Cómo Italia se prepara para afrontar el terrorismo cibernético

    Francesco G. Leone
    Introducción

    En el siguiente análisis se propone exponer algunas de las medidas que Italia está llevando a cabo para contrarrestar el fenómeno del terrorismo cibernético. Sin embargo, antes de empezar con el desarrollo de la temática en cuestión será necesario hacer algunas premisas relevantes sobre los conceptos de ciberespacio, soberanía y terrorismo cibernético. Así, el espacio cibernético está formado por una extensa red de sistemas informáticos interconectados entre sí que establecen interacciones lógicas entre ellas. Las mismas son capaces de ofrecer a buena parte de la población mundial tanto efectos positivos (por ejemplo, la posibilidad de efectuar transacciones financieras, comunicaciones con otros individuos, la difusión de conocimiento, etc.), como efectos negativos (robo de identidad, sustracción de datos, compras fraudulentas, daños a los sistemas informáticos…). En este sentido, los efectos negativos de la red no solo afectan a los usuarios, sino también a la soberanía del Estado. De hecho, la relación de poder-sujeción tradicionalmente ejercitada de forma coercitiva por el actor Estado hacia las personas sujetas a su soberanía, se encuentra en constante amenaza por las insidias que anidan en el ciberespacio.

    Hoy en día, una de las amenazas más virulentas contra el Estado no está representada por bandas armadas o grupos insurgentes, sino por internautas o redes de internautas al servicio del crimen organizado o financiados por algún otro actor no estatal. Escapando a cualquier tipo de control, estos individuos o grupos de individuos pueden ejecutar ataques cibernéticos contra los organismos públicos o privados que controlan las infraestructuras críticas (redes de energía eléctrica, hídrica, transportes públicos, comunicaciones, sistema bancario y financiero, etc.) o dirigirlos hacia la propia administración del Estado que utiliza la red telemática para proveer servicios públicos (sistema sanitario, Defensa o Seguridad, entre otros).

    Por otra parte, los sistemas jurídicos nacionales basados en el principio de territorialidad – como en el caso de Italia – no ofrecen ninguna protección ante los peligros que se difunden a través del world wide web o, peor aún, en el denominado deep web, es decir, aquella porción de internet que no resulta indexada por los buscadores tradicionales. Así, la red profunda es un mare magnum con documentación organizada en varios recipientes temáticos y, según algunas estimaciones, se albergarían en ella más de 550 mil millones de documentos disponibles respecto a los dos mil millones catalogados por Google. En la red profunda se puede traficar con drogas, armas, materiales estratégicos, documentación falsa – inclusive reclutar sicarios – con gran facilidad y utilizando los bitcoins, una moneda virtual que explota la tecnología peer to peery que no está sujeta a ningún régimen o control.

    Por ello y con el objetivo de protegerse contra las amenazas cibernéticas, el Gobierno italiano intensificó su colaboración con el sector privado. En dicho contexto, fueron elaborados dos documentos de suma importancia: el Cuadro Estratégico para la Seguridad del Espacio Cibernético y el Plan Nacional para la Protección Cibernética y la Seguridad Informática. Ambas publicaciones asignan y reparten los roles que las diversas instituciones tanto públicas como privadas tienen que asumir para garantizar la seguridad cibernética de Italia. Las amenazas cibernéticas, en ambos textos, son clasificadas en cuatro grandes categorías: 1) la criminalidad cibernética (cyber crime); 2) el espionaje cibernético (cyber espionage); 3) la guerra cibernética (cyber warfare); 4) el terrorismo cibernético (cyber terrorism). Además, se debe destacar que el pasado 17 de febrero del año 2017 el Presidente del Consejo de Ministros aprobó un nuevo decreto en cual se encuentran detalladas las funciones delegadas a cada organismo del Estado en materia de protección cibernética y seguridad informática nacional. Sin embargo, en el presente artículo se va a tratar, solamente, del terrorismo cibernético.

    El terrorismo cibernético

    Una de las primeras definiciones de terrorismo cibernético se remonta a los años 80, cuando Barry Collin del Institute for Security and Intelligence de California (Estados Unidos), se refirió a la convergencia del ciberespacio con el terrorismo. Años más tarde, Dorothy E. Denning del Georgetown Institue for Information Assurance de Washington (Estados Unidos), especificó que para que el terrorismo cibernético pudiera ser calificado como tal, debería cumplir con ciertos requisitos como por ejemplo que la acción terrorista, además de ser violenta, tenía que estar dirigida cibernéticamente contra elementos físicos e individuos, causar graves daños, generar miedo y difundir el terror. Dicho en otros términos: los ataques cibernéticos perpetrados contra los sistemas informáticos de monitorización electrónica de los sistemas físicos – conocidos con el acrónimo SCADA – presentes en las infraestructuras críticas tienen que producir daños extensos e importantes.

    Según el Grupo de Monterrey, o Centre for the Study of Terrorism and Irregular Warfare de la Naval Postgraduate School en Monterrey, existen tres tipos de ataques cibernéticos: 1) aquellos simples y estructurados con capacidad para conducir ataques contra sistemas individuales utilizando instrumentos creados por otros usuarios; 2) aquellos avanzados y estructurados que son capaces de llevar a cabo ataques más sofisticados contra sistemas o redes con instrumentos creados para dicho fin; 3) y, finalmente, los más complejos con capacidad para lanzar ataques coordinados buscando causar interrupciones masivas en sistemas defensivos integrados mediante sofisticados instrumentos de hacking.

    En este sentido y como ejemplo, se podría producir un ataque terrorista perpetrado cibernéticamente para destruir, desestabilizar o confundir las funciones de comando y control de un sistema informático que controla las redes de distribución de alta tensión en una gran ciudad. Dicho acto, para que sea realmente denominado como «terrorista», además del daño provocado al software y al hardware tiene que comprometer la función principal del sistema, es decir, la transmisión de la energía eléctrica (cuyos daños podrían ser incalculables en una situación de black out total en un periodo de tiempo prolongado). Y si la población llegara a ser consciente que por culpa del ataque habrían quedado interrumpidas las comunicaciones, los transportes o el abastecimiento de agua potable, el pánico y la desconfianza hacia las autoridades terminarían por comprometer la seguridad ciudadana y el orden público [1].Según Denning, no todos los ataques informáticos tienen que ser considerados como terrorismo cibernético. Según Denning, de la definición quedarían excluidos los ataques que producen un mal funcionamiento temporal del sistema como en el caso del Denial of Service – DoS – o del Distributed Denial of Service – DDoS – (otras definiciones de terrorismo cibernético se muestran en la nota a pie a pie de página)[2].

    Por su parte, en el caso de Italia y de su Cuadro Estratégico recién terminado, se define el terrorismo cibernético como: “un conjunto de acciones ideológicamente motivadas que intenta condicionar a un Estado o a una organización internacional”[3]. Si bien no existe una definición unívoca de terrorismo cibernético, en este análisis se consideran válidas las dos citadas de Denning que considera la red telemática como arma u objetivo para perpetrar ataques terroristas (definición que se puede catalogar como target oriented) y la del «Sistema de Información para la Seguridad de la Republica», la más utilizada, que destaca el preeminente rol instrumental de internet para dichos fines (definición tool oriented).

    En relación al Cuadro Estratégico, se puede afirmar que Italia adopta tres tipos de medidas para contrarrestar el terrorismo cibernético: 1) Preventivas; 2) Defensivas; 3) Represivas.

    Medidas preventivas

    En primer lugar, las medidas preventivas son las más difíciles de implementar debido a las dificultades ligadas a la individualización no solo de las amenazas, sino también de las vulnerabilidades que presentan los sistemas informáticos tanto de las administraciones públicas como de las pequeñas y medianas empresas que, dicho sea de paso, son el verdadero pulmón del aparato productivo italiano. Así, identificar los riesgos a la seguridad nacional requiere una atenta actividad de planificación por parte de los servicios de inteligencia. Actualmente la planificación informativa se concentra en tres macro objetivos: 1) el terrorismo internacional; 2) la seguridad cibernética; 3) la seguridad económica, comercial y financiera.

    En esta dirección, el riesgo cibernético debe ser tenido en cuenta en cada uno de los tres ámbitos. Por consiguiente, el Cuadro Estratégico sugiere adoptar tres tipos de medidas preventivas: 1) físicas: a través del control de las personas que acceden a los lugares donde se encuentran los servers y la monitorización constante de los usuarios que tienen acceso a los programas de comando y control de los sistemas informáticos; 2) lógicas: por medio de la utilización de insumos informáticos certificados para limitar el compromised counterfeit hardware, es decir, contra la preventiva instalación de software potencialmente dañino escondido en el microprocesador; 3) procedimentales: con la adopción de estrictas normas de conducta y protocolos de seguridad cada vez más complejos.

    Las medidas preventivas implementadas hasta ahora han seguido los cánones de la «seguridad integrada» a través de la colaboración activa del sector público y de los gestores privados de las redes estratégicas nacionales. El Ministerio del Interior también concurre en la prevención y la investigación de los actos terroristas ejecutados a través de sistemas informáticos y, en particular, contra las infraestructuras criticas informatizadas de interés nacional. Con decreto del Ministro del Interior de 9 de enero de 2008, se tratan de forma particular las estructuras críticas nacionales y también se establece un «Centro Nacional contra el Crimen Informático para la Protección de las Infraestructuras Críticas» (CNAIPIC en sus siglas en italiano). Lo mismo ocurre con el Ministerio de Defensa, cuyo objetivo es proteger las instalaciones militares en Italia y a las fuerzas armadas desplegadas en el exterior. Al Reparto Informazioni e Sicurezza del Estado Mayor de Defensa compete analizar, evaluar y aportar elementos concretos sobre las amenazas no convencionales dirigidas a las actividades que realiza el Ejército italiano. En su seno, opera el CERT-Defensa, una estructura técnica encargada de dar asistencia en materia de seguridad informática y comunicaciones. El CERT-Defensa promueve también la divulgación de las informaciones con el objetivo de prevenir futuras amenazas cibernéticas.

    Teniendo en cuenta que estas amenazas cibernéticas serán cada vez más «híbridas» y sofisticadas, las técnicas empleadas para contrarrestar las mismas serán tanto simétricas como asimétricas debido a cuatro grandes factores: 1) los cyber terroristas pueden atacar desde cualquier latitud geográfica; 2) pueden aprovecharse de una sola vulnerabilidad de la red o del sistema en cuestión; 3) son extremadamente veloces y a veces no permiten una adecuada respuesta; 4) son y quedan anónimas. El Departamento para la Información y la Seguridad de la Presidencia del Consejo de Ministros se encarga de coordinar todos los esfuerzos conjuntos en materia de amenazas cibernéticas.

    Medidas defensivas

    Las medidas defensivas, en cambio, nacen de la necesidad de integrar diferentes capacidades del sector público y privado. Así, de las actividades de síntesis y análisis llevadas a cabo por el Ministerio de Defensa, se detectaron algunos software maliciosos. Gracias a la investigación científica en el ámbito universitario se pudo entender como neutralizarlos. En este sentido, la Universidad de Trento, junto con el Consejo Nacional de Investigaciones, algunos años atrás obtuvo financiación de fondos de la UE para la creación de dos laboratorios, uno ubicado en Trento y el otro en Pisa, que tratan el tema de la seguridad informática. Por ejemplo, en el malware lab de Povo, desde hace tres años se almacenan y analizan los software maliciosos más difundidos por internet. Por otro parte, la Universidad Sapienzade Roma creó el Cyber Intelligence and Information Center, un centro de investigación que opera en el sector de la information assurance, y cuyos objetivos son realizar y proteger las infraestructuras críticas, trend prediction, open-source intelligence, sistemas cyber físicos y smart complex systems. De hecho, la colaboración entre las agencias de inteligencia, las universidades y la industria se ha ido estrechando progresivamente.

    Además, otra medida defensiva extremadamente eficaz contra los ataques cibernéticos son los denominados «sistemas de alerta» que se basan en simulaciones, ejercicios y resolución de case study. En este ámbito, el principal cometido es saber distinguir los diferentes tipos de amenazas cibernéticas: si han sido fortuitas o bien provocadas por error, si fueron causadas por una disfunción de la red o determinadas por un ataque terrorista, entre otros. La «capacidad del sistema» depende de esta primera evaluación para defenderse adecuadamente. En base a las informaciones recibidas, se puede interrumpir, aislar o utilizar una red alternativa de emergencia. Por lo general, los «planes de contingencia» prevén la continuidad de la actividad cibernética con el menor número de conexiones posibles a efectos de favorecer el restablecimiento de la red y garantizar el funcionamiento gradual de los sistemas de comando y control.

    Medidas represivas

    En relación a las medidas represivas, las mismas pueden ser resumidas en dos grandes categorías: 1) las objetivas: lanzadas contra los insumos informáticos; 2) las subjetivas: contra los responsables de dichas acciones. En la primera categoría se encuentran las actividades de back-hack que permiten identificar el origen de un ataque cibernético a través del rastreo de la actividad de un numero IP o del «espectro de bits» dejado por el ataque y, de este modo, poder dar con el agresor. La individuación del agresor, según el Manual de Tallin (una recopilación de soft law que sintetiza las reglas del Derecho Internacional aplicables a la guerra cibernética) permitiría a los gobiernos la adopción de contramedidas en dicho ámbito. En sentido opuesto, los Estados Unidos consideran los ataques cibernéticos (incluido el cyberterrorismo) como verdaderos actos de agresión. De esta manera, la administración estadounidense es libre de invocar el ius ad bellum (las razones y la legitimidad del conflicto armado) y así lanzar una ofensiva con medios y métodos convencionales. Si bien las contramedidas quedarían confinadas al universo «virtual», el combate con medios y métodos convencionales tendría sus consecuencias en el mundo «real».

    En la segunda categoría se ubica la potestad punitiva del Estado a través de su legislación penal. Las modificaciones aportadas al código penal italiano en materia de terrorismo no son fruto de una auténtica «política de estado» en ese sentido, sino más bien una consecuencia directa de los ataques terroristas que han sacudido la opinión pública mundial en los últimos quince años: después del 11 de septiembre del año 2001 (atentados en los Estados Unidos), se introdujo en el ordenamiento jurídico italiano el delito de asociación finalizada al terrorismo internacional (artículo 270 bis); después del 5 de julio de 2005 (atentados en Londres, Reino Unido), se definieron las conductas con finalidad de terrorismo (artículo 270 sexies); luego del 7 de enero de 2015 (ataque terrorista contra Charlie Hebdo en París, Francia), se introdujeron las normas contra los foreign fighters y, finalmente, tras el 22 de marzo de 2016 (ataques terroristas en Bruselas, Bélgica), se presentó en la Cámara de Diputados un proyecto de ley (número 3303-A) para castigar a quien cometa actos de terrorismo cibernético con penas de entre cinco y diez años de prisión.

    En esta dirección, el código penal italiano sanciona además el sabotaje con finalidad de terrorismo de los servicios públicos esenciales (artículo 270 quater), la organización de viajes al extranjero para el cumplimiento de acciones terroristas (artículo 270 quater1), el adiestramiento con finalidad de terrorismo (artículo 270 quinques), las conductas con finalidad de terrorismo, las acciones de desestabilización o destrucción de las estructuras sociales fundamentales de una comunidad (artículo 270 sexies) o la instigación o la apología a cometer uno o más delitos de terrorismo (artículo 414). Con la ratificación y plena ejecución de la Convención del Consejo de Europa sobre la criminalidad informática hecha en Budapest el 23 noviembre de 2001, también son introducidos en el código penal nuevas hipótesis de delitos informáticos.

    Apuntes finales

    Después de este breve excursus, se intentan sacar algunas conclusiones de todo lo expuesto:

    1) No existe una definición unívoca de terrorismo cibernético. Los terroristas pueden cometer acciones violentas utilizando la red telemática como si fuese un arma o un objetivo para provocar daños a las cosas y personas, o bien como medio para difundir el terror y la propia ideología a través de la red. Analizando la definición de Denning y de la Presidencia del Consejo de Ministros (que no son antitéticas, sino complementarias), se podría decir que el terrorismo cibernético se manifiesta en la dimensión «virtual» pero sus efectos repercuten en el ámbito «real».

    2) La evolución de la seguridad cibernética en Italia tiene en cuenta los cambios geopolíticos actuales: nuevas entidades «no estatales» se están conformando; los tradicionales centros de poder se están transfiriendo desde el Atlántico hacia el Pacifico; las crisis económicas están incrementando las tensiones entre el hemisferio boreal y austral; las controversias ideológicas, culturales y religiosas se están acentuando cada año que pasa, entre otras muchas. En este contexto, el terrorismo, en general, y el terrorismo cibernético, en particular, representan las mayores amenazas fuera de las denominadas áreas de crisis debido a que se nutren de la «conflictualidad latente» y utilizan el progreso tecnológico para arremeter contra las infraestructuras críticas públicas y privadas. Así, nos encontramos ante una estrategia «híbrida» que no pretende solo un control físico del territorio de un Estado, sino que apuesta también en influenciar y controlar, a través del terror y la ideología, a su población civil.

    3) Hemos entrado en la era de la informática cuántica en la cual predomina el internet of everything: en los vehículos, los aviones y hasta en nuestras propias casas. No obstante, este hecho emblemático no suscita ninguna protesta en la opinión pública por los efectos devastadores que el universo virtual podría provocar a nuestro mundo real.

    4) Las medidas represivas subjetivas presentan tenues puntos de contacto entre el «internauta-agente» y la «jurisdicción italiana». Como se explica anteriormente, se puede encontrar solución al problema de la supervivencia de la red. Sin embargo, no se resuelve el anonimato y la individuación geográfica del «cyber terrorista» que se esconde detrás del teclado.

    5) La mayor parte de los artilugios informáticos tecnológicamente avanzados son el resultado de largas y laboriosas actividades de investigación por parte de los gobiernos y multinacionales. No obstante, un estudio realizado en los años noventa ya preveía que los costes iniciales para conducir un ataque cibernético serían extremadamente modestos.

    6) Si bien es cierto que en Italia no se han verificado actos de terrorismo cibernético, que los mismos se produzcan a medio y largo plazo no solo es posible sino que entra dentro del escenario de probabilidades planteado.

    Note

    [1] Léase SHIMEALL, Timothy – WILLIAMS, Phil – DUNLEVY Casey “Neutralizzare la guerra cibernetica”, en revista de la O.T.A.N., invierno 2001/2002, pág. 18.
    [2] “Cyber terrorism is the use of computer network tools to shut down critical national infrastructures (such as energy, transportation, government operations) or to coerce or intimidate a government or civilian population” LEWIS, James A. “Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats”, Estados Unidos, 2002; “A criminal act perpetrated by the use of computers and telecommunications capabilities, resulting in violence, destruction and/or disruption of services, where the intended purpose is to create fear by causing confusion and uncertainty within a given population with the goal of influencing a government of population to conform to a particular political, social or ideological agenda”. LOURDEAU, Keith “Testimony of Keith Lourdeau, Deputy Assistant Director, Cyber Division, FBI Before the Senate Judiciary Subcommittee on Terrorism, Technology, and Homeland Security”. Estados Unidos, 2004. “Cyber terrorism is the premeditated, politically motivated attack[s] against information, computer systems, computer programs, and data which result in violence against non-combatant targets by sub-national groups or clandestine agents” POLLITT, Mark in AA.VV. “Power and security in the Information Age. Investigating the Role of the State in Cyberspace”, Reino Unido, 2007, pág. 98.
    [3] Léase Presidencia del Consejo de Ministros, “Il linguaggio degli organismi informativi”, Roma, 2013, pág. 72.