, la Ministra de Defensa francesa Florence Parly en la Conferencia de Ciberseguridad en Lille, Francia, el 22 de enero de 2019

El ciberespacio se ha convertido en el nuevo tablero de la guerra y cada vez más Estados se están preparando para combatir, invirtiendo en el desarrollo de armas cibernéticas. Francia es uno de los países europeos que más está invirtiendo en capacidades cibernéticas, que son utilizadas de manera habitual en las operaciones militares, ya sea en respuesta, iniciación o apoyo a una operación.

El año pasado, la ministra de Defensa francesa, Florence Parly, y el CEMA (Chef d'État-Major des armées) anunciaron una nueva estrategia y doctrina para guiar las operaciones de ciberdefensa y ciberofensiva. El Ministerio publicó un documento estratégico llamado ‘Elementos Públicos para la Doctrina de la Ciberguerra Militar’ que ofrece las primeras directrices claras sobre cómo Francia utilizará las capacidades ciberdefensivas y ciberofensivas en el ámbito militar. 

Atalayar_Soldados franceses participan en la Operación Baccarat 2020
AFP/ JEFF PACHOUD - Soldados franceses participan en la Operación Baccarat 2020, un ejercicio militar en condiciones reales, cerca de Grenoble el 19 de septiembre de 2020

En este documento del CEMA, se explica la importancia de utilizar las capacidades de la ciberofensiva para garantizar la seguridad nacional y hacer frente a las nuevas amenazas cibernéticas. Las capacidades ciberofensivas permiten a los países llevar a cabo discretamente operaciones contra sistemas digitalizados, sustituyendo, preparando o complementando otros métodos de acción convencionales.

En el plano operacional, este tipo de ciberofensa se utiliza sobre todo para evaluar la capacidad militar del adversario, en particular en lo que respecta a su capacidad de reunión y extracción de información. Por último, esta capacidad ofensiva se utiliza para alterar las percepciones o la capacidad de análisis del adversario, modificando discretamente los datos a los que tienen acceso. Además, mediante diferentes tipos de ciberataques, es posible conseguir que los intentos de piratería del enemigo se vuelvan contra sí mismos, por ejemplo, insertando un malware en uno de los documentos internos que se sabe que van a extraer. 

Atalayar_Un militar  francés especializado en ciberdefensa trabaja en unos servidores.
AFP/ PHILIPPE HUGUEN  - Un militar francés especializado en ciberdefensa trabaja en unos servidores

Estas ciberarmas son distintas a las armas convencionales y suponen unos riesgos y desafíos muy particulares en su uso. Algunos ejemplos de los grandes desafíos a los que se enfrenta la ciberofensa francesa son la inmediatez de las ciberacciones y la hiperconectividad. Además, la tecnología de la ciberofensa es tan sofisticada que requiere una gran precisión en su uso, pudiendo tener daños colaterales inesperados, lo cual no es el caso de la mayoría de las armas convencionales.

Otro riesgo ligado a su sofisticación es la dificultad de reclutar y formar en estas capacidades a los mandos militares que tienen que integrar las capacidades ciberofensivas a sus estrategias convencionales. Adaptar los procesos habituales para que se tengan en cuenta las ciberarmas es complejo a nivel nacional, y se complica más cuando hay que añadir a otros actores socios como son la Unión Europea y la OTAN. Estos desafíos son mencionados brevemente en el documento estratégico previamente citado, pero hay otros desafíos doctrinales y operacionales que deben ser tenidos en cuenta para la ciberestrategia francesa. 

Atalayar_Logotipo de la ANSSI
AFP/ PHILIPPE HUGUEN - Logotipo de la ANSSI (Agencia Nacional de la Seguridad de los Sistemas de Información, Agencia Nacional de Ciberseguridad de Francia)

En cuanto a los desafíos doctrinales relacionados con el uso de las capacidades ciberofensivas, la primera laguna que debe abordarse es la diferencia entre el uso de medios ofensivos en tiempos de paz y en tiempos de guerra. Según el derecho internacional público, la acción ciberofensiva que causa daños graves puede constituir un ataque armado al dar al país atacado el derecho a utilizar la defensa propia. Por ejemplo, las Fuerzas Armadas israelíes lanzaron un ataque aéreo contra Hamás después de haber intentado piratear sin éxito objetivos israelíes. Si hubieran llegado a conseguir piratear algún sistema vital israelí, el enfrentamiento podría haber escalado a una guerra.

Se debe hacer un esfuerzo internacional mayor para asegurar que los ciberataques utilizados en tiempos de paz y de guerra son proporcionados y medidos. Como ya se ha mencionado, toda acción en el ciberespacio tiene riesgos colaterales inimaginables. Por ahora, el único esfuerzo a nivel internacional de promover las buenas prácticas es a través de la ‘Declaración Conjunta sobre el Fomento del Comportamiento Responsable del Estado’, que está firmada por algunos países, pero no por todos, y que no es suficiente como marco jurídico. 

Atalayar_Ciberataques
REUTERS/KACPER PEMPEL - Se debe hacer un esfuerzo internacional mayor para asegurar que los ciberataques utilizados en tiempos de paz y de guerra son proporcionados y medidos

Ligado al punto anterior, otro riesgo único de las capacidades ciberofensivas es el problema de la rastreabilidad y el uso de la legítima defensa. Independientemente del tipo de ciberataque, ningún gobierno anunciaría que ha llevado a cabo una operación para anular las capacidades de un enemigo. Es precisamente este secreto el que puede llevar a un conflicto internacional si el ataque puede ser rastreado hasta el territorio francés.

De hecho, Francia considera que los ciberataques contra sistemas situados en su territorio que causan daños importantes pueden constituir un ataque armado que da derecho al uso de la legítima defensa. Por ello, si el país que sufre el ciberataque logra identificar a Francia como autor de este, podría sufrir represalias. Este riesgo se agrava exponencialmente cuando se considera que, como el ataque proviene de territorio francés, el Gobierno está automáticamente involucrado, cuando podría no ser el caso. Este problema es compartido con tras potencias cibernéticas.

Atalayar_5G Huawei
REUTER/DADO RUVIC - En el caso del 5G, por ejemplo, si Huawei fuera el proveedor de la nube en la que el Gobierno almacena datos relativos a la ciberofensa, Huawei, y, por lo tanto, el Gobierno chino, tendría acceso a estos datos cuando se transfieren de un lugar a otro

Con respecto a los desafíos operacionales, en el caso de la ciberdefensa, los problemas de almacenamiento de datos y el uso de redes privadas y los servidores son siempre un riesgo para la seguridad. En el caso del 5G, por ejemplo, si Huawei fuera el proveedor de la nube en la que el Gobierno almacena datos relativos a la ciberofensa, Huawei, y, por lo tanto, el Gobierno chino, tendría acceso a estos datos cuando se transfieren de un lugar a otro. La autonomía estratégica en los servidores físicos, el sistema de red y la nube se está convirtiendo en uno de los retos más importantes para Francia y más difíciles de solucionar por el coste que supone un servidor público propio con la cantidad de datos que se almacenan diariamente.

En último lugar, el desarrollo de ciberataques ofensivos, en particular los destinados a obtener información del enemigo, ya tienen un alto componente de inteligencia artificial y cada día aumenta la tendencia en la inversión en armas autónomas cibernéticas. Como en casi todo desarrollo tecnológico, las empresas privadas están muy por delante del Estado, especialmente en todo lo relacionado con la inteligencia artificial. Para que Francia no se quede obsoleta como potencia cibernética, es imprescindible que el Gobierno francés se apoye en el desarrollo de empresas privadas, manteniendo su autonomía estratégica. Esto último supondrá un desafío importante, sobre todo cuando la mayoría de las empresas privadas en defensa comienzan a tener inversores privados que no siempre son nacionales.