Responsabilidad Internacional por el Uso de la Fuerza en el Ciberespacio (Papel + Ebook)

En un mundo en el que la Informática y la Inteligencia Artificial, que andan su camino con botas de siete leguas, pueden crear robots-cirujanos, máquinas capaces de operar a una persona en las circunstancias más dramáticas y dificultosas imaginables y tener éxito, y al mismo tiempo generar monstruos, robots-asesinos, robots-soldados, armas no cinéticas de tipos y naturaleza diversas, en un mundo así, el ciberespacio se convertirá en un lugar en el que el Mundo se jugará el futuro. Este libre se asoma a un bosque impenetrable y sombrío, del que solo empezamos a conocer, hoy, alguno de sus laberintos, estudiando cómo la comunidad internacional y su Ordenamiento jurídico, el Derecho Internacional, pueden enfrentarse a una utilización del ciberespacio y de las armas que para él se han generado, por los Estados, las Organizaciones internacionales e, incluso, por los que hemos dado en llamar actores no-estatales, que implique vulnerar la prohibición del uso de la fuerza armada en las Relaciones Internacionales. En él se intenta, con este objetivo, trazar el estado de la cuestión, en nuestros días, tanto de la prohibición referida como del Derecho Internacional de la Responsabilidad, para aplicar después mis conclusiones a las actividades en y desde el ciberespacio que a uno y a otro ámbito del Derecho Internacional en vigor se refieran. Esta obra completa el catálogo de Thomson-Reuters Aranzadi. Publicación financiada por el Proyecto El Derecho Internacional ante los retos tecnológicos: en busca de un marco jurídico realista sobre las nuevas formas del uso de la fuerza (ref. DER2017-82368-R), Programa estatal de Investigación, Desarrollo e Innovación Orientada a los retos de la sociedad, Plan Estatal de Investigación científica y técnica y de innovación 2013-2017 (Convocatoria 2017), del Ministerio de Economía, Industria y Competitividad.

ÍNDICE

Siglas
Capítulo 1. Planteamiento (CESÁREO GUTIÉRREZ ESPADA)
Capítulo 2. El estado de la cuestión, hoy, sobre la prohibición del uso de la fuerza armada (CESÁREO GUTIÉRREZ ESPADA)
Capítulo 3. El estado de la cuestión, hoy, sobre el Derecho de la Responsabilidad Internacional (CESÁREO GUTIÉRREZ ESPADA)
Capítulo 4. (A modo de conclusión) La aplicación al uso de la fuerza en el ciberespacio del Derecho Internacional vigente sobre la responsabilidad internacional (CESÁREO GUTIÉRREZ ESPADA)
Epílogo
Bibliografía
Capítulo 1
Planteamiento
CESÁREO GUTIÉRREZ ESPADA

Sumario:

I.El ciberespacio
II.El Manual de Tallinn 2.0
III.¿Vacío jurídico? la aplicación del Derecho Internacional a las actividades en el ciberespacio
IV.Y crónica, previamente anunciada, de lo que seguirá
I. EL CIBERESPACIO
1. Algunos autores, en el contexto de los espacios físicos en los que los Estados y otros sujetos de Derecho Internacional llevan a cabo sus actividades, y tras considerar el territorio, el mar, el aire y el espacio ultraterrestre, se refieren a un quinto elemento1) (el sexto, si tenemos en cuenta también los espacios polares): el ciberespacio2). Y no sólo la doctrina: la Estrategia de Ciberdefensa de los Países Bajos de 2012 (revisada ulteriormente en 2015 y 2018), por ejemplo, se basó en el reconocimiento del ciberespacio como el quinto elemento para las operaciones militares3); la nueva versión que en 2015 hizo el Reino Unido de su Estrategia de Seguridad Nacional (2010) también lo vio así4), como lo ha hecho, con más precisión incluso, la segunda edición (julio 2016) de su ciberestrategia5).

El ciberespacio no es un espacio físico; el Diccionario de la Lengua Española lo define como un ámbito artificial creado por medios informáticos6). Desde una perspectiva más técnica, podríamos referirnos al ciberespacio como a una realidad virtual de la que forman parte los ordenadores, servidores y redes del mundo7); podría decirse, por tanto, que el ciberespacio es una red de redes8). O, por utilizar el término de la (perspectiva) que sigue el concepto de ciberestrategia del Reino Unido (2016):

an operating environment consisting of the interdependent network of digital technology infrastructures (including platforms, the Internet, telecommunications nerworks, computer systems, as well as embedded processors and controllers), and the data therein spanning physical, virtual and cognitive domains9).

Esto es, podría añadir, el ciberespacio tiene, si se me permite decirlo así, una dimensión espacial muy, muy diferente a los espacios tradicionales. Por su ámbito global, que difumina las fronteras entre los diversos Estados, y permite operar en todo él independientemente del sistema o régimen político de cada uno de ellos, con una gama, en fin, extremadamente amplia de actores (desde las personas físicas, pasando por toda una variedad de grupo u organizaciones, hasta los Estados)10).

Y como toda creación del ser humano puede ser utilizado tanto por el Dr. Jeckyll como por su alter ego, Mr. Hyde11). De las amenazas más relevantes que el ciberespacio genera12), y tanto la Estrategia de Seguridad Nacional de 2017 como la Estrategia Nacional de Ciberseguridad 2019 de nuestro país las identifican13), hay tres particularmente significativas: el cibercrimen, el ciberterrorismo y la ciberguerra.

(i) El cibercrimen persigue fundamentalmente un beneficio económico, aunque también incluye el dominio de internet con fines inmorales, abarcando un amplio espectro de delitos14).

El cibercrimen se consolida, además, como un negocio al alza: se ha calculado que sólo entre noviembre de 2012 y noviembre de 2013 generó unas pérdidas de 87.000 mil millones de euros en todo el mundo15). En 2016, expertos en seguridad informática de la Escuela Técnica Superior de Ingeniería de la Universidad Pontificia Comillas (ICAI-ICADE) revelaron que España ocupa el tercer o cuarto puesto en el ranking de países cuyas empresas son objeto de ataques informáticos16). Y en 2018, se registraron más de 33.000 incidentes relacionados con la ciberseguridad en entidades del sector público y empresas de interés estratégico en España, esto es, un 25% más que en 201717).

Una manifestación concreta del cibercrimen, el ciberespionaje, ha sido especialmente destacada, como amenaza, por nuestra Estrategia de Ciberseguridad 2019, cuando pone de relieve lo siguiente:

Asimismo, se detecta una tendencia creciente de las denominadas amenazas híbridas, acciones coordinadas y sincronizadas dirigidas a atacar de manera deliberada las vulnerabilidades sistémicas de los Estados democráticos y las instituciones, a través de una amplia gama de medios, tales como acciones militares tradicionales, ciberataques, operaciones de manipulación de la información o elementos de presión económica (cursiva añadida)18).

(ii) El ciberterrorismo se diferencia del cibercrimen en que no persigue, principalmente, un fin económico, centrándose sobre todo en intimidar, coaccionar y causar daños con fines fundamentalmente políticos o político-religiosos.

El ciberespacio se viene consolidando, se dice a veces, como un santuario del terrorismo, debido a que está siendo utilizado por grupos terroristas cada vez más; todos sabemos ya, por ejemplo, la eficacia con que Daesh, la organización terrorista que se autoproclamó Estado Islámico, utilizó el ciberespacio. Para la Estrategia española de Ciberseguridad (2019):

los grupos terroristas tratan de aprovechar las vulnerabilidades del ciberespacio para realizar ciberataques o para actividades de radicalización de individuos y colectivos, financiación, divulgación de técnicas y herramientas para la comisión de atentados, y de reclutamiento, adiestramiento o propaganda. Íntimamente relacionado con ello, se halla la amenaza contra las infraestructuras críticas, con la posibilidad cierta de causar un colapso a través de las redes mediante una caída en cadena de los servicios esenciales19).

La falta de regulación y el enmascaramiento que ofrece la red, hace que los grupos terroristas lleven a cabo sus acciones cibernéticas con no poca impunidad. Y es que el cierre de sitios web no supone para ellos un gran problema, ante la aparente facilidad con que encuentran nuevos servidores donde ubicar sus páginas.

(iii) La ciberguerra es, sin embargo, entiendo, la amenaza más importante que el ciberespacio nos ha traído. Hasta la aparición de Internet (finales de la década de los sesenta del pasado siglo) y su desarrollo en la de los noventa, las guerras se libraban en los espacios físicos conocidos (terrestre, marítimo, aéreo, electromagnético). Es a partir de la década de los noventa cuando la consolidación del crecimiento de la infraestructura tecnológica y el uso de las redes permiten ver en el ciberespacio un nuevo campo de batalla posible para las guerras. La amenaza es importante porque la identificación del enemigo cibernético puede necesitar meses y porque, como ha constatado nuestra Estrategia de Ciberseguridad 2019, el control del ciberespacio para un uso militar es, hoy, un codiciado objeto de deseo20).

Ante tales amenazas, los Estados se están organizando: si el dominio del territorio, mar y aire supuso la creación de los Ejércitos de Tierra, la Armada y el del Aire, hoy los retos que el ciberespacio presenta está empujando a ciertos Estados a crear ciberejércitos, con capacidades tanto defensivas como ofensivas21):

- Por ejemplo, Estados Unidos ha creado un Mando para el Ciberespacio (Cyber Command) con un general al frente e integrado, parece, por noventa mil hombres22). El Cyber Command se creó en 2010, subordinado al mando Estratégico de los Estados Unidos, pero la Administración Obama, ya en su etapa final, preparaba elevar la estatura del mismo, convirtiéndolo en un Mando Unificado análogo al de las Fuerzas Armadas convencionales23).

- También España se ha dotado de una Mando Conjunto de Ciberdefensa de las Fuerzas Armadas24), entre cuyos cometidos esencialísimos está (como ocurre respecto de los espacios marítimo y aéreo bajo soberanía) la vigilancia permanente del ciberespacio de responsabilidad25). En la actualidad, el Mando Conjunto de la Ciberdefensa está dirigido por el General de División del Ejército del Aire, D. Rafael García Hernández y, yendo un poco más allá de lo esencial26), sus principales cometidos son:

Garantizar el libre acceso al ciberespacio, con el objetivo de cumplir las misiones y cometidos asignados a las Fuerzas Armadas, mediante el desarrollo y, en su caso, empleo de los medios y procedimientos necesarios.

Garantizar la disponibilidad, integridad y confidencialidad de la información, así como la integridad y disponibilidad de las redes y sistemas que la manejan.

Garantizar el funcionamiento de los servicios críticos de los sistemas de información y telecomunicaciones de las Fuerzas Armadas en un ambiente degradado a causa de incidentes, accidentes o ataques.

Obtener, analizar y explotar la información sobre ciberataques e incidentes en las redes y sistemas de su responsabilidad.

Y, en fin, reaccionar en el ciberespacio de manera oportuna, legítima y proporcionada ante amenazas o agresiones que puedan afectar a la Defensa Nacional.

- No pensemos, sin embargo, que estos ciberejércitos están formados exclusivamente por soldados uniformados con su ordenador; la mayoría de los países contrata a expertos informáticos (entre ellos no pocos hackers) para llevar a cabo estas tareas.

Puede ser de interés también añadir que las capacidades ofensivas en el ciberespacio (las llamadas Operaciones Ofensivas en el Ciberespacio, OOC), se han abierto camino en los últimos años27). En el inmediato pasado, las acciones defensivas han primado sobre las ofensivas28), pero en los últimos años se está produciendo un cambio desde el enfoque de resistir y reponerse de los ciberataques al de disuadir, esto es, a la capacidad de adoptar represalias contra sus autores (...). Esta nueva mentalidad ha encontrado un amplio respaldo en la sociedad civil, porque son las instituciones políticas, económicas y sociales las que más sufren los efectos de los ciberataques. Incluso en Europa, menos acostumbrada al poder militar y a su ejercicio, este cambio se ha producido (multiplicación de ciberataques sobre Estados, procesos electorales...); la Unión Europea (y algunos de sus Estados miembros en particular), en un contexto de preocupación creciente por las actividades informáticas malintencionadas y de voluntad de darles una respuesta adecuada29), han aceptado añadir a las capacidades defensivas para la protección de sus infraestructuras de ciberataques otras capacidades más ofensivas30), decisión en la que destacan dos normas en concreto:

- El reglamento 2019/796 del Consejo, de 17 de mayo.

- Y su Decisión (PESC) 219/797, de idéntica fecha31).

Lo han hecho las grandes potencias, como un elemento más a utilizar en su competencia geopolítica, pero también otros Estados, con capacidad de hacerlo, están siguiendo la estela (porque sus Consejos de seguridad y sus Mandos de ciberdefensa han considerado, más allá de una evaluación objetiva de su capacidad y riesgos que el tiempo nos irá haciendo saber, que era mejor dotarse de esa capacidad ofensiva que carecer de ella)32). Nuestro país se ha situado, con su Estrategia Nacional de Ciberseguridad de 2019 en esta línea; así, en dicho texto España asume una nueva concepción del ciberespacio en el que se lleve a cabo:

la transición de un modelo de ciberseguridad de carácter preventivo y defensivo, hacia un esquema que incorpore elementos de mayor fuerza disuasoria (...). La disuasión en ciberseguridad requiere la obtención y potenciación de capacidades de ciberdefensa, como elemento fundamental de la acción del Estado33).

Lo cual nos lleva, sin duda, a una reflexión, al de la conveniencia de dotarse cuanto antes de una regulación de las actividades en el ciberespacio. En España, la normativa en vigor y relevante en la materia (constitucional, legislativa y reglamentaria) puede consultarse en el Código de Derecho de la Ciberseguridad34). Me parece importante precisar, desde ya, que el Tribunal Constitucional, en su sentencia 142/2018, de 20 de diciembre, ha considerado las cuestiones relativas a la ciberseguridad como competencia exclusiva del Estado, por lo que anuló la creación por la Generalidad de la Agencia de Ciberseguridad de Cataluña:

Atendiendo a lo que se ha expuesto, puede concluirse que la ciberseguridad se incluye en materias de competencia estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen general de telecomunicaciones35).

2. Un ciberataque ha sido definido, por el Manual de Tallín como toda:

operación cibernética, tanto ofensiva como defensiva, de la que puede razonablemente esperarse que cause lesiones o muerte de personas o daños o destrucción de bienes36).

Interesante es también la definición propuesta en 2015 por Juan Alberto Salinas:

un ciberataque es una acción deliberada destinada a vulnerar un sistema crítico para la seguridad nacional, independencia política o integridad territorial de un Estado37).

Y más precisa aún sería, a mi juicio, combinando las definiciones precedentes, concebir los ciberataques como toda operación cibernética deliberada destinada a vulnerar un sistema crítico para la seguridad nacional, la independencia política o la integridad territorial de un Estado de la que pueda razonablemente esperarse cause lesiones o muertes de personas o daños o de destrucción de bienes.

La ciberguerra, en definitiva, es un conflicto entre Estados tecnológicamente avanzados que usa el ciberespacio como escenario principal y se lleva a cabo mediante ciberataques, aisladamente o como parte de una guerra u operaciones armadas convencionales38).

(i) Las armas que se utilizan en este tipo de guerras son las cibernéticas (genéricamente virus informáticos), con características propias que las distinguen en varios aspectos de lar armas convencionales39). No son, desde luego, armas de destrucción masiva (como, por ejemplo, las nucleares), pero guardan con estas ciertas similitudes. Como afirmó, en 2010, el entonces Secretario Adjunto de Defensa, de los Estados Unidos40), las ciberarmas pueden no causar las bajas masivas de un ataque nuclear, pero igualmente podrían paralizar a la sociedad estadounidense41).

La preocupación por los efectos que las actividades ciberespaciales pueden causar en los Estados modernos queda reflejada muy claramente en la última Estrategia de Seguridad Nacional de los Estados Unidos de América (2017):

Cyberattacks offer adversaries low-cost and deniable opportunities to seriously damage or disrupt critical infrastructure, cripple American businesses, weaken our Federal networks, and attack the tools and devices that American use every day to communicate and conduct business.

Critical infrastructure keeps our food fresh, our houses warm, our trade flowing, and our citizens productive and safe. The vulnerability of U.S. critical infrastructure to cyber (...) attacks means that adversaries could disrupt military command and control, banking and financial operations, the electrical grid, and means of communication42).

Todo lo dicho explica por qué un sector doctrinal considera necesario definir lo que es un arma cibernética. Incluso que lo consideren esencial y que se haya estudiado cuales podrían ser los criterios a utilizar para su concepto43); puede ser conveniente afirmar ya que el Manual de Tallin (infra párrafos 3-6) se decanta por el criterio finalista para la definición de lo que es un arma cibernética, esto es, el que privilegia el resultado o los efectos de su uso (infra párrafo 22).

A la espera de que esa propuesta de concreción de este tipo de armas avance, podría decirse que las ciberarmas tienen, en la práctica actual, distinta naturaleza44). Existen, fundamentalmente, tres tipos de armas informáticas:

- La más conocida, posiblemente, es el llamado código dañino o malicioso (malware en inglés). Se trata de un software, enviado a través de Internet, que incluye virus, gusanos y troyanos, capaz de actuar sobre un sistema dado con el propósito deliberado de causar daño en el mismo. Los efectos del código malicioso puede incluir:

Denial of service (DoS) intended to overload a system;

recruiting the target system as part of a botner (also known as becoming a zombie) which can result in launching a distributed denial of service (DdoS) on everyone/everything you´re connected to (for example, connentings to others using your address book);

privilege escalation, where access is gained to a system and escalated to include the addition of admin/root privileges;

keystroke logging- this use a virus or physical device that logs a user´s keystrokes as they type, compromising data, passwords and credit card numbers;

geo-location of smartphones, tablets, laptops and similar devices; and

exploiting social networks45).

- La negación o denegación del servicio (Denial of Service), la más frecuente. Utiliza los protocolos de comunicación que permiten a los ordenadores vincularse entre ellos, provocando su saturación y dejando de funcionar.

- Intrusiones remotas no autorizadas en un sistema llevadas a cabo por individuos. Se trata de programas realizados para obtener acceso sin autorización manipulando el Protocolo de Control de Transmisión/Protocolo de Internet.

Si atendemos al atacante con armas cibernéticas, pueden distinguirse varios tipos de ciberataques46). Como los que lleva a cabo un Estado contra infraestructuras o buques de otro sujeto: en la Guerra de Kosovo (1999), por ejemplo, el capitán serbio Dragan encabezó un grupo de más de 450 voluntarios, expertos en informática de diversos Estados, que se enfrentaron a la OTAN; el grupo, que manejaba 40 ordenadores, consiguió bloquear durante un fin de semana la web de la Casa Blanca y se infiltró en los sistemas informáticos de la OTAN y del portaaviones de los Estados Unidos Nimitz47). O durante el conflicto entre Rusia y Georgia (2008) se llevaron a cabo ataques masivos contra servidores y páginas webs del Gobierno georgiano, que aun no causando ningún daño físico debilitaron a Georgia en una fase crítica del conflicto, amén de afectar a su capacidad de comunicar con una población local muy afectada y, claro es, con el resto del mundo48). Pero recordemos los más conocidos.

- El ciberataque (de denegación de servicios) a Estonia (abril-mayo de 2007), probablemente ruso49) (algo más de dos años después del ataque, un oficial del gobierno ruso aceptó haber conocido sobre la operación y que los ataques se habían realizado desde su oficina)50), que inutilizó temporalmente algunas de las infraestructuras críticas (luego volveré sobre este concepto) de Estonia y paralizó amplios sectores de la Administración del Estado (resultaron afectados todos los departamentos ministeriales y el Parlamento, así como algunos partidos políticos), del sistema bancario, la policía y algunos medios de comunicación51). Tal vez, se ha dicho, la primera ciberguerra de la historia52). Estonia, Estado miembro de la OTAN, se encontró ante el mismo con varias alternativas, entre ellas la eventual invocación del artículo 5 del Tratado OTAN (legítima defensa colectiva)53).

- Los ciberataques a centrifugadoras del Programa de enriquecimiento de uranio de la República Islámica de Irán en 2010, que consiguieron paralizar su actividad54). El agente, un virus (Stuxnet), de origen (se dijo) israelí y estadounidense. (parece plausible, ¿no?). Stuxnet es considerado como el pionero en el uso de Códigos Malignos contra importantes instalaciones estratégicas. Para la muy conocida (empresa) Symantec, Stuxnet es una ciberarma consistente en el primer virus informático capaz de causar daños en el mundo físico55) o, como la OTAN considera, Stuxnet fue una especie de bomba anti bunker digital contra el programa nuclear iraní56).

El virus, que requirió importantes fondos económicos para ser desarrollado, está diseñado para permitir a los hackers manipular equipo físico en el mundo real, sin que los operadores lo noten (lo que, se aceptará, lo hace particularmente peligroso); lo primero que hace el Código Maligno es tomar medidas para ocultar su presencia57).

Un informe del que dio cuenta en su día el diario estadounidense The New York Times reveló el éxito del ataque, que destruyó mil centrifugadoras, una sexta parte del total de las del Gobierno iraní. La propagación del virus pudo retrasar hasta 2 años el programa nuclear de la República Islámica de Irán58). Siendo su objetivo Irán, se calcula que cerca de cien mil computadoras resultaron afectadas: el 60 por 100 iraníes, pero el 40 por cien restante de otros Estados (Indonesia, India, Pakistán, Azarbaiyán, y Malasia; y, en menor medida, ordenadores de Estados Unidos, Uzbekistán, Rusia y Gran Bretaña)59). Un fallo de programación generó que el virus escapase de los sistemas informáticos de Natanz y se propagase por internet a todo el mundo60).

- O los ciberataques de mayo de 2012 a infraestructuras de países de África y de Medio Oriente (Libia, Irán, Israel, Sudán, Arabia Saudí y Egipto). Se llevaron a cabo por medio de un Código Maligno (Flame o Skywiper), con el software de recopilación y robo de información estratégica más complejo descubierto hasta hoy y diseñado específicamente para espiar a los usuarios de los ordenadores que infecta. Flame se considera el arma cibernética más compleja de la actualidad, siendo, sin duda, un Estado su creador.

Evgueni Kaspersky, director de la compañía rusa Kaspersky Lab., habló de la conexión entre el virus Stuxnet (2010) que atacó la planta nuclear iraní de Natanz (y se atribuye a Israel y Estados Unidos) y el Código Maligno Flame (2012) que afectó a varios países de Oriente Medio con el objetivos de recabar información de los servicios de inteligencia, como elementos de una ciberarma más compleja61); resulta evidente hacia qué Estados quería el Sr. Kasperski apuntar.

- En esta línea, ciertos analistas defienden que los casos de Stuxnet, Flame y algún otro62) parecen revelar que Estados poderosos, como Estados Unidos, con una imagen intervencionista, ven en la ciberguerra un modo de defender los intereses estratégicos del Estado sin que se quiebre la actitud más conciliadora, de Poder Blando, de los últimos años (Presidencia Obama)63).

En suma, Stuxnet, Duqu y Flame han demostrado que las ciberarmas son eficaces, más baratas que las armas tradicionales, difíciles de detectar, difíciles de atribuir a un atacante particular, y difícil el protegerse contra ellas64).

Y no es esto todo. Hasta 2016, entre diez y quince ataques cibernéticos significativos han podido contabilizarse65).

(ii) En el contexto de los ataques con armas cibernéticas, es importante el concepto de infraestructura crítica. Las infraestructuras críticas son el conjunto de:

instalaciones, redes, sistemas y equipos físicos y de tecnología de la información... cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales66).

La criticidad de una infraestructura se fija en atención a tres criterios:

- El número de víctimas o de lesiones graves que, de ser atacada, puede generar.

- El impacto económico en función de las pérdidas y el deterioro de productos o servicios (incluido el eventual impacto medio ambiental).

- Y el impacto público producido por la alteración de la vida ciudadana.

En España, el anexo a la Ley 8/2011 de Protección de las Infraestructuras Críticas (que se extiende a la protección de las Infraestructuras Críticas Europeas) agrupa estas en varios sectores (doce para ser exactos)67).

Estas infraestructuras dependen de los sistemas de comunicaciones y por tanto el riesgo de interrupción por ataques cibernéticos ha aumentado considerablemente. Las infraestructuras críticas españolas se detallan en un Catálogo que integra tres mil setecientas infraestructuras, de las que el 80 por 100 corresponden al sector privado. La Ley 8/2011 establece la creación, por el Ministerio del Interior, de un Catálogo Nacional de Infraestructuras Estratégicas:

Instrumento que contendrá toda la información y valoración de las infraestructuras estratégicas del país, entre las que se hallarán incluidas aquellas clasificadas como Críticas o Críticas Europeas, en las condiciones que se determinen en el Reglamento que desarrolle la presente Ley (artículo 4.1).

El RD 704/2011, de 20 de mayo, aprueba el Reglamento de protección de las Infraestructuras Críticas68) que regula (capítulo II de su Título I, artículos 3-5), el referido Catálogo. Este viene a ser una base de datos en la que se especifican las medidas de protección ante una eventual amenaza contra estas Infraestructuras, la criticidad y los planes de reacción que activen una respuesta ágil, oportuna y proporcionada, de acuerdo con el nivel y características de la amenaza de que se trate (artículo 3.2). El Catálogo, un registro de carácter administrativo, contiene información completa, actualizada y contrastada de todas las infraestructuras estratégicas ubicadas en el territorio español, incluyendo las críticas así como aquellas clasificadas como críticas europeas que afecten a España, con arreglo a la Directiva 2008/114/CE (artículo 3.1).

El Catálogo Nacional de Infraestructuras Estratégicas tiene, según la legislación española en materia de secretos oficiales, la calificación de SECRETO, conferida por Acuerdo del Consejo de Ministros de 2 de noviembre de 2007 (artículo 4.3).

La Estrategia de Seguridad de 2017, en fin, afirma que los ataques contra las infraestructuras críticas son ejemplos de ciberamenazas69). Y la Estrategia de Ciberseguridad de 2019 destaca las amenazas contra las infraestructuras críticas como objetivo posible de los grupos terroristas. A tal efecto, en la línea de acción 2 (garantizar la seguridad y resiliencia de los activos estratégicos para España), fijada por la Estrategia de Ciberseguridad, nuestro país se propone:

asegurar la plena implantación del Esquema Nacional de Seguridad, del Sistema de Protección de las Infraestructuras Críticas, y el cumplimiento y armonización de la normativa sobre protección de infraestructuras críticas y servicios esenciales, con un enfoque prioritario basado en el riesgo (apartado 3)70).

(iii) No todo ataque cibernético puede considerarse, en fin, como un acto de ciberguerra. La frontera entre ambos radica en la importancia del ataque, reflejado en la interrupción que produce en la vida nacional o en cualquiera de sus infraestructuras críticas.

Por ejemplo: el ataque cibernético del que Estados Unidos acusó formalmente a Rusia, el 14 de octubre de 2016, como una injerencia en las elecciones presidenciales de los Estados Unidos (que enfrentaron a Hillary Clinton, del Partido Demócrata, y a Donald Trump, por el Partido Republicano) y que, entre otras cosas, facilitó la publicación por WikiLeaks de veinte mil correos electrónicos del Comité Nacional Demócrata, no parece, entiendo, un acto de ciberguerra, por más que Estados Unidos anunciara una represalia proporcionada también cibernética contra Rusia71). Sí lo fueron (actos de ciberguerra), en opinión al menos de parte del Grupo de Expertos de la OTAN que elaboró el Manual de Tallin (infra párrafos 3-5), los ataques de Stuxnet a la República Islámica de Irán72).

Es de interés tener en cuenta, a estos efectos, que en el marco de la Política de Ciberdefensa de la OTAN, el ciberataque lanzado contra uno de sus Estados miembros, que afecte a alguna de sus infraestructuras críticas, puede dar lugar a la invocación por el Estado o