1 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 0 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD)

2 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 1 Concepto y fundamentos de la disuasión. Paralelismos y divergencias entre la disuasión nuclear y la ciberdisuasión. Las dificultades de la disuasión en el ciberespacio. ¿Cómo potenciar la disuasión en el ciberespacio? Disuasión de dominios cruzados. Reflexiones. Guión Disuasión en el ciberespacio

3 CN Enrique Cubeiro (MCCD) 2 Disuasión Acción y efecto de disuadir. Disuadir Inducir, mover a alguien con razones a mudar de dictamen o a desistir de un propósito. Concepto y fundamentos de la disuasión

4 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 3 Potencial atacante ha de percibir (correcta o incorrectamente): Gran dificultad en conseguir el éxito: Coste económico. Dificultad técnica. Posibilidad de ser detectado/identificado. Riesgo elevado frente al beneficio obtenible: Probabilidad de sufrir represalias o castigo. Disuasión por negación Disuasión por represalia Concepto y fundamentos de la disuasión

5 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 4 D I S U A S I Ó N DEFENSA CAPACIDAD DE RESPUESTA VOLUNTAD DE RESPONDER Concepto y fundamentos de la disuasión

6 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 5 Concepto y fundamentos de la disuasión Credibilidad

7 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 6 Paralelismos y divergencias entre la disuasión nuclear y la ciberdisuasión

8 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 7 “If Internet security cannot be controlled, it’s not an exaggeration to say the effects could be no less than a nuclear bomb.” General Fang Fenghui, JEMAD del Ejército Popular de Liberación de China (abril 2013). “I guess I would call cyberweapons the 21st century nuclear weapons equivalent.” John Kerry, Secretario de Estado de los EEUU (enero 2013) Paralelismos y divergencias entre la disuasión nuclear y la ciberdisuasión

9 Ciber: Rango de intensidad desde niveles muy bajos en fase de pre-conflicto (ciber ISR) a muy altos niveles (ciberataques masivos contra ICs) 100110 Paralelismos y divergencias entre la disuasión nuclear y la ciberdisuasión Nuclear: Rango de intensidad desde un nivel elevado de alerta nuclear hasta el más alto nivel de destrucción conocido Rangos de intensidad Convencional: Rango de intensidad desde el nivel mínimo hasta niveles muy altos (ataques convencionales masivos) Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 8

10 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 9 1950 1970 1990 2010 Colapso de infraestructuras con efectos devastadores sobre la nación Destrucción mutua asegurada 100110 Paralelismos Paralelismos y divergencias entre la disuasión nuclear y la ciberdisuasión

11 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 10 Divergencias Muy estrecho margen de gradación de las acciones. Muy amplio margen de gradación de las acciones. Guerra nuclearCiberguerra Paralelismos y divergencias entre la disuasión nuclear y la ciberdisuasión Fácil demostración poder ofensivo. Compleja demostración poder ofensivo. Muy reducido número de actores (=Estados). Elevadísimo número de actores (y motivaciones). Enorme visibilidad y repercusión de las acciones. Opacidad (visibilidad depende de efectos). Armamento muy controlado. Armamento muy disperso y sin control. Fácil interpretación acciones del adversario. Difícil interpretación acciones del adversario. Autoría inequívoca e instantánea. Autoría muy difícil de identificar y de probar. Simetría (destrucción mutua asegurada). Asimetría. Situación normal: actividad nula. Situación normal: enorme actividad. Enorme coste capacidades ofensivas. Bajo coste capacidades ofensivas.

12 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 11 Paralelismos y divergencias entre la disuasión nuclear y la ciberdisuasión La ciberguerra permite efectos sobre el adversario comparables a los que se podrían obtener mediante medios nucleares Y con una posibilidad de gradación similar a la que proporcionan los medios convencionales. 1 El modelo de disuasión nuclear no es trasladable al ciberespacio. 2

13 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 12 Las dificultades de la defensa Las dificultades de la disuasión en el ciberespacio

14 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 13 Agencias gubernamentales Grupos organizados Script kiddies Hackers Las dificultades de la defensa Las dificultades de la disuasión en el ciberespacio

15 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 14 Motivación de los ciberataques Cibercrimen Hackivismo Ciber espionaje Ciberguerra Otros Las dificultades de la defensa Las dificultades de la disuasión en el ciberespacio

16 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 15 CIBERATAQUES DETECTADOS 25/05/16 Las dificultades de la defensa Las dificultades de la disuasión en el ciberespacio

17 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 16 Las dificultades de la atribución Las dificultades de la disuasión en el ciberespacio

18 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 17 Efectos colaterales sobre terceros actores Las dificultades de la disuasión en el ciberespacio 90% infraestructuras en poder de compañías privadas Interconexión creciente

19 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 18 Sensación de impunidad Las dificultades de la disuasión en el ciberespacio

20 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 19 Derecho a la autodefensa Ataque armado Intención hostil Uso de la fuerza Combatiente legítimo Autodefensa extendida Defensa activa ? Acto hostil Difuso marco legal Las dificultades de la disuasión en el ciberespacio

21 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 20 Inteligencia Digital Infiltración Infección Contra Integridad Datos Denegación de servicios (DoS) Exfiltración Difuso marco legal Las dificultades de la disuasión en el ciberespacio

22 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 21 La demostración de capacidades ofensivas supone arriesgar su efectividad futura Las dificultades de la disuasión en el ciberespacio 1 2 3 4 5

23 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 22 Ciberataque ¿Es el tipo de ataque que haría un estado? ¿Han sido sus efectos públicos? ¿Puede ser atribuido a un estado concreto? ¿Puede hacerse esa atribución rápidamente? ¿Hay modo de ejercer la represalia? ¿Pueden controlarse los efectos colaterales de la represalia? ¿Es improbable la contrarrepresalia? Estado A ataca a estado B No No responder (llamar a la Guardia Civil) Considerar represalia No responder Si Los riesgos de la represalia Las dificultades de la disuasión en el ciberespacio Recomendación Martin C. Libicki. Cyberdeterrence and cyberwar. (2009).

24 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 23 Dolor (por el ataque sufrido) Frustración (por no poder responder al atacante) Temor (por iniciar un conflicto en el ciberespacio) Humillación (por el error cometido) + Temor (por las posibles represalias) Suceso Respuesta Resultado final Ataque procedente de actor no estatal Ataque procedente de un Estado Ninguna Represalia contra actor equivocado Ninguna Represalia contra Estado correcto Represalia contra Estado equivocado Los riesgos de la represalia Las dificultades de la disuasión en el ciberespacio Martin C. Libicki. Cyberdeterrence and cyberwar. (2009).

25 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 24 C I B E R D I S U A S I Ó N DEFENSA CAPACIDAD DE RESPUESTA VOLUNTAD DE RESPONDER DIFICULTAD DE LA DETECCIÓN INFINIDAD Y VARIEDAD DE ACTORES DIFICULTAD DE LA ATRIBUCIÓN EFECTOS COLATERALES IMPREDECIBLES ENTORNO LEGAL DIFUSO DIFICULTAD CUMPLIR PRINCIPIOS DICA DEMOSTRACIÓN DEL PODER OFENSIVO SUPONE ARRIESGAR SU EFECTIVIDAD FUTURA Las dificultades de la disuasión en el ciberespacio

26 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 25 Las dificultades de la disuasión en el ciberespacio Ni la disuasión por negación ni la disuasión por represalia funcionan bien en el ciberespacio. 3 Una sólida capacidad de disuasión en el ciberespacio es, a día de hoy, prácticamente utópica. 4

27 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 26 C I B E R D I S U A S I Ó N DEFENSA CAPACIDAD DE RESPUESTA VOLUNTAD DE RESPONDER DIFICULTAD DE LA DETECCIÓN INFINIDAD Y VARIEDAD DE ACTORES DIFICULTAD DE LA ATRIBUCIÓN EFECTOS COLATERALES IMPREDECIBLES ENTORNO LEGAL DIFUSO DIFICULTAD CUMPLIR PRINCIPIOS DICA DEMOSTRACIÓN DEL PODER OFENSIVO SUPONE ARRIESGAR SU EFECTIVIDAD FUTURA ¿Cómo potenciar la disuasión en el ciberespacio?

28 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 27 DIFICULTAD DE LA DETECCIÓN INFINIDAD Y VARIEDAD DE ACTORES DIFICULTAD DE LA ATRIBUCIÓN EFECTOS COLATERALES IMPREDECIBLES ENTORNO LEGAL DIFUSO DIFICULTAD CUMPLIR PRINCIPIOS DICA DEMOSTRACIÓN DEL PODER OFENSIVO SUPONE ARRIESGAR SU EFECTIVIDAD FUTURA ¿Cómo potenciar la disuasión en el ciberespacio?

29 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 28 Defensa y resiliencia ¿Cómo potenciar la disuasión en el ciberespacio?

30 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 29 Defensa y resiliencia ¿Cómo potenciar la disuasión en el ciberespacio?

31 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 30 Acciones judiciales ¿Cómo potenciar la disuasión en el ciberespacio? Fuente: www.fbi.gov/wanted/cyber

32 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 31 Capacidades forenses digitales ¿Cómo potenciar la disuasión en el ciberespacio?

33 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 32 Cooperación NacionalInternacional Público-privada ¿Cómo potenciar la disuasión en el ciberespacio?

34 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 33 Robustecimiento y clarificación del marco legal ¿Cómo potenciar la disuasión en el ciberespacio?

35 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 34 ¿Cómo potenciar la disuasión en el ciberespacio? Una disuasión efectiva en el ciberespacio requiere un enfoque multidisciplinar que abarque, entre otros aspectos, la potenciación de la resiliencia y de las capacidades de defensa, trazabilidad y atribución, el reforzamiento legal, el control del ciberarmamento y la cooperación. 5

36 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 35 Convencional Ciber 100110 Disuasión de dominios cruzados (cross-domain deterrence) 100110 Azules ganan 100110 Ataque convencional Ciberataque 100110

37 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 36 Disuasión de dominios cruzados (cross-domain deterrence) (USB flash Memory)

38 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 37 Disuasión de dominios cruzados (cross-domain deterrence) Unas potentes capacidades ofensivas en el ciberespacio pueden disuadir al adversario de llevar a cabo acciones ofensivas en otros dominios. 7 El uso de capacidades ciberofensivas puede ser visto por el poder político (y la opinión pública) con menor reticencia que el empleo de medios ofensivos convencionales. 8 Las capacidades de guerra convencional ejercen escasa disuasión en el ciberespacio. 6

39 MCCD Reflexión final Una sólidas capacidades de ciberdefensa son esenciales para la seguridad de una nación. Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 38

40 Martin C. Libicki. Cyberdeterrence and cyberwar. (2009). MAJ Lee Hsiang Wei. The Challenges of Cyber Deterrence. (2015). Manuel Ricardo Torres Soriano. Los dilemas estratégicos de la ciberguerra. (2014). Tang Lan, Zhang Xin, Harry D. Raduege, Jr., Dmitry I. Grigoriev, Pavan Duggal y Stein Schjølberg. Global Cyber Deterrence. Views from China, the U.S., Russia, India, and Norway. (2016). Joshua Tromp. Law of Armed Conflict, Attribution, and the Challenges of Deterring Cyber-attacks. (2010). James A. Lewis. Cross-Domain Deterrence and Credible Threats. (2010). Annegret Bendiek, Tobias Metzger. Deterrence theory in the cyber-century. (2015). Michael Chertoff & Frank J. Cilluffo. Choosing to lead. American Foreign Policy for a Disordered World. Chapter 20: A strategy of cyber deterrence. (2015). Keneth Geers. The Challenge of Cyber Attack Deterrence. Computer Law & Security Review, 26(3), pp. 298-303. (2010). Patrick Cirenza. The flawed analogy between nuclear and cyber deterrence. (2016). Rhea Siers. The Myth of Cyber Deterrence. (2016). Andrés Gaitán Rodríguez. El Ciberespacio: un nuevo escenario de batalla para los conflictos armados del siglo XXI. Escuela Superior de Guerra de Colombia. (2012). Bibliografía Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 39

41 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 40 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD)

42 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 41 Desarrollo de ciberarmas y técnicas de ciberataque Desarrollo de herramientas y técnicas defensivas de ciberseguridad y ciberdefensa Las dificultades de la defensa Las dificultades de la disuasión en el ciberespacio

43 Disuasión en el ciberespacio CN Enrique Cubeiro (MCCD) 42 Desarrollo de ciberarmas y técnicas de ciberataque Desarrollo de herramientas y técnicas defensivas de ciberseguridad y ciberdefensa Adaptación del Derecho de los Conflictos Armados al Ciberespacio Adaptación del Derecho Penal al Ciberespacio Sensación de impunidad + marco legal difuso Las dificultades de la disuasión en el ciberespacio