A vueltas con el Caso Sony Pictures

Abogado. CDPP. E|CISO.  Senior Manager. Grupo SIA.

Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.

Gonzalo Salas Claver
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA. 

 Los ciberataques es un tema que de un tiempo a esta parte acapara buena parte de la agenda informativa. No hay semana que no aparezca en prensa el caso Sony donde, según parece por las investigaciones llevadas a cabo por el FBI, la unidad 121 de la Oficina General de Reconocimiento de las Fuerzas Armadas de Corea del Norte ha “hackeado” sus sistemas de información con las consecuencias por todos conocidas.

Este hecho ha vuelto a poner de manifiesto, por un lado, la fragilidad de las compañías y la virulencia de los ciberataques, y por otro lado, la dificultad o imposibilidad en muchos otros casos de identificar a sus autores y llevarlos frente a la justicia. Me permito recordar a este propósito y pido perdón por la auto-cita[1]; que carecemos actualmente de mecanismos y procedimientos que aseguren una respuesta rápida a los grandes incidentes de esta naturaleza, que incluya una detención rápida, un juicio sin dilaciones y un castigo severo en esta materia.

Siguiendo el divertidísimo –a la vez que profundo- artículo de Jacobo de Salas: “Cuando la diarrea legislativa no es suficiente. ¿Qué pasaría en un hipotético ataque cibernético de Corea del Norte a la productora de cine El Deseo?[2]” creo que hay seguir profundizando en estas cuestiones y ver qué se hace en otras jurisdicciones.

El Gobierno de Estados Unidos, a través de su Secretario del Tesoro Jacob Lew, está aplicando nuevas sanciones que afectan a tres instituciones norcoreanas y a diez altos funcionarios del régimen. Se ha bloqueado cualquier activo de los afectados en territorio estadounidense y les deniega también otro tipo de acceso al sistema financiero norteamericano. Además, prohíbe a cualquier empresa o ciudadano de EEUU realizar cualquier tipo de transacción con los sancionados.

Casualidades o coincidencias de la vida (yo rara vez creo en ellas; la realidad es un campo de potenciales posibilidades infinitas), la red de comunicaciones móviles y de Internet de Corea del Norte  fue tumbada tres semanas después del ataque a Sony, acusando directamente de ello a Estados Unidos el Gobierno de Corea del Norte.

Por otro lado, la Comisión Nacional de Defensa Norcoreana ha avisado que su ejército está listo para utilizar cualquier tipo de ataque contra EE.UU. “Nuestro contraataque más duro se tomará contra la Casa Blanca, el Pentágono y todo el territorio estadounidense, ese pozo de terrorismo, superando con creces el “contraataque simétricodeclarado por Obama” [Agencia Estatal de Noticias Norcoreana]. Lo que pone de relieve una vez más el uso de los sistemas de información y las redes con fines bélicos.

Como pude leer recientemente en el brillante artículo del Coronel Auditor don Jerónimo Domínguez Bascoy; Ciberguerra y Derecho. El Ius ad Bellum y Ius in Bello en el Ciberespacio de la Revista Española de Derecho Militar (Núm. 100), el profesor en el King´s College de Londres Thomas Rid, mantiene que la ciberguerra nunca ha sucedido en el pasado, que tampoco se está desarrollando en el presente y que nunca tendrá lugar en el futuro. Para este autor, todos los ciberataques que responden a motivaciones políticas no son más que meras versiones sofisticadas de tres actividades que son tan antiguas como la guerra misma; el sabotaje, el espionaje y la subversión.

En esta misma línea por ejemplo en el Memorándum del Instituto de Estudios de Seguridad Nacional de Israel, señala que dentro de las actividades de seguridad contra enemigos en el Ciberespacio, es común distinguir tres áreas:

  • Penetración en los sistemas enemigos con un propósito de espionaje.
  • Modalidades de lo que podría denominarse Soft Cyber Warface, entre las que se incluirían tanto las actividades de guerra psicológica, propaganda y revelación de información secreta, con las que se persigue influir en la opinión y conducta del enemigo y de quienes les apoyan, como las sanciones internacionales, con las que se trata de castigar a quien ha violado las reglas establecidas, con el fin de modificar sus conductas.
  • Ciberguerra, propiamente dicha, que abarcaría las actividades en el ciberespacio dirigidas directamente a causar daño o destrucción al enemigo.

El uso de las tecnologías con fines bélicos no reviste de una única modalidad y se distinguen entre tres conceptos cuya línea que los separa es muy difusa en muchos casos: Ciberguerra, Ciberoperaciones y Ciberataques. Indistintamente de la calificación que uno pueda establecer, el uso de la fuerza en el ciberespacio por el Ejército, se equipara al uso de la fuerza convencional y como tal debe estar sometido al régimen jurídico militar y lo que se denomina: (i) Ius ad bellum (normas que habilitan lícitamente a la apertura de hostilidades), (ii) Ius in bello (normas que gobiernan la conducción de las hostilidades, es decir, el derecho internacional humanitario y su plasmación operativa en las reglas de enfrentamiento de los beligerantes).

En lo que respecta al uso de la fuerza como el que ocurre en el ciberespacio, por otro lado, se encuentra sometido a dos principios:

  • Principio de distinción (Obligación de seleccionar los medios y métodos más apropiados, solo sobre objetivos militares, no civiles y sobre aquellas acciones que se consideren que producen graves daños a las personas, las infraestructuras críticas, el medio ambiente o la salud)
  • Principio de proporcionalidad (Escoger los métodos más idóneos para el cumplimiento de los objetivos)

Impaciente estoy en ver los siguientes pasos de los actores en conflicto, frente a lo que parece ser el incidente más grave acaecido hasta la fecha o por lo menos conocido por el público en general.

Como decían las series de mi infancia: Continuará

[1] La estrategia de Ciberseguridad Nacional. Línea de Acción 4 del Gobierno. Investigación y Persecución del Ciberterrorismo y la Ciberdelincuencia. https://ismsforumspain.wordpress.com/tag/gonzalo-salas/

[2] http://www.confilegal.com/tribunas/diarrea-legislativa-suficiente-29122014-1733

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.