Ningún país miembro de los 28 miembros integrantes de la OTAN ha sido atacado, desde la creación de la Alianza Atlántica en 1949. Concebida como un sistema de defensa colectiva, su negativa a desaparecer tras la caída del imperio soviético a la par que lo hacía su contraparte, el Pacto de Varsovia, pasó a ser el brazo armado de un sistema, con operaciones bélicas en Serbia, Afganistán y otros lugares, bajo el mandato de Estados Unidos.
En la cumbre que se celebra en Gales, la Alianza pretende dotarse de un contenido auténtico de su razón de ser defensiva, incorporando la ciberdefensa al corazón del Tratado, que no es otro que el artículo V, que especifica que el conjunto de los Estados miembros actuará en bloque en caso de que se produzca un ataque a uno o varios de los integrantes de la Alianza, utilizando si es necesario la acción armada. Este artículo solamente fue activado en los ataques del 11S.
Lo que no dejarán especificado en Gales es lo que entiende la Alianza por un cibertaque de fuerza considerable como para aplicarle el artículo V. En cualquier caso, la redacción será calculadamente ambigua para que tenga que estudiarse caso por caso la aplicación del citado artículo. Acaso el último embate contra el banco JP Morgan, y presumiblemente contra otras entidades estadounidenses, en el que los hackers se llevaron millones de datos, debería ser considerado de aplicación en la nueva política de ciberdefensa atlántica. La OTAN rechazó en el año 2010 que fueran de aplicación del artículo V los ataques al sistema financiero de una nación o a sus redes eléctricas.
Hay países en la OTAN, como es el caso de España, que mantienen una política exclusivamente defensiva en materia cibernética, pero otros, como Estados Unidos, han utilizado los ataques preventivos y sabotajes contra países enemigos, como el caso de Irán. La OTAN tendrá que dotarse de los mimbres necesarios para responder adecuadamente en bloque a un ciberataque grave sufrido por uno de los miembros. Está por definir de qué modelo de disuasión “cibernética” puede dotarse la OTAN como respuesta a un ciberataque. Obviamente no contaría con apoyo de los ciudadanos una respuesta armada. Además, en los ciberataques es difícil demostrar de dónde proceden. En el caso del incidente de la banca se apunta a Rusia, pero no hay pruebas. Veremos que sale de la investigación sobre el fallo en la colocación orbital de los dos satélites de la Agencia Espacial Europea, que iban a formar parte del nuevo sistema de geolocalización, Galileo. Ya hay quien quiere imputar el fallo a un sabotaje en el cohete ruso Soyuz que los lanzó al espacio.
A raíz del ciberataque que sufrió Estonia en 2007 sobre sus sistemas de información y comunicaciones, siendo la primera vez que un país miembro de la OTAN requirió apoyo de la organización, se decidió desarrollar una Política de Ciberdefensa. La creación del Centro de Excelencia OTAN de Ciberdefensa Cooperativa, con sede en Tallinn, la capital de Estonia, ha sido el principal fruto de esa política.
La nueva consideración de aplicar el artículo V a los ciberataques que sale de la cumbre de Gales había sido aprobada por los ministros de Defensa en una reunión en junio y periodistas como Steve Ranger informaron sobre el asunto ese mismo mes, adelantándose en meses a las informaciones de esta semana de The New York Times. Aunque la prioridad estratégica de la Alianza sigue siendo la defensa de las redes propias, de sus sistemas de información y comunicaciones, se quiere avanzar con rapidez en la ayuda mutua, compartir información, cooperación con la industria, y ejercicios de simulación y entrenamiento de técnicos, y casi con seguridad, como reclaman Japón y otros miembros, dotarse de capacidad de respuesta.
En junio de este año se publicó un documento del Consejo Atlántico y el Instituto de Estudios de la Defensa de Noruega, en el que se reclamaba a la OTAN ampliar sus herramientas de Defensa para frenar las nuevas amenazas, ciberataques y ataques contra satélites y biológicos. Conscientes de que Estados Unidos, Reino Unido y Alemania cuentan con un gran arsenal tanto de defensa como de ataque en el ciberespacio, pero del que no van a desvelar su composición al resto de socios, los autores del documento proponen dos medidas.
Por un lado la creación de ejercicios de alcance cibernético, en los que se pueda probar la capacidad adquirida por los países miembros bajo una estructura de mando de la organización, y se generaría una retroalimentación que potenciaría las herramientas de defensa y ataque. También propugnan la creación de un comité de trabajo constituido por técnicos expertos, representantes militares y cargos estatales, que se reunieran regularmente para discutir la ciberseguridad de la Alianza en las diversas coyunturas.
Otras informaciones de interés publicadas en La Celosía
Las empresas españolas están las peor preparadas frente a ciberataques según una encuesta europea
Jorge Domecq será el nuevo consejero delegado de la Agencia Europea de Defensa
España, al contrario que Francia, no se dotará de capacidad ofensiva para su Ciberdefensa