El Problema De La Atribución De Responsabilidad En Las Ciberoperaciones.
¿ Cómo se responsabiliza en un espacio difuso ?
¿ Cómo se responsabiliza a un anónimo ?
Por: Regina Angarita
Abogada. Universidad de los Andes
Especialista en DD.HH y D.I.H
La atribución de responsabilidad en las ciberoperaciones es y ha sido un tema profundo de analizar, no sólo por las delgadas líneas existentes en la forma de interpretar ciertas nociones,
sino por darse en un contexto en el que ni siquiera es del todo clara la naturaleza jurídica del
ciberespacio y en el que su caracterización como espacio difuso pareciera automáticamente estar asociándose al anonimato de la fuente de la ciberoperación y, por consiguiente, la complejidad en la atribución de dicha responsabilidad aumenta. Empero, cabe anotar que su caracterización como espacio difuso no implica necesariamente el anonimato de la fuente de la ciberoperación , pues lo difuso no implica la anonimización en la atribución de responsabilidad, mientras que lo anónimo si estaría implicando, en el fondo, una difusión/distorsión a la hora de atribuir responsabilidad en el contexto de una ciberoperación. En este sentido, como lo señala Jeimy Cano “el tema de la atribuciòn tomarà un valor fundamental ahora y en el futuro, como una necesidad bàsica de saber quièn es mi adversario, para desde allì comenzar a comprender y ajustar las estrategias y acciones de ciberdefensa necesarias para reconocer y salvaguardar la soberanìa del paìs en el escenario cibernètico.”
Así, es posible sostener que hay tres cosas puntuales que hacen compleja dicha atribución : (i) El anonimato de la fuente, (ii) la procedencia de la ciberoperación y (iii) la velocidad de propagación de la ciberoperación. Estos tres puntos estarían generando otros desafíos a la hora de analizar el problema de la atribución desde: (a) Un punto de vista probatorio, (b) la presunción de inocencia, (c) el rastreo de los aparatos desde donde se realiza la ciberoperación así como la dificultad en su acceso , (d) la existencia de computadores zombi así como la existencia de los grupos de piratería conocidos como las APT ( Amenazas Persistentes Avanzadas), los ataques de inyección SQL, los ataques a secuencias de comandos, la saturación de tráfico en sitios web, el spyware, el phishing, entre otros , (e) la debida diligencia al realizar una ciberoperación así como (f) el punto de vista de la soberanía y (g) la calidad de los actores que intervienen en la ciberoperación.
Teniendo en cuenta lo anterior, la forma que se propondría para resolver este desafío está enfocada en 5 puntos muy concretos. (1) La implementación de lo que he querido denominar el modelo COPRESER. El modelo COPRESER que estoy proponiendo significa: Control, predicción, seguridad y repelencia. Es decir , un modelo de control respecto de la forma de ejecutarse la ciberoperación , predicción cercana respecto de los resultados y consecuencias atendiendo al principio de precaución en las ciberoperaciones, seguridad frente a la protección debida y diligencia en las medidas , y repelencia digital frente a los ataques identificados por algoritmos programados focalizados en ciberoperaciones y que no permitan su propagación. De esta manera, la huella digital detrás de la ciberoperación pueda ser más fácilmente identificada , rastreada y monitoreada para la identificación certera del autor material del ataque.
(2) La generación y creación de algoritmos automatizados que sean capaces de identificar una
ciberoperación particular de tal forma que la puedan repeler desde la raíz ( los llamaría algoritmos “REP” ( de repelente). Para el diseño de los algoritmos REP que estoy proponiendo en el presente texto habría que tener en cuenta cuestiones más técnicas desde el punto de vista secuencial, funcional, de difusión, así como su entrada, procesamiento y salida de tal manera que la identificación del ciberataque desde la raíz pueda realizarse de manera certera y facilitar la detección del autor material de la ciberoperación Así, al ser algoritmos que se programarían para un fin particular que es la inmediata detección y subsiguiente repelencia de la ciberoperación tendrían que estar orientados a tener una capacidad rápida de respuesta para prevenir la ciberoperación desde el principio, así como un lenguaje operativo que permita la detección del ataque desde el inicio sin lugar a fugas de ninguna naturaleza.
Sería un modelo de cibervigilancia más agudo que permitiría un rastreo más preciso frente a la fuente de la ciberoperación de tal manera que las formas de camuflaje digital que existen para escapar a la atribución no puedan fugarse a través de los vacíos existentes frente a la forma de analizar la huella digital o la sombra digital. Por ejemplo, se permitiría un rastreo más certero de los IP de las fuentes , o de los algoritmos desde donde proviene la ciberoperación de manera que los esfuerzos realizados en cuanto a la identificación del responsable no queden estériles sino que, por el contrario, sea una forma de facilitar esta tarea. Es decir, el modelo de cibervigilancia sería un tipo de modelo predictivo analítico que combine tanto procesos de control y monitoreo como procesos de generación de algoritmos repelentes e identificadores de ciberoperaciones
particulares.
(3) La implementación de un tipo de umbral de seguridad en la ciberoperación de tal forma que involucre tanto a los que saben que han sido atacados como a los que han sido atacados y no lo saben , de tal manera que la capacidad de respuesta frente a la ciberoperación no deje agujeros por los que los atacantes puedan escapar. Cabe anotar que este umbral de seguridad tendría que ser matizado por el hecho de que el ciberespacio es un medio de contornos difusos, de manera que la indefinición de su esencia no tendría porque ser óbice para justificar la falta de seguridad de la ciberoperación. En este sentido, e independientemente de esto, hay que aclarar que el umbral de seguridad que se plantea en este espacio es , sobre todo, respecto de la fuente y la infraestructura utilizadas para la ciberoperación, así como de los potenciales efectos de la misma . De esta forma, se trataría de un umbral de seguridad que busque disminuir considerablemente el nivel de vulnerabilidad en el que se encuentran las partes.
(4) El desarrollo de lenguajes alternativos que permitan una canalización particular en cuanto a ciberdiplomacia . A partir de este desarrollo de lenguajes alternativos se estaría gestando una base que permita un consenso frente a la forma de interpretación de las distintas problemáticas y variables que presenta un tema como este. Consenso este que permitiría un mejor entendimiento frente a las causas y consecuencias de llevar una ciberoperación a cierto término, sin lugar a términos ambiguos que generen vacíos o trabas en la práctica a la hora de atribuir responsabilidad.
(5) La generación de un paquete unificado de redes digitales de comunicación de tal forma que no haya ambigüedad entre las redes públicas y privadas al momento de establecer la atribución ni que la dualidad de las redes permita mayores confusiones o dificultades a la hora de analizar la atribución. Así, es posible darse cuenta de que la profundidad de este desafío va más allá de la generación de algoritmos o la creación de más normas que lo regulen ( aparte, por ejemplo, de los artículos sobre la responsabilidad del Estado por hechos internacionalmente ilícitos del que parte el Manual de Tallin 2.0 , instrumento no jurídicamente vinculante pero con fuerza doctrinal ). Sin embargo, lo propuesto en el presente texto se plantea como una posible alternativa en la forma de abordarlo dada su profundidad y variables existentes.
Teniendo en cuenta las consideraciones precedentes cabe preguntarse de qué forma el problema de la atribución de responsabilidad en las ciberoperaciones termina o no supeditándose (i) a la aceptación tácita de las fronteras del ciberespacio, (ii) cuáles serían estas fronteras, (iii) si el hecho de que el ciberespacio sea sujeto a un control soberano implica necesariamente la existencia de fronteras , (iv) si para la definición de unas fronteras en el ciberespacio debe hablarse necesariamente de la existencia de una infraestructura física , (v) si el hecho de que el ciberespacio no sea considerado propiamente un recurso físico implica entonces una negación respecto de su naturaleza jurídica y (vi) si la calidad de “difuso” del ciberespacio implica entonces la inexistencia de sus fronteras.
A partir de estos interrogantes es posible darse cuenta de que la atribución de responsabilidad en las ciberoperaciones es una problemática con unos matices muy profundos que van más allá de la tipología de amenazas en el ámbito cibernético, del tipo de actores y su modus operandi. Esto, pues al hablar de ciberespacio se está haciendo referencia a un espacio que realmente es muy difuso y en el que la sola volatilidad de su caracterización como tal lleva , en muchas ocasiones, a asumirlo o a asociarlo con la inexistencia de fronteras en unas situaciones y, en otras, a la negación de las mismas cuando se da por sentada su existencia. Entonces ¿ Cómo se responsabiliza en un espacio difuso? ¿ Cómo se responsabiliza a un anónimo ?
____________________________________
REFERENCIAS BIBLIOGRAFICAS
CANO, J. (2022) La atribución de los ciberataques. Un desafío en tres perspectivas: Razonamiento , datos y política. Disponible en https://www.linkedin.com/pulse/la-atribuci%C3%B3n-de-los-ciberataques-un-desaf%C3%ADo-en-tres-cano-ph-d-cfe/
COMITÈ JURÍDICO INTERAMERICANO. Derecho internacional y operaciones cibernéticas del Estado. OEA . 1-37. Disponible en http://www.oas.org/es/sla/cji/docs/Derecho_Internacional_y_Operaciones_Cibern%C3%A9ticas_del_Estado_publicacion.pdf
DIMITROVSKA, M. (2020). The Concept of International Responsibility of State in the International Public Law System. Journal of Liberty and International Affairs, 1(2).
EGLOFF, F. (2020) Public attribution of cyber instrusions. Journal of cibersecurity. Disponible en https://doi.org/10.1093/cybsec/tyaa0
EICHENSEHR K. (2020). The Lawy and Politics of Cyberattack Attribution. U.C.L.A. Law Review, 67, 520-598.
JIMENEZ & MERAYO. (2017) Los ciberataques en el marco de la responsabilidad internacional de los Estados en tiempos de paz. 1-169 Disponible en https://www.corteidh.or.cr/tablas/33456.pdf
LÓPEZ, R. (2020) La atribución de responsabilidad a un Estado por operaciones llevadas a cabo por actores no estatales en el ciberespacio. Hacia una interpretación extensiva del umbral de control efectivo. 1-62 . Disponible en https://repositori.upf.edu/bitstream/handle/10230/45206/TFG_DRET_L%C3%B3pez_Hern%C3%A1ndez_Ricardo.pdf?sequence=1&isAllowed=y
PAYNE, C. & LORRAINE, F. (2017). Addressing Obstacle to Cyber-Attribution: A Model Based on State Response to Cyber-Attack. The George Washington International Lawy Review, 49. Consultado el 1 de abril de 2021 en: https://www.euspace.eu/images/2018/document/Articles/Addresing-obstacles-to-cyber-attribution-amodel-based-on-state-response-to-cyber-attack.pdf
RÍOS, J. (2021) La aplicaciòn del Derecho Internacional al ciberespacio en las ciberoperaciones en realizadas por actores no estatales desde el territorio de un Estado. La responsabilidad internacional de los Estados y el principio de debida diligencia. 1-60 Disponible en https://repositorio.comillas.edu/xmlui/bitstream/handle/11531/47809/TFG-Rios%20Garcia%2C%20Juan.pdf?sequence=1
SCHMITT, M. (2017)International Law in Cyberspace: The Koh Speech and Tallinn Manual Juxtaposed. Harvard International Law Journal, 54 , 13-36.
TALMON, S. (2009) The responsability of outside powers for acts of secessionist entities. International and comparative law quaterly. 493-517 Disponible en doi.org/10.1017/S0020589309001171
YANNAKOGEORGOS P. (2016). Strategies for resolving the cyber attribution challenge. Alabama, USA: Air University Press. Disponible en https://www.airuniversity.af.edu/Portals/10/AUPress/Papers/cpp_0001_yannakogeorgos_cyber_Attribution_challenge.PDF