Por tierra, por mar, por aire. ¿Y por internet?
Roni Katzir || Dado Center
Introducción
He
decidido establecer una autoridad nacional para asuntos cibernéticos,
que se encargará de la ciberdefensa de Israel. No solo para la defensa
de instalaciones importantes y centros de defensa, sino también para
proteger a los ciudadanos de Israel de ataques. Esta es una nueva
autoridad; es, en efecto, el establecimiento de una Fuerza Aérea Israelí
contra nuevas amenazas... Nos encontramos en un nuevo mundo,
preparándonos con nuevas fuerzas.[1]
Con
estas palabras, el primer ministro israelí, Benjamin Netanyahu,
inauguró la reunión del gabinete en la que anunció su intención de
establecer una “Autoridad Nacional de Defensa Cibernética”, que serviría
como brazo ejecutivo de la Oficina Cibernética Nacional.
Unos
meses después, el gobierno aprobó la decisión de establecer la
Autoridad. Su función, una vez establecida, será defender el territorio
nacional de Israel en el ciberespacio. Esto incluirá la formulación de
evaluaciones de la situación nacional sobre el terreno, la
identificación de amenazas y ataques, y la gestión de ataques e
incidentes en tiempo real. Todo esto se realizará en coordinación con
las entidades de seguridad pertinentes.[2]
Esta
decisión pone fin (por ahora) a la disputa en curso entre la Agencia de
Seguridad de Israel (también conocida como Shabak/Shin Bet) y la
Oficina Cibernética Nacional sobre cuál de los dos organismos estaría
encargado de defender al sector civil de las amenazas cibernéticas.
Curiosamente,
la voz de las FDI estuvo ausente del debate. La decisión deja claro que
las FDI no asumirán la responsabilidad (ni la autoridad) de defender a
Israel de las amenazas en el ciberespacio.
Se establecerá una "fuerza cibernética", pero a diferencia de las
fuerzas aéreas, navales y terrestres, esta se establecerá y existirá
fuera de las FDI.
Este
artículo analizará las implicaciones prácticas de la decisión de Israel
de establecer una Autoridad Nacional de Ciberdefensa y el papel de las
Fuerzas de Defensa de Israel (FDI) en este ámbito. Examinará
críticamente la decisión de arrebatarle a las FDI la responsabilidad de
la defensa nacional en el ciberespacio y transferirla a una nueva
entidad encargada de defender los intereses civiles en el ciberespacio.
Para
examinar esta cuestión, comenzaré por analizar el significado del
término "ciberguerra" e intentaré comprender el tipo de amenaza que
enfrenta Israel. También revisaré el desarrollo de las instituciones
israelíes dedicadas a este campo. Esto nos servirá de base para debatir
la entidad adecuada para asumir la responsabilidad de la ciberdefensa, y
me referiré, entre otros aspectos, a la definición y función de las
Fuerzas de Defensa de Israel (FDI), así como a las dificultades
inherentes a su empleo por parte de una entidad civil.
¿Qué es la guerra cibernética?
La
ciberamenaza es un fenómeno multifacético, pero para representar una
amenaza estratégica para un estado como Israel, con una infraestructura
cibernética avanzada, un atacante necesita una combinación de intención y
medios. Independientemente de la intención, y suponiendo que exista,
hoy en día las herramientas para actuar contra un estado avanzado están
principalmente en manos de las potencias mundiales. Sin embargo, es
probable que estas herramientas sean obtenidas por organizaciones
terroristas y estados que apoyen el terrorismo contra Israel en el
futuro. Por lo tanto, la principal amenaza, incluso en el ciberespacio,
sigue siendo la amenaza a la seguridad, o más precisamente, la amenaza
de la ciberguerra.
La
relación entre el desarrollo del mundo tecnológico y la evolución del
campo de batalla moderno es evidente. La avalancha de información y
tecnologías que ha penetrado en el campo de batalla, y la accesibilidad a
las capacidades de ciberataque para cualquiera que tenga acceso a una
computadora personal, han provocado un cambio fundamental en las características de la guerra[3] y dieron origen al término «ciberguerra».
En la década de 1990, se desarrolló por primera vez el concepto de "guerra de la información".[4] Pensadores
y académicos militares, liderados por Alvin y Heidi Toffler, debatieron
la importancia de la información y su control en el campo de batalla.
En aquel entonces, prevalecía la suposición de que la guerra de la
información y la ciberguerra eran un mismo fenómeno.[5] Surgió
un debate conceptual cuando Arquilla y Ronfeldt, politólogos de la
Corporación Rand, publicaron un artículo con el inquietante título "¡Se
aproxima la ciberguerra!"[6] ,
que preveía un profundo cambio en la estructura de las organizaciones
militares ante la previsible frecuencia de ciberguerras basadas exclusivamente en información transmitida electrónicamente.
A
partir de ese momento, el mundo se dividió en dos grupos: los
alarmistas, pesimistas que predicen que el desarrollo de capacidades
cibernéticas podría derribar un estado moderno; y los escépticos, que
comprenden la existencia de una ciberamenaza que puede dañar la
infraestructura civil o nacional, pero la consideran una simple
molestia, no una amenaza nacional.[7] Con
los años, se ha desarrollado un debate en torno a este eje en relación
con la política estadounidense para abordar las ciberamenazas. Sin
embargo, la experiencia adquirida en los últimos años ha dado lugar a un
consenso general: contrariamente al concepto defendido por Arquilla y
Ronfeldt, la mayoría de los expertos actualmente tienden a aceptar la
afirmación de que la dimensión cibernética no es un campo de batalla
independiente. Así como es improbable que en el campo de batalla moderno
la guerra se desarrolle
en una sola dimensión (aire, mar o tierra), también es improbable que
la guerra se desarrolle únicamente en la dimensión cibernética.
El
ataque a Irán, conocido como Stuxnet, reforzó este enfoque. Este ataque
se considera uno de los más avanzados de la historia y fue el primero
en causar daños físicos considerables.[ 8] Sin
embargo, aunque se invirtieron grandes esfuerzos en el ataque, su
resultado fue, en el mejor de los casos, un pequeño obstáculo para el
programa nuclear iraní.[9]
Por
lo tanto, en el contexto militar, las capacidades cibernéticas son una
sofisticada incorporación a las herramientas de las fuerzas de combate,
como lo fueron el avión, el submarino y la bomba nuclear. Esta
comprensión de la ciberamenaza debería fundamentar el debate sobre cómo
defenderse de ella.
El desarrollo de las instituciones de ciberdefensa en Israel
Israel
fue uno de los primeros estados en identificar los desafíos emergentes
que presentaba el ciberespacio. En 1997, se creó el Proyecto Tehila
(Infraestructura Gubernamental para la Era de Internet) para proteger
las conexiones de los ministerios gubernamentales a Internet. En 2002,
se creó la Autoridad Nacional de Seguridad de la Información, dentro de
la Agencia de Seguridad de Israel (ISA).[10] Esta
Autoridad proporciona asesoramiento profesional sobre seguridad de la
infraestructura informática a entidades de importancia nacional, contra
amenazas de terrorismo, espionaje y exposición.[11]
Ante las crecientes amenazas en el ciberespacio,[12] en noviembre de 2010 se creó un equipo especial para elaborar un programa nacional destinado a colocar a Israel entre los cinco estados líderes en términos de actividad en el ciberespacio.
Tras
su labor, denominada "Iniciativa Cibernética Nacional", el gobierno
decidió en agosto de 2011 establecer una Oficina Nacional de
Ciberseguridad en la Oficina del Primer Ministro. La misión de la
Oficina es formular el concepto de defensa de Israel en el ciberespacio y
promover la cooperación entre las entidades gubernamentales, el mundo
académico, la industria y el sector privado. La Oficina también se
encarga de establecer un programa para el desarrollo de tecnologías e
investigación en ciberinfraestructura.[13] La
Oficina de Ciberseguridad se creó por recomendación de un equipo
encabezado por el presidente del Consejo Nacional de Investigación y
Desarrollo, el mayor general (en reserva) profesor Yitzhak Ben Israel.
El establecimiento de la sede tenía como objetivo crear una "base
estratégica" para todas las unidades operativas que proporcionan
ciberdefensa (ISA, FDI, Policía de Israel, etc.).[14]
El
siguiente paso en el desarrollo de la infraestructura nacional de
ciberdefensa fue el establecimiento de la Autoridad Nacional de Defensa
del Ciberespacio. Tras la declaración del Primer Ministro citada al
inicio de este artículo, el 15 de febrero de 2015, el Gabinete aprobó un
plan integral para la preparación nacional en el ciberespacio. La
decisión estipula el establecimiento de una Autoridad Nacional de
Ciberdefensa dentro de la Oficina del Primer Ministro, que tendrá la
responsabilidad nacional general de la ciberdefensa. La función
principal de la Autoridad es «dirigir, operar y ejecutar, según sea
necesario, todas las iniciativas defensivas y operativas a nivel
nacional en el ciberespacio, con base en un enfoque sistémico, para
permitir una respuesta defensiva completa y continua a los ciberataques,
incluyendo la gestión de amenazas y eventos ciberespaciales en tiempo
real...».[15]
También
se decidió que la Autoridad operará un Equipo de Preparación para
Emergencias Informáticas (CERT-IL), cuyas funciones serán similares a
las de entidades equivalentes a nivel mundial: coordinar la información
relevante sobre ciberdefensa y compartirla con todos los actores de la
economía (incluidos los civiles) para mejorar la preparación nacional
ante ciberataques. La Autoridad también se encarga del diseño, la
implementación y la integración de una doctrina nacional de
ciberdefensa; de la preparación y preparación de la economía israelí
para la actividad ciberespacial; y de la promulgación de regulaciones
que orienten la economía y el mercado de servicios de ciberdefensa.
La
importancia de esta decisión radica en que, junto con la Oficina
Cibernética, se establecerá un brazo operativo con la responsabilidad,
la autoridad y la capacidad para llevar a cabo actividades proactivas en
el ciberespacio en beneficio de la defensa nacional. La responsabilidad
de la Autoridad abarcará todos los esfuerzos de defensa en el
ciberespacio, y de la decisión se desprende que todas las demás agencias
que operan en este ámbito, si bien conservarán su independencia en
áreas específicas, actuarán de acuerdo con las directrices y la doctrina
que determine la Autoridad.
Además
de los organismos nacionales, las Fuerzas de Defensa de Israel (FDI)
también han establecido entidades cibernéticas. La Oficina Cibernética
de las FDI está subordinada a la Unidad SIGINT 8200 de las FDI y se
encarga principalmente de los aspectos operativos de la ciberguerra.[16]
Otra
entidad es el Departamento de Ciberdefensa, dentro de la Dirección C4I.
Su principal tarea es frustrar los ataques de inteligencia y prevenir
interrupciones y daños a los componentes de los sistemas informáticos de
las FDI, con el fin de garantizar la operación continua, la
disponibilidad y la integridad de sus procesos informáticos. El
Departamento emplea las capacidades tecnológicas más avanzadas y ha
desarrollado conceptos de guerra innovadores. Sin embargo, la misión del
Departamento indica que sus principales tareas son las definidas
doctrinalmente como "seguridad", comparables a la protección de las
bases de las FDI. No se ocupa de la defensa
operativa ni nacional, es decir, de la defensa de las fronteras del
estado y la seguridad de sus ciudadanos frente a las amenazas
enemigas.[17]
Defensa en el ciberespacio versus defensa contra la ciberguerra
Existen
numerosas definiciones del término ciberespacio, cuyo denominador común
es que se trata de una dimensión compleja y en constante evolución, y
cualquier intento de definirlo está prácticamente condenado al fracaso
desde el principio. Por lo tanto, no analizaré una definición de
ciberespacio. Sin embargo, intentaré evaluar el tipo de defensa
necesario en esta dimensión y distinguir entre las amenazas al
ciberespacio y las amenazas derivadas de la ciberguerra.
Uno
de los principales factores que configuran la estrategia estatal en el
ciberespacio es el reconocimiento de que, por un lado, este es un
espacio crucial para el funcionamiento continuo del Estado moderno y,
por otro, está expuesto a diversas amenazas, algunas de las cuales
difieren de las amenazas clásicas a las entidades estatales. Por
ejemplo, un solo atacante anónimo en el ciberespacio que ataque
instituciones civiles (como bancos) con fines delictivos puede causar
daños estratégicos e incluso tangibles a la seguridad de un Estado que
carece de las defensas adecuadas. En consecuencia, una preparación
adecuada de ciberdefensa por parte de un Estado requiere la integración
de sistemas gubernamentales y civiles para establecer sistemas
defensivos, recopilar información y abordar las amenazas en tiempo real.
Se
pueden distinguir tres áreas de defensa del ciberespacio: la defensa de
la infraestructura crítica (actualmente encomendada a la ISA)[18]; el ámbito gubernamental-civil, actualmente defendido por la Autoridad de TIC del gobierno; y el ámbito de defensa/seguridad, donde cada organización defiende su propio sector .
Además,
es imperativo preparar una defensa intersectorial especializada. Por
ejemplo, en el ámbito penal se requiere un paquete integral que incluya
la prevención, la investigación y la represión de los delitos
cibernéticos, actualmente a cargo de la Policía de Israel. Sin embargo,
la defensa intersectorial requiere la recopilación de inteligencia para
la alerta e interceptación, y un centro nacional para identificar,
investigar y gestionar la campaña. Las tareas de recopilación de
inteligencia deben consolidarse mediante un departamento especial que se
establecerá en la Oficina Nacional de Ciberseguridad.
En
cuanto a un centro nacional para gestionar dicha campaña, debería
establecerse un Comando Cibernético dentro de las Fuerzas de Defensa de
Israel (FDI), que serviría como brazo operativo cibernético en
situaciones de emergencia. Las razones son principalmente prácticas. El
ciberespacio es una dimensión de la guerra y las FDI son la única
organización capaz de responder con rapidez y eficacia a las amenazas
emergentes, utilizando al mismo tiempo los recursos presupuestarios y el
personal disponibles. Además, las FDI tienen la flexibilidad operativa
para actuar en todas las áreas de la guerra. Al mismo tiempo, la
comprensión de que la responsabilidad de la defensa del sector civil
debe recaer en una entidad civil que opere bajo la Oficina Nacional de
Cibernética se refleja en las decisiones gubernamentales.[19]
El
establecimiento de una Autoridad Nacional de Ciberdefensa, cuyas
funciones se describieron anteriormente, demuestra que el concepto
adoptado por el gobierno israelí es una respuesta unificada a las
amenazas civiles y de seguridad, a través de una autoridad civil que
también dirigirá las actividades de las fuerzas de seguridad. La
Autoridad deberá gestionar, operar y ejecutar todas las operaciones de
defensa en el ciberespacio. Parece que la Autoridad pretende extender su
influencia a todos los ámbitos de la defensa, e incluso liderará la
defensa intersectorial, tanto en términos de recopilación de
inteligencia como de la gestión de la campaña.[20]
La
respuesta propuesta requiere un enfoque holístico de las amenazas al
ciberespacio y a la infraestructura israelí, y es coherente con el
enfoque que considera al ciberespacio como una nueva dimensión de la
guerra, que requiere una respuesta única.
Las Fuerzas de Defensa de Israel también se defienden en el ciberespacio
Una
de las principales razones para establecer una Autoridad de
Ciberdefensa civil es que una proporción sustancial de las amenazas
involucra objetivos civiles. Por consiguiente, y considerando la
naturaleza de la dimensión de la ciberguerra, ejercer la responsabilidad
en este ámbito implica necesariamente ejercer autoridad sobre entidades
civiles.
Mi
interpretación del término ciberguerra, como se ha señalado, subvierte
estas ideas. Si percibimos el ciberespacio como un escenario de guerra
único e integral, la afirmación de que requiere una respuesta única
cobra sentido. Pero si aceptamos que la ciberguerra no es un concepto
aislado, sino una extensión del campo de batalla existente, entonces
abordar esta amenaza debería formar parte de la lucha contra toda la red
de amenazas dirigidas contra el Estado. Este concepto vuelve a poner
las cuestiones militares en el centro de la escena.
En
Israel, las Fuerzas de Defensa de Israel (FDI) son la entidad encargada
de defender las fronteras del Estado de amenazas externas. Su estatus
se basa en la Ley Fundamental: El Ejército, que establece que «las FDI
son el ejército del Estado».[21] La
Ordenanza de Ley y Administración estipula que el ejército «tendrá
autoridad para realizar todos los actos legales y necesarios para la
defensa del Estado».[22] La
misión de las FDI también se deriva de esta Ordenanza, que establece
que: «Con sujeción a las autoridades competentes del Estado de Israel y a
sus decisiones, las FDI están designadas (...) para defender el Estado
de Israel tal como fue fundado, su integridad territorial y las
fronteras de su territorio (...), la seguridad de sus ciudadanos (...), y
cualquier otro interés nacional (...) contra cualquier enemigo o
amenaza, externa e interna».
Es
indiscutible que, como parte de su propósito y función, las Fuerzas de
Defensa de Israel (FDI) también son responsables de defender
instituciones civiles, como las compañías eléctricas y de agua, y los
bancos, de
amenazas externas. Es evidente que las FDI son responsables de
interceptar ataques aéreos, marítimos y terrestres, incluso cuando están
dirigidos contra civiles. De ser así, ¿qué diferencia hay en la
dimensión cibernética? Comprender la ciberguerra como parte de la guerra
clásica respalda la conclusión de que la responsabilidad general de la
defensa contra las ciberamenazas debe recaer en las FDI.
Además,
para cumplir con sus responsabilidades, las Fuerzas de Defensa de
Israel (FDI) recibieron la autoridad para actuar en el sector civil
durante emergencias. Las FDI aún conservan las facultades derivadas del
Reglamento de Defensa, que permiten, por ejemplo, el cierre de zonas
dentro del estado (que se activa rutinariamente), la evacuación de
personas de ciertas zonas, el cierre de carreteras e incluso la
dirección de civiles. Por lo tanto, no existe impedimento alguno, en
principio, para confiar al ejército la autoridad necesaria para cumplir
con sus responsabilidades en el ciberespacio, incluso si su
implementación implicara ciertas violaciones de las libertades
individuales.[23]
La
ley que regula el establecimiento de las Fuerzas de Defensa de Israel
(FDI) como única fuerza armada en el Estado de Israel consagra el
principio democrático fundamental de que, por un lado, el Estado tiene
derecho a defender su existencia, incluso mediante la fuerza, y por
otro, las fuerzas armadas están concentradas en una sola entidad y se
limitan exclusivamente a realizar las acciones necesarias para la
defensa del país. Asimismo, la Ley Básica del Ejército especifica que
«no se establecerán ni mantendrán fuerzas armadas fuera de las Fuerzas
de Defensa de Israel, salvo por ley». Por lo tanto, parece que la
intención de establecer una nueva entidad operativa, que requiera
poderes que impliquen el uso de la fuerza contra entidades extranjeras,
plantea dificultades constitucionales fundamentales.
Unidad de Mando: Entre el ciberespacio y el frente interno
Argumenté
anteriormente que la ciberamenaza forma parte de la campaña militar,
por lo que es apropiado confiar la respuesta a las Fuerzas de Defensa de
Israel (FDI). Algunos afirman que las características únicas de la
ciberguerra, como el anonimato de los atacantes, la posibilidad de que
cualquiera con una computadora pueda llevar a cabo un ataque y los
resultados virtuales de un ataque, justifican el establecimiento de una
autoridad civil, manteniendo al mismo tiempo la capacidad operativa y la
facultad de usar la fuerza, en manos de las FDI, para que la Autoridad
la aplique si es necesario.[24]
Esta
opción podría socavar el principio fundamental de unidad de mando,
según el cual cada funcionario de las FDI es responsable ante la
autoridad de un solo comandante. Esta división del mando socavaría la
disciplina militar. Según este principio, ninguna autoridad civil
debería tener jurisdicción sobre los soldados de las FDI, quienes están
simultáneamente sujetos al mando militar.[25] Podemos ilustrar esta dificultad con dos posibles escenarios.
Un
ejemplo de este escenario es la amenaza de un ciberataque arbitrario
contra infraestructura civil crítica. En respuesta, la Autoridad podría
ordenar la acción inmediata de una unidad militar. Por supuesto,
mientras la unidad esté sujeta al mando militar, esta instrucción
plantea una dificultad. ¿Cómo elegirá la unidad entre las tareas que le
impone su mando militar y la misión civil? ¿Quién priorizará las
misiones y la asignación de recursos?
Se
podría argumentar que esta dificultad se resolvería si la unidad
militar estuviera completamente subyugada a la Autoridad. Sin embargo,
esta solución conduce a un segundo escenario: la integración de una
ciberamenaza en una guerra total. Un ciberataque podría ser, por
ejemplo, un ataque preliminar a uno cinético. En este caso, ¿qué entidad
liderará la gestión del evento? ¿La Autoridad, responsable de la
ciberdefensa
, o las Fuerzas de Defensa de Israel (FDI), responsables de la defensa
frente a otros escenarios de guerra? ¿Cómo se integrarían ambas "fuerzas
armadas"? ¿Quién decidiría si los ciberguerreros, bajo el mando de la
Autoridad, se emplearían en defensa u ofensiva?
Recientemente
se realizó un intento similar en el ámbito del frente interno. Con la
creación del Ministerio de Defensa del Frente Interno, se intentó
dotarlo de la autoridad para emplear directamente el Comando del Frente
Interno. La postura de las FDI al respecto fue firme e inequívoca: el
Jefe del Comando del Frente Interno tiene un solo comandante: el Jefe
del Estado Mayor de las FDI. Las FDI también insistieron en que, en caso
de emergencia, es imposible separar el frente de la retaguardia, y que
el Ministerio de Defensa y las FDI deben tener plena autoridad para
gestionar incidentes de emergencia. En cuanto al Ministerio de Defensa
del Frente Interno, se propuso que se centrara principalmente en la
coordinación entre el gobierno, otras entidades y autoridades locales, y
en la preparación de estas últimas para emergencias.
La
analogía con las tareas del Comando del Frente Interior lleva a dos
conclusiones importantes. Una de ellas se refiere a la responsabilidad.
La justificación de que las FDI deben tener plena responsabilidad en la
gestión de incidentes de emergencia también es válida para las
emergencias en el ciberespacio, especialmente en el caso de eventos de
guerra integrada. Esto también aplica a las instrucciones a la población
en el frente interior. Se asignó a las FDI responsabilidad en este
ámbito, entendiendo que dispondrían de la información más actualizada
sobre la naturaleza de las amenazas más recientes, sus probabilidades de
ocurrencia y la forma adecuada de defenderse. Asimismo, el ejército
tiene la capacidad de determinar, sujeto a la orientación política, qué
acciones de la población contribuirían mejor a los objetivos de toda la
campaña. Es muy posible que en futuras guerras que involucren
ciberguerra, sea necesario orientar a la población sobre cómo
comportarse en el ciberespacio (por ejemplo, mediante directrices que
restrinjan el uso de internet o computadoras). El reconocimiento de que
las campañas cibernéticas y cinéticas son una misma cosa respalda la
conclusión de que esta responsabilidad también debería confiarse a la
entidad que se ocupa de la gestión completa de la campaña, las FDI.
La
segunda conclusión se refiere a la cuestión de la autoridad. Si se
determinara que es posible otorgar a las Fuerzas de Defensa de Israel la
autoridad necesaria para participar en la gestión de emergencias en el
frente interno, tarea que por su naturaleza implica ejercer autoridad
sobre civiles,[26] no hay impedimento, en principio, para otorgarles poderes similares para afrontar la amenaza de la ciberguerra.
El Palmach y el ciberespacio
Finalmente,
quisiera presentar una perspectiva ligeramente diferente sobre el tema.
El Dr. Alexander Vacca, experto en seguridad de sistemas de información
y director de estrategia de Northrop Grumman Corporation, afirma que la
forma en que se formula una doctrina de combate está fuertemente
influenciada por la cultura de la organización que la forma.[27] La cultura
organizacional se refleja en el lenguaje único común a todos los
miembros de la organización; en el sistema de analogías y metáforas que
nos permite comprender qué motiva a los miembros de una organización; y
en los contextos causales que explican los fenómenos y las tradiciones
dentro de la organización; y, especialmente, configuran la forma en que
se procesa la nueva información.
Según
el enfoque de Vacca, es prematuro definir la naturaleza de la
ciberamenaza y, en consecuencia, decidir la forma correcta de abordarla.
Por lo tanto, propone una "herramienta cultural" para predecir cómo
evolucionaría la doctrina de combate en el mundo cibernético, según la
entidad responsable de su implementación. Con esta herramienta, intenta
predecir el desarrollo del concepto de ciberguerra del Comando
Cibernético de la Armada de los EE. UU., en contraste con el desarrollo
del Comando Cibernético de la Fuerza Aérea de los EE. UU.
La
cultura de combate de la Armada estadounidense se basa en gran medida
en los escritos de Alfred Mahan, almirante de la Armada estadounidense,
historiador y pensador militar, considerado "el estratega
estadounidense más importante del siglo XIX". Mahan argumentó que la
Armada era crucial para mantener el comercio global y la capacidad de
desplegar fuerzas de un lugar a otro, permitiendo la intervención en
conflictos militares, aumentando así la influencia de las fuerzas
armadas más allá de su poder real. Así, desarrolló la doctrina militar
de la Armada estadounidense, basada en parte en buques poderosos que
equilibran la ofensiva y la defensa, capaces de derrotar a cualquier
enemigo en el mar y difíciles de derrotar; en un enfoque proactivo, en
lugar del concepto pasivo de crear disuasión; y en el concepto de que
derrotar al enemigo en el mar traería indirectamente la victoria en la
guerra. Vacca afirma que estas características también darían forma a la
doctrina de combate del Comando Cibernético, que se basaría en asegurar
el ciberespacio y su mantenimiento como medio de comercio y transmisión
de información militar.
En
comparación con la Armada, la doctrina de combate de la Fuerza Aérea
está influenciada por los escritos del pensador militar Giulio Douhet,
uno de los pioneros en el ejercicio del poder aéreo a principios del
siglo XX. Douhet creía que la mejor defensa es el ataque y veía en la
Fuerza Aérea una máquina ofensiva, cuyo enorme poder disuasorio, pero
que también podía decidir guerras por sí misma, en particular gracias a
la considerable influencia moral de la ofensiva. Dentro de esta cultura,
la Fuerza Aérea ha desarrollado, como era de esperar, un concepto de
ciberguerra basado en una poderosa capacidad ofensiva, sincronizada con
las capacidades cinéticas existentes, y capaz de producir efectos
psicológicos reales que podrían ayudar a derrotar al enemigo.
Esta
herramienta cultural también puede ser útil para delimitar la
responsabilidad de la defensa del ciberespacio en Israel. De hecho, a
diferencia de la situación en Estados Unidos, el número de entidades que
se ocupan del tema no es elevado, y presumiblemente sería difícil
rastrear el razonamiento militar que subyace a la creación de la Oficina
Cibernética de las FDI, o la lógica que subyace a la creación de la
Autoridad Nacional de Ciberdefensa, actualmente en curso.
Sin
embargo, es posible intentar predecir, mediante la herramienta
cultural, los beneficios (y desventajas) que se derivarían de confiar a
las Fuerzas de Defensa de Israel (FDI) la responsabilidad de la
ciberdefensa. No hay suficiente espacio aquí para analizar a fondo las
posibles influencias de la cultura de las FDI en el desarrollo de la
doctrina de ciberguerra. Cabe suponer que el espíritu de lucha de las
FDI, sus principios de combate y doctrina, arraigados en el espíritu del
Etzel desde la época de la organización paramilitar preestatal Palmach,
se revelarían en una doctrina de ciberguerra. En el cambiante entorno
cibernético, donde es difícil predecir qué se desarrollará, cuándo y
cómo ocurrirá el próximo ataque, parece que los sólidos valores de las
FDI sin duda contribuirían al rápido desarrollo de las capacidades
necesarias en el ciberespacio.
Conclusión
Las
amenazas nacionales en el ciberespacio son numerosas y variadas.
Abarcan desde un hacker independiente que irrumpe en las computadoras de
un banco y roba una base de datos de números de tarjetas de crédito;
pasando por grupos organizados que operan a través de la red para lograr
objetivos globales; hasta organizaciones estatales o paraestatales que
utilizan el ciberespacio como arma a todos los efectos. El Gobierno de
Israel decidió recientemente que la respuesta operativa a estas amenazas
debe ser proporcionada por una fuerza cibernética civil, una autoridad
operativa que operará bajo la Oficina Nacional de Ciberseguridad, cuya
función será realizar y gestionar todas las tareas operativas para
defender el ciberespacio. Esto se basa en el reconocimiento de la
necesidad de proporcionar una respuesta uniforme e integral a las
amenazas únicas dirigidas contra Israel en el ciberespacio.
Este
artículo presentó otro punto de vista, que considera la misión de
defender el ciberespacio desde la principal amenaza a la seguridad: la
ciberguerra. Esta amenaza no existe por sí sola, sino que es un eslabón
más en la red de amenazas derivadas del conflicto en el que se ha visto
envuelto el Estado de Israel desde su fundación.
Esta comprensión de la ciberamenaza pone en duda el argumento de que debería ser abordada por una autoridad civil. Así como la
invención del avión, el arma nuclear y el desarrollo de los submarinos
requirieron una reestructuración de las fuerzas armadas existentes
—incluidos los sistemas defensivos que protegían las instalaciones
civiles—, pero no condujeron al establecimiento de ejércitos civiles, la
ciberamenaza debería tratarse de manera similar, y con mayor razón en
el caso de Israel. A diferencia de los estados para quienes la
ciberguerra es una forma moderna de la Guerra Fría entre superpotencias
sin enfrentamiento físico entre ellas,[28] para
Israel, la ciberamenaza proviene principalmente de estados y
organizaciones terroristas con quienes mantenemos un conflicto armado en
curso.
Por
lo tanto, es apropiado que la respuesta a la ciberguerra se dé de la
misma manera que se responde a otras amenazas a la seguridad, es decir, a
través del poder de las FDI. Confiar la responsabilidad y la autoridad a
las FDI se alinea con los principios democráticos que sustentan el
establecimiento de las FDI como una fuerza armada única en el estado,
implementa correctamente la misión y la visión de las FDI, a la vez que
previene un conflicto con el principio básico de unidad de mando. Además
de estos argumentos, también está la tradición militar, que trae
consigo un legado, doctrinas de combate y conceptos cristalizados que
también pueden contribuir al desarrollo más rápido de capacidades en el
ciberespacio. Existen otros beneficios, que debido a las limitaciones de
espacio no se analizaron aquí, como las ventajas de las FDI en el
reclutamiento y desarrollo de recursos humanos, y las ventajas
estructurales y tecnológicas de las FDI.
La
decisión de establecer una Autoridad Nacional de Ciberdefensa es otra
expresión de la responsabilidad de Israel, como líder mundial en este
campo durante años. Sin embargo, esto no nos exime de preguntarnos: ¿es
esta la respuesta más adecuada a una futura ciberguerra? ¿No sería más
apropiado confiar a las Fuerzas de Defensa de Israel (FDI), como
defensoras de las fronteras del Estado en el aire, la tierra y el mar,
esta tarea también en el ciberespacio?
Epílogo
Poco
antes de la publicación de este artículo, se hizo pública la decisión
del Jefe de Estado Mayor de las FDI de establecer una rama
cibernética.[29] Parece
que esta decisión refleja la comprensión entre los líderes militares
del papel de las FDI, entre otros, en la defensa de Israel de las
amenazas de ciberguerra. Sin embargo, parece ser incoherente con la
decisión del Gobierno. Podría generar una disputa de autoridad entre la
rama cibernética civil, que "tendrá la responsabilidad nacional general
de la ciberdefensa y supervisará las actividades de ciberdefensa", en el
ámbito operativo, y la rama cibernética militar. Parece que, para
cumplir con la visión del Jefe de Estado Mayor, será necesario
reexaminar las funciones y responsabilidades de la recientemente
establecida Autoridad de Ciberdefensa.
[1] Extractos de la reunión gubernamental del 21 de septiembre de 2014. Véase: Moti Bassok, “Netanyahu: National Cyber Defense Authority to be Established,” The Marker, September 21, 2014. [Hebrew]
[2] Government of Israel, Cabinet Decision 2444, February 15, 2015.
[3] See, for example: Rex Hughes, “Towards a Global Regime for Cyber Warfare,” in Christian Czosseck and Kenneth Geers (eds.), The Virtual Battlefield: Perspectives on Cyber Warfare, 2009, pp. 106-117.
[4] To analyze the implications of information warfare from the perspective of the end of the 1990’s, see: Yitzhak Ben-Israel. “Information Warfare,” Ma’arachot, 369 (2000), p. 18. [Hebrew]
[5] See, for example: Gil Baram, “Cyber war preparedness,” Ma’arachot, 456 (2014), pp. 22-27. [Hebrew]
[6] John Arquilla and David Ronfeldt, “Cyberwar is coming,” Comparative Studies, 12: (1993), pp. 141-165.
[7] See: Jean-Loup Sammaan, “Cyber Command, The Rift in US Cyber Training Strategy,” RUSI Journal, 155: 16-21 (2010); Ryan Singel, “White House Cyber Czar: There Is No Cyberwar,” Wired.com, 4 March 2010.
[8] See, for example: David Kushner, “The Real Story of Stuxnet,” IEEE Spectrum (26 February 2013), downloaded from Spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet.
[9] Jon R. Lindsay, “Stuxnet and the Limits of Cyber Warfare,” Security Studies, 22 (2013), pp. 365-404.
[10] Ministerial Committee for Security Affairs Decision B/84 of 11 December 2002.
[11] The powers of the ISA in this regard are derived from the “Law Regulating Security in Public Institutions – 1998.”
[12] Desde 2007, el mundo ha sido testigo de varios ataques en el ciberespacio durante disputas entre estados, como los ataques de Rusia a Estonia y Georgia, los ataques de China a Estados Unidos y el ataque Stuxnet en Irán que se mencionó anteriormente. Recientemente, Kaspersky Labs publicó documentación de ataques realizados contra estados involucrados en la búsqueda del avión malasio que desapareció, a los que respondió de inmediato uno de los estados atacados. C ostin Raiu y Maxim Golovkin. “ The Chronicles of the Hellsing APT: The Empire Strikes Back ”, Securelist (15 de abril de 2015). Para una descripción detallada de los ataques que se han publicado, consulte: Sharon Afek, “Bre aking the Rules and Joining in - on the Encounter between Cyberspace and International Law”, Bein Haktavim , vol. 3 (2014), págs. 45-75.
[13] Un
estudio interno realizado por las FDI ofrece una visión general del
desarrollo de la participación israelí en el área de investigación
cibernética.
[14] See also: Shmuel Even and David Siman-Tov, “Cyber Warfare: Concepts and Strategic Trends,” Memorandum 117, Institute for National Security Studies, May 2012, p. 79.
[15] Government of Israel, Cabinet Decision 2444, February 15, 2015 (author’s emphasis).
[16] Sagi Cohen, “8200: Not Only Looking for Geeks with Eyeglasses,” Ynet, 23 October 2012.
[17] Por ejemplo, las « operaciones defensivas » se definen como « bloquear los ataques enemigos e impedir la captura del área defendida...» (División de Operaciones, Doctrina Operacional Básica, pág. 77). Una batalla defensiva se define como «una forma
táctica de batalla, destinada a bloquear los ataques enemigos e impedir
la captura del área defendida, o a prevenir lesiones a las personas y al equipo que se encuentran en el área defendida y de cuya seguridad es responsable el defensor ». (Fuerzas Terrestres, Operaciones de las Fuerzas Terrestres, vol. 3, Operaciones Defensivas, pág. 3).
[18] The Government
decision states that the responsibility for cyberspace will be
transferred within three years from the ISA to the “National Cyber Defense Authority.”
[19] Internal IDF research.
[20] Internal IDF research.
[21] State of Israel, Israeli Basic Law: The Army, 1976.
[22] State of Israel, Law and Administration Ordinance, 1948.
[23] Se
entiende que esto implicaría la implementación de un equilibrio
constitucional entre el propósito para el cual se otorgó la autoridad y
su impacto en el individuo. Sin embargo, este equilibrio es el mismo
independientemente de si la autoridad es militar o civil. En cualquier
caso, el ejercicio de la autoridad debe realizarse con fines legítimos y
sin exceder la extensión requerida.
[24] Es razonable suponer que éste fue uno de los cursos de acción examinados antes de implementar la decisión de establecer la autoridad, aunque sólo sea por las razones prácticas mencionadas anteriormente.
[25] Todo esto es relevante, incluso sin discutir la fuente de la autoridad civil para dar órdenes a un soldado y las consecuencias del incumplimiento de la orden en este caso.
[26] Los poderes del frente interno están definidos principalmente en la Ley de Defensa Civil de 1951.
[27] W. Alexander Vacca, “Military Culture and Cyber Security,” Survival (53 (6)), (2011-12), pp. 159-176.
[28] Por ejemplo, el enfrentamiento entre Estados Unidos y China y Rusia.
[29] Yoav Zitun, “IDF establishes new cyber branch,” Ynet, 15 June 2015. [Hebrew]
Bibliography
-
Afek, Sharon. “Breaking the Rules and Joining in - On the Encounter Between Cyberspace and International Law.” Bein Haktavim, Vol. 3, 2014.
-
Arquilla, John and Ronfeldt, David. “Cyberwar is coming.” Comparative Studies Vol. 12, 1993, pp. 141-165.
-
Baram, Gil. “Cyber war preparedness.” Ma’arachot 456,)2014( .
-
Bassok, Moti. “Netanyahu: National Cyber Defense Authority to be Established.” The Marker, September 21, 2014. [Hebrew]
-
Ben Yitzhak, Israel. “Information Warfare.” Ma’arachot, 369 (2000). [Hebrew]
-
Cohen, Sagi. “8200: Not Only looking for Geeks with Eyeglasses.” Ynet, 23 October 2012.
-
Even, Shmuel and Siman-Tov, David. “Cyber Warfare: Concepts and Strategic Trends.” Institute for National Security Studies Memorandum 114, May 2012.
-
Government of Israel, Cabinet Decision 2444, February 15, 2015.
-
Hughes, Rex. “Towards a Global Regime for Cyber Warfare,” in Czosseck, Christian and Geers, Kenneth (eds.), The Virtual Battlefield: Perspectives on Cyber Warfare. 2009
-
Kushner, David. “The Real Story of Stuxnet.” IEEE Spectrum (26 February 2013), downloaded from: Spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet.
-
Lindsay, Jon R. “Stuxnet and the Limits of Cyber Warfare.” Security Studies, Vol. 22, 2013.
-
Ministerial Committee for Security Affairs Decision B/84 of 11 December 2002.
-
Raiu, Costin and Golovkin, Maxim. “The Chronicles of the Hellsing APT: The Empire Strikes Back." Securelist (15 April 2015).
-
Sammaan, Jean-Loup. “Cyber Command, The Rift in US Cyber Training Strategy.” RUSI Journal 155, 2010, pp. 16-21.
-
Singel, Ryan. “White House Cyber Czar: There Is No Cyberwar.” Wired.com, 4 March 2010.
-
State of Israel, Basic Law: The Army, 1976.
-
State of Israel, Law and Administration Ordinance, 1948. Vacca, W. Alexander. “Military Culture and Cyber Security.” Survival Vol 53, N. 6, 2011-12, pp. 159-176.
