Ciberseguridad y Derecho

LA CIBERSEGURIDAD DESDE UNA PERSPECTIVA SISTÉMICA

José María Molina Mateos, Doctor en Derecho, Máster Universitario en Estudios sobre Paz, Seguridad y Defensa

Resumen: El proceso de evolución de la información y su tratamiento, unido a la aparición de las tecnologías que la sustentan ha devenido en un ámbito de relación de dimensión universal que ha permitido a la humanidad dar uno de los saltos más espectaculares de la historia en términos de progreso y desarrollo. El prodigio tecnológico y relacional configurado en el ciberespacio deja sentir los efectos de riesgos y amenazas de análoga naturaleza que constituyen un serio peligro para la seguridad de Estados, organizaciones, empresas e individuos y demanda el diseño de un esquema securitario de su misma naturaleza y a su propia escala en garantías de intereses, derechos y libertades.

La dimensión universal del ciberespacio demanda una escala análoga para concebir la ciberseguridad y hacerlo desde la perspectiva sistémica parece la vía más adecuada para abordar estas realidades por su complejidad y magnitud.

Abstract: The process of evolution of information and treatment, coupled with the emergence of technologies that support has become an area of ​​relative universal dimension that has allowed mankind to give one of the most spectacular falls in history in terms of progress and development. The technological and relational prodigy set in cyberspace felt the effects of risks and threats of a similar nature which constitute a serious threat to the security of states, organizations, businesses and individuals and demand the design of a scheme securitarian its nature and its own scale of interest guarantees, rights and freedoms.

The universal dimension of cyberspace demand a similar level to conceive of cybersecurity and do it from the systemic approach seems the most appropriate way to address these realities by its complexity and magnitude.

Palabras claves: ciberseguridad, ciberespacio, ciberderecho, seguridad internacional, ciberhegemonia, cibersistema.

Keywords: cybersecurity, cyberspace, cyber-law, international security, ciberhegemonia, cybersystem .

                              “Sistema, conjunto de partes organizadas que se relacionan e 

                               interactúan entre sí para lograr un objetivo común”

                                        (desconocido)

Los procesos técnicos han sido a lo largo de la historia, una de las variables de cambio más importantes. Su aceleración y efectos se incrementaron exponencialmente tras la Revolución Industrial de los siglos XVIII y XIX, con repercusión en todos los campos de la actividad humana.

Desde que Heráclito de Éfeso en el Siglo V a. de C. dijera “Nada es, todo cambia” hasta la actualidad, pasando por T. Brosse[1]  que en la segunda mitad del Siglo XX dijo “La lógica general no puede, ya, admitir la descripción estática de un objeto”, han existido en la Humanidad muchas personas que han entendido y perciben la realidad como un proceso de acción y cambio constante.

En ese proceso se enmarca la evolución información y las tecnologías que la sustentan que adquirió especial dimensión a raíz que Shannon, en 1948, diera un carácter científico a su estudio de la información mediante el desarrollo de su conocida teoría, al considerarla un modelo aplicable a todos los campos del saber.

Las relaciones entre la teoría de la información y la cibernética, no siempre han sido pacíficas. Mientras la primera tiene como objetivo las cantidades y los grados de certeza y, por consiguiente, es parte de la matemática; la segunda, es el ámbito propio de los ingenios automáticos y de las técnicas para su construcción, y puede considerarse parte de la lógica o de la matemática.

En las últimas décadas los gobiernos de todo el mundo han sido conscientes de la importancia de las infraestructuras de información y comunicaciones, y va siendo percibido por los ciudadanos los beneficios que ello comporta en su quehacer diario, lo que ha configurado una demanda sin precedentes de colaboración, entre los sectores públicos y privado.

Las tecnologías de la información y las comunicaciones también pueden producir efectos negativos, derivados de su mala utilización, con repercusión en multitud de aspectos de la actividad humana, entre los que se pueden señalar los relacionados con los derechos fundamentales, especialmente los referidos a la privacidad del individuo, o su accesibilidad a las organizaciones e instituciones, que llegan a incidir en los confines de la sociabilidad.

De igual modo, las grandes potencialidades de estos sistemas tecnológicos y las graves consecuencias derivadas de su vulneración o uso ilícito, requieren que su desarrollo vaya unido a su seguridad, de forma que se eviten los negativos efectos derivados de su utilización y se atenúe la dependencia que las nuevas sociedades tienen de los mismos.

Lo que demanda que los Estados dispongan del conocimiento y de las infraestructuras científicas e industriales, necesarias para lograr disponer de tecnología que les aleje de la condición de meros consumidores, expuestos, en última instancia, a nuevos riesgos neocolonialistas por parte de las potencias tecnológicas. Por ello, uno de los campos de mayor interés lo constituye el comercio y la transferencia internacional de tecnología, en relación con redes transnacionales de producción, transferencia e importación, vinculado a empresas multinacionales.

El factor tecnológico es un claro ejemplo de la actividad transnacional que contribuye a la configuración de un esquema de poder multinacional, que erosiona los espacios nacionales y se percibe como una nueva estrategia, donde el factor dependencia tecnológica emerge como una de las mayores fragilidades.

La evolución de estas formas de procesamiento e intercambio de información a través de soportes automáticos y redes de comunicación, ha transformado y ampliado, las posibilidades de relación del hombre actual de tal forma que el progreso económico, social y político, depende, cada vez más, de la implantación de los sistemas de información y comunicaciones, configurando lo que Manuel Castells[2] denomina sociedad informacional, término relativo al resultado de la simbiosis de la información y las tecnologías que la sustentan.

Un fenómeno especialmente significativo de esta nueva sociedad es lo que se conoce como Red. Mediante la cual es posible la interconexión con cualquier punto del planeta en tiempo real e introduce un procedimiento revolucionario de “estar en conexión”, que salta las barreras de distancia y tiempo.

Al déficit social, político y jurídico de la Red, se le une un déficit de seguridad, privándose así de un activo imprescindible para gestionar un sistema tecnológico por el que circulan inmensas cantidades de datos e informaciones referentes al Estado, a la Sociedad, a los Ciudadanos, a las corporaciones y empresas. Su funcionamiento requiere hacerse en condiciones que permita optimizar sus posibilidades y evitar que esta gran herramienta se convierta en un factor de vulnerabilidad de consecuencias imprevisibles.

Desde la perspectiva de la física o la informática, el ciberespacio es el conjunto de interconexiones electrónicas establecidas entre ordenadores.

Este espacio de información virtual en red, accesible desde cualquier nodo permite la interactuación de todos los nodos conectados a la misma red, que ha logrado un grado de implantación y uso desconocido por la humanidad anteriormente, convirtiéndose así en un espacio de relación sin precedentes.

1.Amenazas y respuestas.

La integridad global de todo este complejo entramado cibernético, resulta fundamental no solo para el funcionamiento del día a día de la economía mundial sino, también, para la seguridad de gobiernos, organizaciones e individuos y el bienestar de los ciudadanos: en el ciberespacio los organismos públicos pueden ser atacados, los intereses comerciales pueden ser defraudados, los individuos pueden ser asaltados y la calidad de vida puede ser deteriorada.

El fraude a través de Internet alcanzó en 2009 unos 70.000 millones de euros en todo el mundo y, en España, se situó en torno a los 600 millones de euros anuales[3], actualmente esta cifra se ha multiplicado exponencialmente suponiendo que estos delitos provocan una pérdida para la economía global de 326.677 millones de euros y para España tiene un coste anual de 7.000 millones de euros[4].

El coste global del cibercrimen ascendió en 2.013 a 113.000 millones de dólares suponiendo un coste promedio para Europa de 12.000 millones de dólares y una repercusión media por víctima de 298 dólares[5]

El primer paso en cualquier análisis de esta naturaleza se debe realizar respecto a la gama de amenazas entendidas como los problemas de seguridad derivados o realizados a través de redes y equipos informáticos.

El sistema global de tecnologías de información y comunicaciones, puede ser explotado por una gran variedad de usuarios ilegítimos y puede ser utilizado como un instrumento de agresión a nivel estatal. Estas actividades pueden ser organizadas a lo largo de un espectro muy amplio de actores, que van desde la delincuencia individual, la organizada, los actores no gubernamentales y los grupos, hasta proyectos orquestados por los propios gobiernos.

Estos diversos usuarios de Internet no se encuentran dentro de una jerarquía simple de amenazas. Las intrusiones indebidas, por ejemplo, pueden ser usadas por la delincuencia organizada, con consecuencias muy graves; la delincuencia organizada puede estar relacionada con el terrorismo internacional y, el terrorismo, puede ser utilizado como un instrumento de agresión del Estado[6].

Hay que destacar, por tanto, cuatro ámbitos esenciales donde se sitúa el origen de las amenazas cibernéticas: ataques cibernéticos patrocinados por el Estado, extremismos ideológicos y políticos, crimen organizado y delincuencia individual. A ellos, se les ha de unir, los controles técnicos, con incidencia en derechos fundamentales y libertades públicas.

La seguridad frente a estos fenómenos se ha conceptualizado de diferentes maneras y ha producido distintas formulaciones políticas. Las medidas para conseguirla representan una unidad de respuesta, que puede ser un individuo, una entidad empresarial o un organismo público. Lo esencial es que la amenaza sea percibida y analizada en los términos de la unidad que refleja el conjunto de intereses y preferencias, y la respuesta esté diseñada de forma que sea proporcional a la capacidad de la unidad y su experiencia.

Para los individuos, el problema ha sido garantizar la seguridad informática y la seguridad de la Red. A este nivel, generalmente bajo, las respuestas y soluciones –en gran medida técnicas- están desconexas.

A nivel de organizaciones –tanto del sector privado como público−, es de considerar los esfuerzos para garantizar la seguridad de la información y su concepto próximo, aseguramiento de la información.

A nivel del Estado, resulta esencial el enfoque de protección de infraestructuras críticas.    

Individuo: a) Seguridad informática b) Seguridad en la red Organizaciones públicas o privadas: Seguridad de la información. Estado: Protección infraestructuras críticas

▪ La seguridad informática se refiere a la protección del sistema –tanto hardware como software− y de la información que lleva. Por tanto, puede implicar medidas físicas como la creación de una arquitectura de seguridad de las TIC, sistemas operativos, códigos seguros y sistemas antivirus.

El objetivo de la seguridad informática consiste en garantizar la seguridad a nivel de los componentes del sistema y, por tanto, es un enfoque de seguridad que debería mejorar la seguridad de las TIC en su conjunto.

En este enfoque, gran parte de la iniciativa le corresponde llevarla a los actores ilegales que elaboran formas de realizar intrusiones hasta que no tienen respuesta a escala defensiva. Se podría decir que los agresores necesitan tener suerte una sola vez, mientras que los defensores deben tener suerte siempre.

En seguridad informática, el defensor tiene la parte más difícil y sus recursos son de calidad desigual.

▪ La seguridad de la red complementa la seguridad informática. Cuando las vulnerabilidades surgen de la conexión a una red, se hace necesario salvaguardar las redes de computadoras y la información que contienen.

La seguridad de la red se consigue mediante la combinación de medidas físicas para evitar el acceso no autorizado a la red, recursos y equipos, y medidas electrónicas para proteger la infraestructura de la red.

La seguridad de la red abarca un conjunto de instrumentos, incluidos los controles administrativos, físicos y electrónicos como el cifrado, software de autenticación, anti-virus y sistemas de detección de intrusos, etc.

Estas medidas de reacción defensiva se están demostrando cada vez más ineficaces.

Los enfoques de la seguridad informática y seguridad en la red basados en una cuidadosa preparación y planificación, son las bases de una aproximación a la seguridad cibernética. Ambos enfoques funcionan fundamentalmente en el ámbito del denominado “known knowns”, −la fuente, la seriedad y el estilo de los ataques, el grado de vulnerabilidad…− y pueden ofrecer respuestas eficaces en estos parámetros.

La seguridad informática y la seguridad en la red, con sus protocolos de seguridad física y medidas de seguridad tecnológicas, son menos adecuados para hacer frente a las nuevas amenazas –denominados problemas malvados-, y podrían ser rebasadas por una expansión rápida de problemas de seguridad.

Una opción podría ser buscar un enfoque “abajo-arriba, alta capacidad”, según el cual, la capacidad de la seguridad cibernética más sofisticada, se distribuye a los niveles más bajos, incluyendo empresas y particulares.

Tal vez, más que mejorar la suerte de quienes están insuficientemente equipados, mediante la distribución de tecnología sofisticada, la solución podría venir de la mano de invertir la distribución de la responsabilidad, de forma que el gobierno y las Administraciones asuman un mayor control y responsabilidad sobre el sistema de seguridad cibernética en su conjunto.

Las opciones de abajo-arriba y la distribución de responsabilidad general de arriba hacia abajo, han de ser parte de un régimen de seguridad cibernética duradera.

La preguntas es ¿cómo puede ser distribuida la responsabilidad sobre seguridad cibernética entre el sector privado –incluido los individuos−, los dominios comerciales y los gubernamentales?, ¿quién debe estar a cargo del desarrollo y articulación de la política de seguridad cibernética dentro de la Administración?.

▪ Seguridad de la información. En un nivel, tanto el sector privado comercial, como las administraciones públicas, han adoptado un enfoque tecnológico de la seguridad cibernética que, generalmente, se conoce por la expresión “seguridad de la información”.

Impulsado por la necesidad de proteger el comercio electrónico, el sector privado, fundamentalmente, se ha preocupado de proteger la información y los sistemas contra los accesos no autorizados y las interferencias.

La seguridad de la información es la capacidad de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes y acciones ilícitas o malintencionadas, que comprometen la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichos sistemas ofrecen.

En el sector privado comercial, la seguridad de la información también ha sido abordada por las organizaciones multilaterales. La Agencia Europea de Seguridad de la Información y las Redes (ENISA), se ha centrado en la seguridad de la información como un medio para facilitar el flujo legítimo del comercio electrónico. La meta de ENISA, según el artículo 2 de su carta, es “la capacidad de la Comunidad, los Estados miembros y, en consecuencia, la comunidad empresarial para prevenir, tratar y dar respuesta a los problemas de seguridad de la información”.

Con una preocupación por asegurar el flujo de datos, se encarna un enfoque cuantitativo de la seguridad cibernética. Además, se concentra en los tipos específicos de ataque y como en los casos de la seguridad informática y seguridad en la red, adopta una postura reactiva. Se orienta a una franja relativamente estrecha de los acontecimientos y sus efectos, el modelo de seguridad de la información tiene menos interés en las causas subyacentes. Por consiguiente, tiene menos que ofrecer a los análisis y comprensión de la infraestructura mundial de las TIC en su conjunto, para la generación de un enfoque coherente y exhaustivo y, sobre todo, para un enfoque anticipatorio de la seguridad cibernética.

▪ Aseguramiento de la información. El aseguramiento de la información es entendido, generalmente, en estrecha relación con la seguridad de la información. Existe alguna confusión en el uso de estos dos términos, unos mantienen que deben seguir existiendo como términos diferenciados, otros, por el contrario, consideran que deberían fusionarse. Sin embargo, de momento, el significado de ambos tiene cabida.

La seguridad de la información puede entenderse como una política reactiva de seguridad de los datos y los sistemas, con el énfasis puesto en soluciones tecnológicas y físicas, mientras que el aseguramiento de la información tendría un sentido más cualitativo, y pondría el acento en el método y en el resultado.

El aseguramiento de la información sería la confianza de que los sistemas protegen la información que tratan, cuando lo necesitan, en virtud de su función y bajo el control del usuario legítimo. Y debe ser entendido como la gestión de los riesgos referidos a la calidad, fiabilidad y disponibilidad de la información, y contribuye a algo más que a una estrategia de ciberseguridad.

▪ Protección de las infraestructuras críticas. Con ocasión de reforzar la prevención, preparación y respuesta de la Unión Europea ante eventuales ataques terroristas contra infraestructuras críticas, el Consejo Europeo pidió a la Comisión y al Alto Representante que preparasen una estrategia global de protección [COM(2004)702 final].

En la protección de las infraestructuras críticas el sector público ha de desarrollar un papel central, con independencia que los propietarios y operadores de las infraestructuras críticas pertenezcan al sector privado.

La Comunicación indicada considera como infraestructuras críticas “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción pueden tener una repercusión importante en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados miembros”. [7]

La creciente interconexión mundial plantea a las infraestructuras críticas una cada vez mayor dependencia cibernética y a gobiernos, propietarios y operadores, nuevos retos que se manifiestan como sus redes de tecnologías de la información reciben continuos ataques, a menudo, procedentes de adversarios de gran envergadura, con consecuencias graves, costes elevados y efectos generalizados.

A falta de soluciones tecnológicas milagrosas, la mayoría ven en la organización de nuevas estructuras y en la vía normativa, las mejores armas para luchar contra los ataques cibernéticos contra las infraestructuras críticas.

En Europa, los estados miembros deberán determinar sus respectivas infraestructuras críticas, según la fórmula armonizada a escala de la Unión Europea, conjuntamente con los organismos responsables de su seguridad.

La protección de infraestructuras críticas nacionales es un esfuerzo transversal de las Administraciones para proteger una gran variedad de servicios vulnerables e interconectados, que integran una estructura nacional.[8]

Con independencia de las medidas adoptadas a nivel nacional, y como complemento de las mismas, la Unión Europea ha adoptado una serie de medidas mínimas de protección de infraestructuras críticas en el marco de sus políticas que se refieren, en particular, al transporte, las comunicaciones, la energía, la salud pública y seguridad en el trabajo y creará un Programa Europeo para la Protección de Infraestructuras Críticas (PEPIC).

El tratamiento conjunto de todo ello es lo que configuraría la ciberseguridad.

2. Ciberseguridad.

Actualmente el concepto de seguridad nacional rebasa su componente militar y da entrada a una serie de factores del tipo económico, político, ecológico, diplomático, tecnológico, social o cultural.

La Estrategia de Seguridad Nacional 2013, entiende la seguridad nacional de forma integral y amplia, como “la acción del Estado dirigida a proteger la libertad y el bienestar de sus ciudadanos, a garantizar la defensa de España y sus principios y valores constitucionales, así como a contribuir junto a nuestros socios y aliados a la seguridad internacional en el cumplimiento de los compromisos asumidos”. En la presentación que precede al texto de la misma, el Presidente del Gobierno señala que la ciberseguridad es uno de los principales ámbitos de actuación, lo que lleva directamente la seguridad nacional al ciberespacio[9] como ámbito donde se ha de defender.

La “seguridad ciberespacial” tiene una dimensión universal análoga a la del ciberespacio. En un sentido genérico sería la cualidad del ciberespacio de estar libre y exento de todo peligro, daño o riesgo, tanto en sus interconexiones electrónicas constituidas en red, como del espacio de relación creado y todos sus componentes, lo que implica tanto la seguridad del propio ámbito artificial constituido por los elementos que lo componen (seguridad del medio) como la seguridad en el uso lícito de los mismos (seguridad de uso).

Este concepto sería más amplio que el actualmente atribuido al de “ciberseguridad”, considerada como el conjunto de actuaciones orientadas a asegurar, en lo posible, los medios informáticos, redes y sistemas que integran el ciberespacio mediante la detección y enfrentamiento a intrusiones, detección, reacción y recuperación de incidentes, y preservación de la confidencialidad, disponibilidad e integridad de la información. Circunscrito, esencialmente, a sus componentes de naturaleza material y base tecnológica, lo que no impediría su eventual expansión de forma que vaya incorporando también, los componentes de naturaleza inmaterial y antropológica, de manera que los conceptos de “seguridad ciberespacial” y “ciberseguridad”, puedan converger.

La necesidad de colaboración internacional resulta fundamental en cualquier problema de seguridad y muy especialmente, en los derivados del desarrollo e implantación de las tecnologías de la información, que demandan una estrategia específica para abordarlo.

El ciberespacio significa cosas diferentes para grupos distintos. La infraestructura mundial de tecnologías de la información ofrece una oportunidad sin precedentes para la creación de redes de relaciones entre personas y organizaciones. Esta capacidad de comunicación en tiempo real, ha fomentado la espontaneidad y ha estimulado el espíritu emprendedor en los negocios, a nivel nacional e internacional. En términos políticos la revolución de las comunicaciones electrónicas tiene una dimensión pública, se ha establecido un patrimonio mundial tecnológico y las barreras de entradas son cada vez más bajas.

A medida que Internet se consolida como un bien público mundial, es visto para algunos como la posibilidad de un reajuste progresivo de la política mundial, cosmopolita y liberal. Pero el Ciberespacio también está abierto a abusos que cometen los piratas informáticos, delincuentes y extremistas, cuando no los propios gobiernos en sus excesos de control. Y es, cada vez más, visto como un campo de batalla para conflictos interestatales.

Por ello, la ciberseguridad también tiene significados tan diferentes como distintos son los sectores de la vida y de la sociedad, que tratan de protegerse frente a unos posibles daños potenciales.

Las combinaciones cibernéticas posibles, son múltiples, y representan un reto para la sociedad en su conjunto, aunque esta parece incapaz de responder de una forma integral.

Es necesaria una concepción común de la ciberseguridad, tanto para comprender la extensión y profundidad del problema, como para sentar las bases de una formulación de políticas para el sector público y privado que hagan que en su conjunto sea realmente eficaz.

Si las administraciones públicas, las empresas, las corporaciones y los individuos tienen que hacer el mejor uso de unos recursos, siempre limitados y deben garantizar que sus decisiones y acciones sean complementarias, en lugar de opuestas, resulta esencial una concepción común de la ciberseguridad.

Con el incremento de la importancia del ciberespacio, sin embargo, se produce una mayor exposición y vulnerabilidad ante algunas amenazas para la seguridad nacional y a la inversa. La asimetría, bajo precio y en gran medida, el anonimato del espacio cibernético, y la posibilidad de suplantación, le hacen un ámbito atractivo para ser empleado por el crimen organizado, terroristas y por algunos estados a través de sus servicios de inteligencia y para hacer la guerra.

Todos aquellos que tengan intenciones hostiles por cualquier motivo, pueden utilizar una variedad de métodos de ataque a redes, comunicaciones de radio, cadenas de suministro y transmisiones de alta frecuencia, obtener inteligencia, difundir información falsa, interferir con datos, o interrumpir la información de un sistema vital.

Estos son algunos atributos que, además, potencialmente, hacen del ciberespacio un ámbito útil para que pueda ser explotado en la lucha contra la delincuencia y el terrorismo, así como en la defensa militar.

Como en todas las amenazas a la seguridad nacional se ha de ser realista en los riesgos y proporcionales en la respuesta. Generalmente se tiende a optimizar los beneficios y hacer un camino para salvaguardar el respeto a la intimidad y las libertades civiles.

Las Administraciones Públicas, la industria, el comercio, los profesionales, las empresas, deben trabajar juntos para ofrecer productos y servicios más seguros, operar sus sistemas de información con seguridad y proteger la intimidad del individuo.

Los ciudadanos tienen la responsabilidad de tomar medidas de seguridad básicas para protegerse ellos, a sus familias y al resto de la sociedad.

La solución de los problemas de seguridad nacional, requieren una estrecha adecuación a la seguridad internacional, a lo que no es ajeno el nuevo dominio de la ciberseguridad que, de forma muy especial, demanda su imbricación con las relaciones internacionales.

En el ámbito de la ciberseguridad, el conflicto entre las categorías que la componen, cuya característica es que tienen una serie de elementos comunes, responden a principios diferentes, operan bajo coordenadas distintas y defienden intereses que, en determinados casos, pueden llegar a ser contrapuestos, ha de encontrar su solución mediante la técnica del balanceo ponderado.

3. La ciberseguridad como sistema.

Un análisis del concepto de ciberespacio como realidad compleja no estaría completo si se prescinde de un enfoque sistémico en virtud del cual se trate de encontrar las propiedades comunes a los sistemas que se presentan en todos los niveles de la realidad y que, generalmente, son objeto de estudio en disciplinas diferentes.

Como “ciencia urgente” la ciencia de los sistemas observa totalidades, fenómenos, isomorfismo[10], causalidades circulares[11] y se basa en principios como la subsidiariedad, pervasividad[12], multicausalidad, determinismo[13] o complementariedad. Plantea el entendimiento de la realidad como un complejo, con lo que logra su transdisciplinariedad y multidisciplinariedad.

El campo de la sistémica se ha ido construyendo con especialidades como la teoría de la información, la teoría de los juegos, la teoría del caos, la teoría de las catástrofes o la cibernética.

La construcción de modelos desde la cosmovisión permite a la teoría general de los sistemas la observación de los fenómenos como un todo, a la vez que se analiza cada una de sus partes sin descuidar la interrelación entre ellas y su impacto sobre el fenómeno en su conjunto, entendiendo al fenómeno como el sistema, a sus partes integrantes como subsistemas y el fenómeno general como suprasistema.

Por lo que se refiere al objeto de este trabajo, se considera el ciberespacio como sistema, la ciberseguridad como subsistema y al entorno general y universal en el que interactúa el ciberespacio con otros sistemas, como suprasistema.

Con la finalidad de apuntar la dirección de investigaciones futuras y con la sola pretensión de contextualizar intelectualmente estos conceptos, a continuación se hace una sucinta, sintética y reducida aproximación al mismo desde la perspectiva indicada. Para ello se siguen los razonamientos y terminología utilizada por Elzaburu y Martitegui[14] adecuándola a la dimensión ciberespacial.

El problema de la seguridad en el ciberespacio es la situación de crisis producida por la discordancia entre dos o más entes implicados en el en el mismo o algunos de sus elementos integrantes, en el ámbito de su individualidad o en la de su campo de relaciones, con deterioro del medio, por causas exógenas al normal funcionamiento del sistema.

Este conflicto se resolvería mediante la aplicación del conjunto de medidas encaminadas a prevenir, evitar o neutralizar el conflicto sistémico y restablecer su armonía en el sistema ciberespacial, incidiendo en las causas que la provocan, que constituirían la ciberseguridad.

En función de lo indicado, la ciberseguridad sería la disciplina que se ocupa del estudio, aplicación y desarrollo de la dimensión securitaria del sistema ciberespacial considerado como un todo. Constituye por sí misma un ente configurado como subsistema  dentro del sistema ciberespacial, implica todo un entramado coherente de relaciones, con individualidad propia y un amplio campo de relaciones, que está en permanente evolución en función de los cambios en el medio, de los problemas a resolver y de las soluciones que se han de aplicar.

En la sociedad actual los sistemas cibernéticos emergen inmersos en una compleja trama de relaciones cambiantes, mediante las cuales se crean, se modifican, se agrupan, se combaten o se extinguen, en superposición o competencia con otros sistemas, a los que tratan de reemplazar.

Esta parcela de la realidad, dotada de elementos diferenciales, se integra, junto con otras realidades de distinta naturaleza, dando lugar al sistema cibernético global que, a su vez, integra otros de ámbito menor o subsistemas.

La acción y el sentido de actuación de todo sistema, implica una relación de colaboración con otros en un proceso de complejización de relaciones y, a la vez, conlleva un esfuerzo por conservar su individualidad frente a los demás, todo ello en armónica relación.

La realidad del sistema cibernético se manifiesta como una trama de relaciones con distintos niveles, unos tienen sentido en sí mismos y otros, por el contrario, son incompletos y solo tienen sentido fuera de ellos.

Los distintos subsistemas que constituyen un sistema en sí mismos, están integrados en otro sistema de nivel superior, lo que nos permitiría deducir la importancia de un planteamiento universal de la ciberseguridad que marque la dirección y sentido de actuación del conjunto, en cuyo seno se vayan incardinando las estructuras, también sistémicas, de niveles inferiores.

1. Elementos de sistema de ciberseguridad.                 a) Objetivo.                 b) Alternativas técnicas.                 c) Costes.                 d) Modelo matemático.                 e) Criterios. 2. Articulación de elementos.                 a) Formulación.                                a.1. Planeamiento del problema.                                a.2. Concreción de objetivos a conseguir.                 b) Explotación.                                b.1. Delimitación del entorno.                                b.2. Determinación de sus límites. b.3. Definición e identificación de  componentes esenciales                                b.4. Comprensión.                                b.5. Concepción. 3. Aproximación sistémica.

 Al contemplar la ciberseguridad como sistema, hemos de hacer un tránsito del problema a la solución y reflexionar sobre la propia definición de sistema, el modelo y finalmente la solución.

Extrapolando los planteamientos de Torrón Durán[15] al ámbito de la ciberseguridad se aborda su articulación y elementos como sistema.

1.Elementos de un sistema de seguridad cibernética.

Los elementos esenciales de un sistema de ciberseguridad podrían ser los siguientes:

a) El objetivo. Para analizar la ciberseguridad como sistema se ha de determinar, en primer lugar, su objetivo, que no es otro que lograr la protección del ciberespacio y su utilización; y que, este objetivo sea posible utilizando diversos medios.

b) Las alternativas técnicas. El objetivo de proteger el ciberespacio se puede lograr a través de diversas alternativas técnicas o instrumentales, que no son otra cosa que diferentes “subsistemas” que dan solución al problema.

El objetivo es tan amplio que para lograrlo, los medios han de ser diversos (económicos, normativos, políticos, físicos, organizativos, tecnológicos, criptológicos, electromagnéticos, formativos, culturales, etc.). Por ello, cuando se habla de un sistema de ciberseguridad, se hace referencia a la combinación de todos ellos.

c) Costes. Los recursos requeridos para la utilización de las alternativas necesarias para lograr articular el sistema de ciberseguridad, implican unos costes y proporciona un beneficio o ventaja, medible en cuanto a la consecución del objetivo buscado.

Estos costes y beneficios lo son en su sentido más amplio, lo que resulta especialmente significativo en lo referido al sistema de seguridad cibernética, por cuanto la ventaja resultante tiene de intangible y de difícil comprensión pero, a la vez, de pragmática materialidad y cuantificación económica.

d) Modelo matemático. La ciberseguridad viene determinada por los peligros, riesgos y amenazas a que puede verse sometido el ciberespacio. Su variedad e intensidad es tan diversa que “a priori”, resulta extraordinariamente difícil poder establecer “la seguridad necesaria”.

Si, además, se tiene en cuenta la diferencia entre la lógica del razonamiento del atacante, que en definitiva es el que puede elevar el nivel de exigencia de seguridad y la lógica del razonamiento del que elabora la defensa que, para ser efectiva, la seguridad ha de ser superior a los niveles de las agresiones potenciales, resulta evidente la dificultad y complejidad del diseño de criterios de seguridad.

Quizás sea bajo el criterio de la teoría matemática de los juegos donde hay que estudiar el problema de la ciberseguridad en su conjunto. Se trataría de estudiar el comportamiento de “n” actores en sus relaciones mutuas en torno a un objetivo común.

El problema planteado no consiste sólo en describir el comportamiento de los actores, sino en calcular cual puede ser, para cada uno de los jugadores en presencia, el mejor comportamiento posible frente a las reacciones previsibles de su adversario.

Este comportamiento ideal consiste, por parte de los jugadores, en exagerar sus ventajas y disimular sus pérdidas, en función de la táctica adoptada por los otros jugadores.

El estudio de este género de confrontaciones, ha demostrado que el tipo de situaciones en las que se encuentran los actores no es susceptible de variar indefinidamente. En la práctica, las combinaciones se reducen a varios “modelos” que difieren según la naturaleza del objetivo, la posibilidad de comunicación entre los adversaros y el número de jugadores, lo que, aplicado a la seguridad cibernética, resulta altamente complejo.

Se distinguen los juegos de suma cero, en los que la ganancia de uno representa exactamente la pérdida del otro y los juegos de suma variable, en los que pérdidas y ganancias se reparten, de una manera aleatoria, entre los jugadores.

A través de estos diferentes modelos, que evidentemente son susceptibles de numerosas combinaciones, se llega a determinar, matemáticamente, cuáles son los modos racionales de conducta en diversos tipos de circunstancias. Es entonces posible prever –e incluso, prevenir− aplicando a la solución de uno u otro conflicto, unas fórmulas cuya eficacia se ha podido verificar anticipadamente.

Con la teoría de los juegos se puede construir matrices y esquemas utilizables para la solución de problemas reales o eventuales.

En el caso concreto de la teoría de los juegos aplicada a la ciberseguridad, se estaría en presencia de juegos de suma variable, donde lo que pierde el defensor puede ser menor o mayor que lo que gana el atacante, pudiendo incluso perder ambos.

La situación ideal del diseñador de ciberseguridad sería la de anticiparse al atacante, incorporar los códigos y lógica del atacante, ponerse en la posición del atacante, en definitiva, “tener un atacante en la cabeza”.

Al ser el sistema de seguridad cibernética, la naturaleza y complejidad de este entorno requiere aplicaciones tecnológicas de alta capacidad para abordar los modelos indicados.

e) Criterios. El criterio comúnmente aceptado que relaciona y trata de medir objetivos y costes o recursos empleados para elegir la alternativa óptima, es el de coste/beneficio.

Los sistemas de seguridad cibernética se pueden diseñar con criterios de eficacia, eficiencia, criterios económicos, etc., porque para dichos criterios se conocen parámetros que, maximizando unos y minimizando otros, se puede tender hacia diseños óptimos.

Cuando se trata de criterios de seguridad, el problema se torna más complejo y difícilmente resoluble. Los criterios y puntos de vista que utiliza el diseñador para obtener seguridad no son los mismos bajo los cuales se moverá el atacante y habría que recurrir a la teoría matemática de los juegos.

2. Articulación de elementos. El propio proceso de análisis de un sistema de ciberseguridad es, en sí mismo, un subsistema, en el que las salidas de cada fase permiten reconsiderar la siguiente y por iteraciones sucesivas, aproximarse gradualmente al resultado buscado, iniciándose el proceso con el problema y finalizando con la solución. El orden secuencial de las fases de articulación de los elementos de un sistema de ciberseguridad sería el siguiente:

a) Formulación.

a.1. Planeamiento del problema. La naturaleza del ciberespacio, entendido como ámbito de relaciones de naturaleza tecnológica en el que se produce un incesante flujo de información, comporta tecnología, información y ordenación.

- Tecnología, entendida como herramienta para lograr un fin, requiere un funcionamiento eficaz para lograrlo.

- Información, considerada como el cambio que se produce al pasar del desconocimiento o la incertidumbre de un hecho, al conocimiento o certidumbre respecto del mismo y, concretamente, su valor, la sitúa en un nivel que demanda su posesión útil y controlada, lo que requiere su adquisición, procesamiento, clasificación, protección y distribución.

- Ordenación, supone el sometimiento a un orden social preestablecido que se plasma en normas técnicas de conducta y normas jurídicas.

a.2. Concreción de objetivos a conseguir. Los objetivos a conseguir son: la funcionalidad del sistema tecnológico y, la adquisición, procesamiento, clasificación, protección y distribución de la información, todo ello, realizado con los medios necesarios para obtener una relación proporcionada de coste/beneficio.

b) Exploración.

b.1. Delimitación del entorno. En el entorno cultural, social, económico y político, de los países occidentales, con un grado elevado de desarrollo tecnológico, con sistemas de comunicaciones que pueden ser globales, y en un clima de desconfianza, el ciberespacio necesita seguridad.

Las reiteradas vulneraciones de los medios empleados, provocan necesidades de seguridad en permanente cambio.

b.2. Determinación de sus límites.

Los límites de los objetivos a conseguir vienen determinados, por la exigencia de proporcionalidad en la utilización de medios y recursos, por el nivel tecnológico, por las capacidades organizativas y por las exigencias legales.

b.3. Definición e identificación de componentes esenciales.

- Variedad e intensidad de los riesgos y amenazas a que está sometido el sistema cibernético, lo que provoca una gran dificultad para el establecimiento de la “seguridad necesaria”.

- Los riesgos pueden ser de orden tecnológico, organizativo, físico, lógico, criptológico, normativo, electromagnético, humanos, etc.

- Aplicación de la teoría de los juegos para determinación del modelo matemático.

- Acceso al sistema.

- Manipulaciones y modificaciones.

- Pérdidas.

- Interrupción del servicio.

- Medios a utilizar: económicos, políticos, normativos, organizativos, lógicos (dentro de los cuales destacan los criptológicos, electromagnéticos, administrativos, físicos y humanos).

b.4. Comprensión. Recogida de información para comprender el funcionamiento del sistema y estudio del conjunto en profundidad y desde una perspectiva global, considerando todas las implicaciones de un subsistema de ciberseguridad, tales como las variables tecnológicas, políticas, jurídicas, sociales, culturales y, cómo no, económicas y de seguridad nacional.

b.5. Concepción. Búsqueda de soluciones alternativas que permitan conseguir los objetivos asignados plasmadas en una política de ciberseguridad.

3. Aproximación sistémica. Una aproximación sistémica a la ciberseguridad permite abordarla en toda su plenitud y extensión, desde una perspectiva global hasta la individual, pasando por la internacional, regional, nacional, autonómica, local, corporativa y personal. Manteniendo el sentido de actuación del conjunto y conservando la individualidad de cada ámbito, lo que requiere, entre otras cosas, colaboración.

Dentro del marco del suprasistema universal en el que el sistema cibernético y el subsistema de ciberseguridad están inmerso, tal vez convendría explorar si las relaciones que se producen en su seno podrían plasmarse en el modelo matemático derivado del “efecto onda” mediante la resolución de ecuaciones diferenciales parciales hiperbólicas, conocidas como ecuaciones de ondas esféricas.

De la configuración del ciberespacio, la realidad política mundial resulta determinante la asimilación sistémica de esta realidad por parte de los Estados y su actuación en congruencia con todo ello, que demanda la propia concepción sistémica de los subsistemas de ciberseguridad nacionales y la integración de todos ellos concordantes con el sentido del sistema cibersecuritario internacional.

4. Conclusión.

Al tener el ciberespacio una dimensión global y ser esta la condición de sus riesgos y amenazas, se requiere diseñar una seguridad de igual magnitud como única forma de aprehender el fenómeno en su totalidad.

Actuar en congruencia con una estructura sistémica llevaría a la articulación de una estrategia universal para el ciberespacio auspiciada por Naciones Unidas, en cuyo seno se desarrollase otra estrategia de ciberseguridad, igualmente universal, que determinaría el sentido de actuación del sistema global de ciberseguridad en su conjunto y de los sistemas de ciberseguridad regionales, nacionales y ámbitos subordinados.