Actores privados y capacidad ofensiva en el ciberespacio

Todos conocemos la diferenciación entre seguridad pública y seguridad privada (con vigilantes de seguridad, escoltas privados, empresas de seguridad o detectives privados), las empresas militares privadas (PMC, por sus siglas en inglés) o los servicios de inteligencia privada (económica, de seguridad, geopolítica, etc.) que empresas especializadas ofrecen a grandes corporaciones. Allí donde el ámbito público no puede o no debe llegar, surgen los servicios de empresas privadas, que complementan a los primeros y colaboran con ellos.

Por supuesto, en el ciberespacio también se da esta situación. Con un componente adicional frente a otros dominios de conflicto (tierra, mar, aire y espacio). Y es que la mayor parte de la infraestructura de internet está operada por actores privados o es directamente de titularidad privada.

Por si esto fuera poco, en el caso de las grandes infraestructuras que soportan el ciberespacio, el rol de los actores privados es aún mayor: a modo de ejemplo, el 95% de los cables submarinos pertenecen a compañías privadas. Si tenemos en cuenta que por estos cables circula el 99% del tráfico de la red, podemos darnos cuenta de que, con más peso incluso que en el ámbito físico, en el ciberespacio es fundamental el rol de los actores privados en el ámbito de la seguridad, la inteligencia y la defensa. De esta forma, la colaboración entre los servicios públicos y los privados es crítica para garantizar una adecuada protección en el ciberespacio.

Nadie duda de los servicios de detección y respuesta o de los servicios de inteligencia que ofrecen los actores privados. El ámbito defensivo está consolidado como servicio en el sector privado, y es habitual la prestación de servicios como la respuesta a incidentes, el análisis forense, la seguridad gestionada o la prospectiva de inteligencia de amenazas. No obstante, hay servicios cuya prestación por actores privados no es tan habitual ni tan aceptada. Nos referimos, para empezar, a las capacidades de ataque y de explotación (no de ciberinteligencia en general, sino de explotación) en el ciberespacio.

El desarrollo de dichas capacidades, incluyendo las ciberarmas, sí que es habitual que recaiga en el sector privado. Igual que en cualquier otro ámbito de la seguridad, la inteligencia o la defensa: un revólver, un misil o un vehículo policial o militar son habitualmente fabricados y servidos por empresas privadas. De hecho, ya se ha bautizado como PSOA (Private Sector Offensive Actors) o como CSV (Commercial Surveillance Vendor) a los actores privados cuyo negocio es el desarrollo y venta de capacidades ofensivas o de ciberespionaje, desde el código dañino a la infraestructura de mando y control para las operaciones.

Pero ¿y el uso de estas capacidades, es decir, la prestación de servicios privados de ataque o explotación? ¿Puede una empresa privada desarrollar acciones ofensivas en el ciberespacio u ofrecer servicios de ciberespionaje? Aunque a priori nos pueda parecer chocante… ¿por qué no? Con los requisitos correspondientes, por supuesto, y con todas las consideraciones necesarias, el rol de los actores privados debe seguir siendo clave en estos ámbitos, igual que lo es en el defensivo.  Y, sin duda, de estas consideraciones necesarias, las más relevantes son las legales.

Servicios ofensivos prestados por actores privados

Sin ser un experto en la componente legal de la ciberdefensa, tan necesaria, estoy convencido de que es legalmente factible orquestar servicios ofensivos prestados por actores privados. Bajo el control de la defensa pública y siempre supeditado a intereses de seguridad nacional, que un actor privado apoye a los actores públicos en sus operaciones, o que ejecute operaciones por sí mismo bajo el control al que hacemos referencia, no parece descabellado.

Que nadie se rasgue las vestiduras: en algunos países de nuestro ámbito esto es una realidad, tanto en el ámbito físico como en el ciberespacio. Aunque le llamen ciberdefensa activa, seguridad preventiva o cualquier otro eufemismo políticamente correcto.

Más allá de esas consideraciones legales, desde un punto de vista puramente operativo, la participación de actores privados en operaciones ofensivas en el ciberespacio tiene ventajas y desventajas. Exactamente las mismas, en mayor o menor gradación, que en el ámbito físico. Como principales beneficios podemos hablar de costes y agilidad, mientras que el principal inconveniente es sin duda el control, o la pérdida de éste, por parte del actor público. Por ejemplo, el actor privado debería asumir reglas de enfrentamiento contractuales: quién autoriza cada acción, qué controles previos se hacen (legales, políticos, técnicos…), qué umbrales de daño son aceptables, e incluso considerar la suspensión de una operación si surgen riesgos colaterales o dudas de su legalidad.

Las ventajas derivadas de la participación de actores privados en operaciones ofensivas en el ciberespacio deben ser adecuadamente explotadas. Igualmente, los inconvenientes que puedan surgir de dicha colaboración deben ser gestionados para garantizar el éxito de la colaboración público-privada en estos ámbitos. 

Quizás no sea fácil, pero desde luego no es imposible. Los actores privados juegan un papel clave en la seguridad, la inteligencia y la defensa en el ciberespacio, por cuestiones obvias. Limitar su rol a un ámbito defensivo es imponernos limitaciones que no hacen más que bajar nuestros niveles de protección. Si no garantizamos una colaboración del ámbito público y del ámbito privado también en operaciones ofensivas, estamos perdiendo una parte importante de nuestras capacidades, y sin duda alguien aprovechará esta debilidad más pronto que tarde. (Antonio Villalón, CSO de S2Grupo)