Seguridad y Defensa - Real Instituto Elcano Feeds Elcano Copyright (c), 2002-2018 Fundación Real Instituto Elcano Lotus Web Content Management <![CDATA[ Capacidades ofensivas, disuasión y ciberdefensa ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari92-2019-arteaga-capacidades-ofensivas-disuasion-y-ciberdefensa 2019-09-10T02:32:36Z

Los países democráticos están adoptando medidas ofensivas para disuadir a los países y grupos que realizan ciberataques de hacerlo o, al menos, que se arriesguen a pagar un precio. La cuestión es saber si el remedio de la disuasión es peor que la enfermedad de la impunidad.

]]>
Tema

Los países democráticos están adoptando medidas ofensivas para disuadir a los países y grupos que realizan ciberataques de hacerlo o, al menos, que se arriesguen a pagar un precio. La cuestión es saber si el remedio de la disuasión es peor que la enfermedad de la impunidad.

Resumen

Las operaciones militares en el ciberespacio son el último recurso de la seguridad nacional, al igual que ocurre en cada uno de los demás dominios de tierra, mar, aire y espacio donde operan las fuerzas armadas. Pero las fuerzas armadas no sólo deben adoptar acciones defensivas para disuadir a los posibles agresores, sino también ofensivas. A esta conclusión se ha llegado en los últimos meses cuando las medidas defensivas, civiles y militares no han bastado para contener el crecimiento de ciberataques y, además, éstos se han patrocinado o consentido por algunos actores estatales. En consecuencia, las estrategias de ciberseguridad nacional se han ido abriendo a la planificación de capacidades ciberofensivas (defensa activa) que permitan disuadir a los posibles agresores o, al menos, hacerles pagar un coste elevado. Este ARI resume el estado de la disuasión y las ventajas e inconvenientes que plantean las operaciones ofensivas en el dominio del ciberespacio.

Análisis

La protección del ciberespacio se ha volcado en medidas defensivas para proteger las infraestructuras críticas de los países o los despliegues de sus fuerzas en teatros de operaciones. De las primeras se han venido ocupando las Administraciones Públicas y el sector privado corresponsables de la ciberseguridad, mientras que de las segundas se han encargado los mandos y fuerzas de ciberdefensa. Hasta el pasado inmediato, las acciones defensivas han primado sobre las ofensivas (offensive cyber capabilities, OCC) por la dificultad de identificar a los atacantes (atribución), por la falta de regulación del derecho a la legítima ciberdefensa o por los riesgos que implica una devolución de ataques (hacking-back). No obstante, en los últimos años se está produciendo un cambio desde la lógica de la resiliencia hacia la lógica de la disuasión, es decir, desde la prioridad de resistir y reponerse cuanto antes de los ciberataques a la de tomar medidas de represalia contra las mismas para evitarlas.

La disuasión funciona sobre la base de intenciones y capacidades. Su existencia aumenta la incertidumbre del posible agresor, porque corre el riesgo de que sus ciberataques desencadenen acciones de represalia. Y, cuanto menos conozca sobre ellas, mayor será su incertidumbre, porque complicará su cálculo de riesgos. Por el contrario, no disponer de capacidades ofensivas de contraataque o no estar dispuesto a usarlas genera un efecto contrario a la disuasión que incentiva los ciberataques ante la certidumbre de que no encontrarán respuesta. Esta lógica de la disuasión se ha ido abriendo paso a medida que la proliferación de ciberataques ha puesto a prueba la postura defensiva de los países y dado paso a la proliferación de declaraciones y capacidades ofensivas explícitas.

El cambio de lógica tiene un amplio respaldo en la sociedad civil, porque son las instituciones políticas, económicas y sociales las que más sufren los efectos de los ciberataques. Por ejemplo, el sector privado de los Estados Unidos solicitó a la Administración en 2018 que adoptara medidas para protegerlo de los ciberataques porque el coste de las medidas defensivas que asumían comenzaba a ser insoportable. Pidió que desarrollara una política de disuasión que redujera su exposición a los ataques, procedieran estos de las organizaciones criminales o de los servicios de inteligencia de algunos países. Se trataba de acabar con la impunidad reinante y asegurar que los responsables, directos o indirectos, pagarían un precio por los ciberataques. Algunos de esos ataques procedían de amenazas no estatales, como las organizaciones criminales que buscan el robo, rescates o la suplantación de la identidad con fines delictivos y lucrativos. Pero otros tenían detrás una clara intencionalidad estatal, como el ataque norcoreano a los estudios Sony en 2014, o forman parte del enfrentamiento geopolítico en curso entre países como Irán y Corea del Norte, que atacan las infraestructuras financieras de Estados Unidos en represalia por las decisiones de su Administración1.

En el caso de los países europeos, menos acostumbrados a crear y utilizar el poder militar que las grandes potencias, el cambio de lógica ha obedecido a la multiplicación de ciberataques sobre países, instituciones, procesos electorales e intereses vitales para la seguridad nacional. La constatación del reto ha obligado a la Unión Europea y a algunos de sus Estados miembros a combinar su prioridad normativa de regular el ciberespacio y fomentar la protección de las infraestructuras digitales del mercado único para abrir la puerta a capacidades más ofensivas, como las incluidas en el inventario de medidas diplomáticas de respuesta de la UE y el desarrollo de una ciberdefensa europea.

Las iniciativas anteriores han desarrollado capacidades y estructuras de ciberdefensa más ofensivas, pero no han resuelto las reservas de fondo sobre su utilidad y funcionamiento. El debate en torno a la disuasión en el ciberespacio sigue planteado, pero la acumulación de capacidades e intenciones lo eleva a un nivel de complejidad superior. De entrada, su introducción entre los instrumentos de respuesta afecta a la lógica de la disuasión tradicional, centrada en las armas nucleares y, sobre todo, en las convencionales, por lo que los analistas estratégicos tendrán que analizar su impacto sobre otros modos de disuasión2. Las capacidades ofensivas por sí solas no garantizan la disuasión en el ciberespacio y necesitan que su posesión se acompañe de capacidades defensivas adecuadas y de un desarrollo doctrinal que asocie su empleo a blancos adecuados y a cambios de conducta concretas. Mientras, el número de los países que disponen (Estados Unidos, China, Rusia, Israel, Reino Unido, Irán o Corea del Norte) o desean disponer de capacidades ofensivas (Bélgica, Alemania, Francia, Finlandia o India, entre otras) va creciendo (más de 30 países en 2016, según fuentes estadounidenses) y algunos países, como Estados Unidos, el Reino Unido o Australia, las han empleado contra el Estado Islámico en Oriente Medio3.

La disuasión en la ciberseguridad

Entre otros hitos importantes para el desarrollo de las capacidades ofensivas, se encuentra el reconocimiento por la OTAN del ciberespacio como un dominio para las operaciones militares en su Cumbre de Varsovia, en 2016. Entre los países occidentales, el liderazgo corresponde a los Estados Unidos. Según la información disponible en fuentes abiertas, la preocupación por las capacidades ofensivas se remonta a 2012, cuando tuvieron constancia de que la Federación Rusa sondeaba las infraestructuras críticas de Estados Unidos para descubrir sus puntos débiles e introducir software malicioso en ellas con el fin de poder activarlas algún día si escala la tensión entre ambos países. Desde entonces, las Administraciones han buscado la forma de disuadir al Kremlin de llevar a cabo actuaciones en el ciberespacio que pongan en peligro la seguridad nacional o la democracia en los Estados Unidos.

En coherencia con lo anterior, la nueva Estrategia de Ciberdefensa de los Estados Unidos responde a esta mayor agresividad que demanda la confrontación geopolítica con China y Rusia y en ella se pide al Departamento de Defensa que “compita, disuada y gane” en el dominio del ciberespacio4. Se pide a las fuerzas de ciberdefensa que se preparen para la guerra y construyan una fuerza más letal, que establezcan alianzas y partenariados y que compitan y disuadan activamente a sus rivales. La nueva Estrategia amplía el campo de la disuasión a la protección de las infraestructuras críticas, lo que se entiende que afecta a las acciones ofensivas, porque de las defensivas ya se encarga el Departamento de Seguridad Interior. La ampliación forma parte de un proceso de maduración de las capacidades del Departamento de Defensa desde la Estrategia de 2015, que cuenta ahora con un mando de ciberdefensa único, más de un centenar de equipos plenamente operativos y una experiencia de combate5. La madurez de las capacidades ofensivas ha permitido a la Administración estadounidense una mayor variedad y flexibilidad de instrumentos en su conflicto con Irán, recurriendo a operaciones ofensivas encubiertas para mantener controlada la escalada militar6.    

Ajena a la competición geopolítica entre China y Estados Unidos, la Unión Europea ha tenido que sopesar la necesidad de desarrollar capacidades de ciberdefensa bajo las evidencias y continuidad de las acciones ofensivas de la Federación Rusa. La sucesión de ciberataques contra Ucrania y los países bálticos o las intromisiones en procesos electorales han forzado a las instituciones europeas a recurrir a la disuasión. Hasta ahora, las medidas adoptadas por la UE se limitan a las menos agresivas del espectro7 dentro de la lógica de su cultura estratégica cooperativa y se han limitado a reforzar las infraestructuras de la Política Exterior y de Seguridad Común y los despliegues de la Política Común de Seguridad y Defensa, así como a desarrollar un catálogo de medidas diplomáticas (que recoge la figura 1) para responder a todo el espectro de agresiones en función de la mayor o menor certeza en su atribución.

Figura 1. Instrumentos de respuesta diplomática de la UE en función de la seguridad de la atribución y el nivel de coordinación entre sus Estados miembros
Figura 1. Instrumentos de respuesta diplomática de la UE en función de la seguridad de la atribución y el nivel de coordinación entre sus Estados miembros
Fuente: Moret y Pawlak, European Union Institute for Security Studies (EUISS)8.

En la figura se muestra el reparto posible de respuestas entre la UE, sus agencias y los Estados miembros, en los que las respuestas colectivas son más factibles cuanto más lejos se encuentran del umbral militar de respuesta. Entre las medidas adoptadas, algunas se han dirigido a contrarrestar la injerencia rusa en los procesos electorales y a combatir la desinformación. Hasta ahora, estas medidas blandas no han conseguido madurar suficientemente debido a la renuencia europea a legislar materias controvertidas y a la falta de eficacia de medidas como el Sistema de Alerta Rápida, que debería haber protegido las elecciones de mayo de 20199. Sin embargo, a pesar de la voluntad europea de prevenir la conflictividad en el ciberespacio, la intencionalidad y proliferación de los ciberataques registrados han ido elevando la presión para que las capacidades e intenciones de la ciberdefensa europea progresen hacia ese umbral, empezando por el Parlamento Europeo, que desearía que la UE y sus Estados miembros contaran con capacidades ofensivas disuasorias en su inventario10.

Francia, por su parte, se ha postulado como una potencia cibernética completa, con capacidad para combinar acciones defensivas y ofensivas, desde su Libro Blanco de la Defensa de 2008 hasta su Revisión Estratégica de la Ciberdefensa de 2018, aunque ha sido recientemente cuando ha elaborado –o revelado– detalles sobre sus elementos doctrinales ofensivos (“Eléments publics de doctrine militaire de lutte informatique offensive”) y defensivos (“Politique ministérielle de lutte informatique defensive”)11.

El Reino Unido sigue la tradición anglosajona de ubicar sus capacidades ofensivas dentro del ámbito de la inteligencia (Government Communication Headquarters, GCHQ), con la colaboración –pero no en dependencia– de las Fuerzas Armadas en el National Offensive Cyber Program (NOCP). No dispone de una doctrina explícita que revele sus capacidades ofensivas, pero sí han trascendido sus operaciones contra el Estado Islámico. Su capacidad de realizar contraataques en el ciberespacio de forma unilateral es distinta de la capacidad de ciberdefensa activa (Active Cyber Defence, ACD) que desarrolla en el ámbito de la ciberseguridad para la protección de activos civiles. En este ámbito, la Estrategia Nacional de Ciberseguridad 2016-2021 limita la defensa “activa” a disuadir de los ciberataques que no conllevan riesgo de una escalada militar12.

Algunos países europeos, como Alemania o España, también se han visto obligados, contra su cultura estratégica defensiva, a considerar la necesidad de contramedidas ofensivas para proteger su seguridad. En el primer caso, la Estrategia de Ciberseguridad de 2016 marcó el punto de inflexión desde una ciberseguridad basada en la protección civil de las infraestructuras críticas a otra de ciberdefensa que incluía medidas ofensivas. Bajo esa nueva orientación, Alemania ha ido construyendo su Mando de Ciberdefensa y dotándolo de capacidades tecnológicas, personal y formación para desarrollar operaciones militares defensivas y ofensivas en el dominio del ciberespacio13. En el caso español, la Estrategia Nacional de Ciberseguridad de 2019 reconoce la necesidad de implantar medidas de ciberdefensa activa para ir más allá de las medidas de autoprotección que los ciudadanos, autónomos y empresas puedan tomar, y el Concepto de Ciberdefensa incluye medidas de defensa, explotación y ataque14.

Los riesgos de la disuasión

El empleo de las capacidades ofensivas para respaldar la disuasión tiene abiertos varios frentes de debate. El primero surge de la tensión entre su legalidad y su eficacia. A diferencia de otros dominios, el uso de la guerra en el ciberespacio carece de una regulación internacional y parece poco probable que las grandes potencias se avengan a participar en una gobernanza internacional mientras les favorezca la falta de regulación. En su defecto, la eficacia es un parámetro más adecuado para medirla. Hasta ahora, se conocen pocos casos de empleo y no existe información en fuentes abiertas para evaluar cuáles eran los objetivos buscados y cuáles los conseguidos. Los datos conocidos entre 2000 y 2016 reflejan muy pocas operaciones ofensivas de gran calado y no hay evidencias empíricas que demuestren con rigor que esas operaciones eviten los ataques ni que los provoquen15. La dificultad para medir la eficacia desde fuera de los sistemas nacionales de ciberdefensa es mayor que en otros dominios y capacidades militares debido a su reducida trasparencia, sea deliberada para preservar la disuasión u obligada por el estadio preliminar de la conceptualización teórica. La intuición general parece coincidir en que es mejor contar con capacidades ofensivas que no contar con ellas, aunque no se puede medir cuánto mejoran la capacidad de disuasión16.

A falta de trasparencia y medición de su eficacia, la decisión de contar o no con este tipo de capacidades ofensivas depende de un conjunto aleatorio de factores. Seguir la tendencia general es un factor importante que explicaría la multiplicación de países que se apuntan a la tendencia dominante, independientemente de su relevancia estratégica. De no seguirla, sus Gobiernos tendrían que explicar las razones de su renuencia en el debate político y, lo que es peor, arriesgarse a hacerlo en caso de que se vean más afectados por los ciberataques que otros usuarios más decididos. Otro factor procede de la socialización de las élites político-militares con esas capacidades ofensivas en el marco de la defensa o la seguridad colectiva. La formación, el adiestramiento y el desarrollo de capacidades colectivas en los marcos de la OTAN o la UE facilitará con el tiempo la maduración de los conceptos, doctrinas, estrategias y estructuras de ciberdefensa de los distintos países, pero a corto plazo casi todas las iniciativas se encuentran en período de prueba.

Un obstáculo a esta vía de socialización, que ayuda a explicar la mencionada falta de trasparencia, es la necesidad de restringir el conocimiento de las intenciones y capacidades concretas de cada país. Los Estados son reacios a explicitar las capacidades ofensivas de las que disponen –incluso a sus aliados–, porque descubrir sus cartas les haría perder la ventaja comparativa de la que disponen. Descubrir sus procedimientos operativos, sus infraestructuras de ataque, sus fuentes de inteligencia o las ventajas y limitaciones de sus capacidades ofensivas proporcionaría una información demasiado valiosa a terceros. En consecuencia, las acciones ofensivas son fundamentalmente nacionales y es difícil que puedan llevarse a cabo ejercicios de adiestramiento u operaciones conjuntas de carácter ofensivo, porque todos los participantes tendrían acceso a las capacidades de los países más avanzados17.

Otro obstáculo para la consolidación de la disuasión tiene que ver con la falta de regulación internacional o nacional. A falta de ella, la delegación de poder que se traslada a los mandos de ciberdefensa para anticiparse o responder a los ciberataques escapa al control parlamentario y pende de la discrecionalidad de los presidentes y de los gabinetes de seguridad nacional. Hasta la Guerra Fría, los Parlamentos tenían la prerrogativa de declarar las guerras, y después muchos han reclamado el control de los desplazamientos de tropas al exterior en las operaciones y misiones de posguerra fría. El desarrollo de las operaciones ofensivas encubiertas complica el control parlamentario y aumenta el riesgo de que a partir de ellas se produzca una escalada que desemboque en un conflicto armado no autorizado. La agresividad de Rusia y China podría justificar la delegación, pero una vez admitida será difícil remover las capacidades ofensivas de los inventarios militares y evitar que se utilicen en casos menos justificados. Por eso, el desarrollo de las capacidades ofensivas debe complementarse con un marco regulatorio y doctrinal que establezca las asunciones de empleo y el reparto de responsabilidades entre los distintos decisores. La regulación es, además, imprescindible para prevenir su empleo por actores privados que no tengan una evaluación –o interés– sobre las posibles consecuencias, deseadas o no, para terceros. Esta preocupación se refleja, por ejemplo, en la doctrina militar francesa de ciberdefensa (“Eléments Publics”), en la que se regulan los mecanismos de supervisión de todos los riesgos asociados a las operaciones ofensivas y defensivas, aunque su operación se encomiende al Mando de Ciberdefensa (Commandement de la cyberdéfense, COMCYBER).

La delegación debe realizarse con controles, porque se corre el riesgo de que las capacidades ofensivas se empleen de forma sesgada o automática. Por un lado, es posible que algunos presidentes con amplios poderes utilicen los nuevos instrumentos sin conocer sus especificidades de empleo. Este podría ser el caso de los presidentes de Estados Unidos, que han usado –y abusado de– sus poderes de guerra para que sus Fuerzas Armadas intervengan en conflictos no declarados. En este sentido, el Memorándum Presidencial del 13 de septiembre de 2015 flexibilizó las normas de empleo de las capacidades ofensivas vigentes ampliando las opciones de sus Fuerzas Armadas y del Consejo de Seguridad Nacional, muy proclives a utilizar la fuerza en sus relaciones internacionales. Por otro, es necesario evitar que la falta de conocimiento y experiencia respecto a las acciones ofensivas aliente el mito de que pueden evitar los ciberataques o de que el ciberespacio favorece las acciones ofensivas, por lo que es importante que el desarrollo conceptual y doctrinal de la defensa activa no quede exclusivamente en manos de sus usuarios finales (en el caso británico, la supervisión corresponde al Comité de Inteligencia y Seguridad del Parlamento).

Conclusiones

Las capacidades ofensivas en el ciberespacio han llegado para quedarse. Las grandes potencias han abierto el camino para utilizarlas en su competencia geopolítica directa y los demás las están siguiendo para no descolgarse del nuevo modo de disuasión. Ni todas las expectativas que se crean están justificadas ni todos los reparos que se conocen están demostrados. Ante la dificultad de la evaluación, que llegará con el tiempo, los consejos de seguridad nacional y los mandos de ciberdefensa han creído que era mejor disponer de esas capacidades ofensivas que no tenerlas. Su disponibilidad debe completarse cuanto antes con un marco regulatorio que evite que las condiciones de empleo dependan exclusivamente de las autoridades militares o de seguridad. Su aplicación en el ámbito de la ciberdefensa conlleva riesgos poco conocidos, pero, si la maduración de las operaciones y medidas se acompaña de contención, sus resultados podrían aplicarse al ámbito de la ciberseguridad. Ya que no es posible devolver el genio de las capacidades ofensivas a la lámpara que lo contenía, habrá que meditar con prudencia los deseos que se le pidan.

Félix Arteaga
Investigador principal de Seguridad y Defensa, Real Instituto Elcano


1 David E. Simon (2017), “Raising the Consequences of Hacking American Companies”, Centre for Strategic and International Studies, octubre de 2017. Erika Borghard (2019), “Protecting Financial Institutions Against Cyber Threats: A National Security Issue”, Carnegie Endowment for International Peace.

2 Ellen Nakashima y Miss Ryan (2016), “U.S. military has launched a new digital war against the Islamic State”, The Washington Post, 15/VII/2016.

3 Max Smeets y Herbert S. Lin (2018), “Offensive Cyber Capabilities: To What Ends”, NATO CCD COE, 2018.

4 Departamento de Defensa de los EEUU, “Cyber Strategy” (resumen), septiembre de 2018.     

5 Nina Kollars y Jacqueline Schneider (2018), “Defending forward: the 2018 Cyber Strategy is here”, War on the Rocks, 20/IX/2018.

6 Julian Barnes y Thomas Gibbons-Neff (2019), “U.S. Carried Out Cyberattacks on Iran”, The New York Times, 22/VII/2019.

7 Secretaría General del Consejo, “Implementing Guidelines for the Framework on a Joint EU Diplomatic Response to Malicious Cyber Activities”, doc. 13007/17, de 9 de octubre.

8 Erica Moret y Patryk Pawlak (2017),“EU Cyber Diplomacy Toolbox: towards a cyber sanctions regime?”, Brief Issue 24, European Union Institute for Security Studies (EUISS).

9 Matt Apuzzo (2019), “Europe Built a System to Fight Russian Meddling. It’s Struggling”, The New York Times, 6/VII/2019.

10 Parlamento Europeo, “Report on Cyber-Defence”, doc. A8-0189/2018, de 25 de mayo.

11 Ministerio de Defensa, “Comunicado sobre la doctrina militar ofensiva”, 18/I/2019.

12 Tim Stevens y otros (2019), “UK Active Cyberdefence”, The Policy Institute, King’s Collegue, enero de 2019.

13 Matthias Schultze y Sven Herpig (2018), “Germany Develops Offensive Cyber Capabilities Without A Coherent Strategy of What to Do With Them”, Council on Foreign Relations (blog), 3/XII(2018.

14 Ministerio de Defensa, “Concepto de Ciberdefensa” (resumen ejecutivo), 18/IX/2018.

15 Brandon Valeriano y Benjamin Jansen (2019), “The Myth of the Cyber Offense”, CATO Policy Analysis 862, 15/I/2019.

16 James A. Lewis (2015), “The Role of Offensive Cyber Operations in NATO’s Collective Defence”, Tallin Paper 8, 2015.

17 Jack Waiting (2019), “Allies in the Multi-Domain Task Force”, RUSI Defence Systems 21(1), 5/IV/2019.

]]>
<![CDATA[ Desarrollos tecnológicos militares frente a nuevos conceptos operativos ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari86-2019-desarrollos-tecnologicos-militares-frente-nuevos-conceptos-operativos 2019-07-24T06:26:32Z

La forma de hacer la guerra depende de los espacios (dominios) donde se desarrolla, de las capacidades militares disponibles y de los conceptos operativos de las Fuerzas Armadas para emplearlas, una dependencia que se acentúa bajo la aceleración tecnológica.

]]>
Tema

La forma de hacer la guerra depende de los espacios (dominios) donde se desarrolla, de las capacidades militares disponibles y de los conceptos operativos de las Fuerzas Armadas para emplearlas, una dependencia que se acentúa bajo la aceleración tecnológica.

Análisis

La forma de hacer la guerra evoluciona con los avances tecnológicos y los recursos disponibles de cada sociedad. Los planificadores militares diseñan conceptos operativos que aprovechan la tecnología disponible para aplicarla de la forma más eficaz posible en los distintos dominios donde actúan. En la sociedad digital actual, el acelerado cambio tecnológico revoluciona la forma de hacer la guerra (warfare), crea nuevos dominios como el espacio exterior, el ciberespacio y el espectro electromagnético, y obliga a revisar o habilitar los conceptos operativos. La revisión en curso afecta a la acción conjunta, es decir, a la forma en la que se coordinan las fuerzas de los diferentes ejércitos hacia un objetivo común; y a los conceptos operativos, esto es, la forma en la que se emplean las capacidades.

La renovación de los conceptos operativos para adecuarlos al nuevo contexto geopolítico y tecnológico no es ninguna novedad. En 1992 el Departamento de Defensa (DoD) afrontó un cambio profundo en los conceptos y organización militar para hacer frente a la “revolución tecnológica” (Military-Technical Revolution, MTR) caracterizada, en el nuevo contexto geopolítico de la post-Guerra Fría, por un cambio tecnológico, la evolución de sistemas, la innovación operativa y la adaptación orgánica.1

Poco después aparecieron nuevos conceptos operativos para aprovechar el uso extensivo de las tecnologías de la información y las comunicaciones, propias de la Sociedad de la Información, conectando en una red común a todos los sistemas y fuerzas propias que participan en las operaciones en lo que se acuñó como Network Centric Warfare (NCW) en EEUU, Network Enabled Capability en el Reino Unido o, simplemente, Netwar.2 La NCW desarrolló un concepto operativo relacionado con la conducta humana y organizativa para crear una conciencia de la situación compartida por fuerzas dispersas geográficamente para cumplir la misión. El concepto combinaba la información generada por los sensores para agilizar las decisiones, mejorar la sincronización, tomar conciencia de la situación y mejorar el ritmo, la letalidad y la supervivencia de las fuerzas en operaciones.

La Quadrenial Defense Review (QDR) de 2001 acuñó el término “Transformación” para definir la adecuación operativa y orgánica del poder militar a las capacidades y tecnologías disponibles para preservar o mejorar “la preminencia militar de EEUU en vista de los cambios potenciales e inesperados en el contexto estratégico”.3 El cambio tecnológico justificaba la necesidad de transformar el arte militar, según los tecnólogos que impulsaban la Transformación Militar. Sin embargo, las modalidades de las guerras en las que se implicó EEUU a partir de octubre de 2001 rebajaron la primacía del listón tecnológico y la atención se centró en el desarrollo de nuevas doctrinas ad hoc, como las Operaciones de Contrainsurgencia (COIN). La tecnología tuvo que esperar hasta octubre de 2014 para protagonizar de nuevo la Transformación Militar en EEUU. Debido a la progresiva erosión de su superioridad militar y a la necesidad de contrarrestar –compensar– los avances militares de sus rivales estratégicos, el Departamento de Defensa adoptó la “Tercera Estrategia de Compensación” (Third Offset Strategy).4

Básicamente, es una modalidad de estrategia competitiva a largo plazo entre grandes potencias que no pretende establecer una nueva teoría de la guerra, sino preservar la superioridad militar mediante la adquisición e integración de sistemas de armas de tecnología avanzada en aspectos como el mando, control, comunicaciones, computadores, inteligencia, vigilancia y reconocimiento (C4ISR). Un producto estrella derivado de la Tercera Estrategia de Compensación es el “Proyecto Maven”, también conocido como “Algoritmo de Guerra”, centrado en la aplicación de la inteligencia artificial al poder militar, una aplicación que progresa más deprisa en la aplicación a los sistemas de armas que a los conceptos operativos, lo que muestra que la evolución tecnológica va por delante de los conceptos. Además, la autonomía de los sistemas de armas plantea retos morales y éticos que exigen decisiones políticas y sociales previas al desarrollo de los correspondientes conceptos operativos de las Fuerzas Armadas.

El nuevo escenario digital

La digitalización ha aumentado la eficacia y variedad de las capacidades militares y habilitado nuevos dominios, como el cibernético, el espectro electromagnético y el espacio exterior, que añadir a los tres físicos (terrestre, marítimo y aéreo), formando un todo conocido como “Multi-Dominio”. Sin embargo, los planificadores militares no han desarrollado todavía una visión para diseñar, emplear y sincronizar el empleo de las nuevas capacidades en el conjunto de dominios mediante el desarrollo de nuevos conceptos operativos.

El rápido y profundo desarrollo tecnológico sigue configurando un mundo de alta conectividad, incierto, volátil y ambiguo, consecuencia de la amplia y rápida complejidad que afecta a todos los aspectos de la vida, también decisivamente al ámbito militar. La Historia demuestra que cuando surgieron tecnologías disruptivas y se integraron con acierto en conceptos operativos mejoraron la superioridad militar. La denominada “Revolución en los Asuntos Militares” (Military Affairs Revolution, RMA) se refiere a la nueva forma de hacer la guerra (warfare) para aprovechar la emergencia de tecnologías disruptivas que dejan obsoletas las vigentes doctrinas y modos de empleo de las capacidades militares. Aparece la necesidad de cambio en los modos de empleo e integración sistemática de las nuevas capacidades, para lo que habrá que recurrir al Arte Militar, pues es el camino de concebir y estructurar nuevos conceptos de operaciones para obtener ventaja competitiva en las funciones de disuasión y respuesta, en un marco de enfrentamiento que se configura como menos masificado que hasta ahora, pero que continúa basado en la Maniobra.

Para la identificación de la adecuación de sistemas, diseño de capacidades militares y sus efectos, se han ido habilitando expresiones, con mayor o menor fortuna y moda, como “guerra híbrida” o web chain, que todavía no se han traducido en conceptos operativos, por lo que su simple enunciado carece de incidencia en el futuro campo de batalla. Estas expresiones (buzzwords) empleadas para etiquetar nuevas capacidades o soluciones a situaciones sobrevenidas o anticipadas, tales como la revolución de los asuntos militares, la interconexión de sistemas, la denegación de área o el citado Multi-Dominio, no son más que metáforas. Con el tiempo podrían enmarcarse en un concepto operativo, ya que suele pasar tiempo desde que se habilita un nuevo sistema o arma hasta que se integra en su adecuado contexto de empleo, pero mientras, pueden generar confusión al identificar la literalidad del enunciado con el verdadero contenido de un concepto o aceptarlo sin la necesaria experimentación. Así, un arma hipersónica puede conceptuarse como recurso estratégico, medio táctico o como ambos, con lo que su concepto operativo sería muy distinto. Del mismo modo, las palabras de moda pueden llegar a oficializarse sin etiquetarlas, como ha ocurrido con Multi-Dominio, que se recoge en la US National Security Strategy (NSS) de 2017, al prescribir al DoD: “desarrollar nuevos conceptos operativos y capacidades para obtener la victoria mediante la ventaja en los dominios aéreo, marítimo, terrestre, espacio exterior y ciberespacio”.5

Por ejemplo, y en relación con la doctrina sobre Guerra Híbrida del general ruso Gerasimov, se trata de utilizar la información como elemento competitivo y arma de guerra, para quebrar la cohesión del adversario e influir en el proceso de toma de decisiones de su liderazgo. Para ello, se estudia la posibilidad de utilizar las amplias posibilidades asimétricas disponibles en Internet para desarrollar (weaponise) instrumentos no militares que actúan en la “zona gris” entre la paz y la guerra, lo convencional y lo informacional, desarrollando nuevas formas de empleo. La renovación o habilitación de esos conceptos es importante porque por mucho que se apliquen los avances tecnológicos a las capacidades militares existentes, su eficacia no mejora si se emplean según conceptos doctrinales obsoletos. En este sentido, las Fuerzas Armadas chinas han establecido una doctrina sobre las operaciones de información/influencia basada en tres bloques: el psicológico, que afecta a percepciones y creencias; el legal (lawfare), mediante la manipulación de la normativa internacional; y el de la comunicación estratégica de las distintas opiniones públicas.6

Volviendo a los orígenes

En el desenlace de la Segunda Guerra Mundial tuvo un efecto decisivo la cadena de producción industrial de EEUU y su apoyo al resto de los aliados, muestra de su superioridad tecnológica, lo que produjo su prevalencia en un conflicto de desgaste, un enfrentamiento de masas. La Doctrina y los correspondientes conceptos operativos eran acordes con esa circunstancia. El panorama cambió durante la Guerra Fría, al contar el Pacto de Varsovia con mayor número de fuerzas, una superioridad que se compensó con una estrategia (Second Offset Strategy) para alcanzar la superioridad convencional desarrollando el trabajo en red, el empleo de municiones de precisión, aviones furtivos, sensores de precisión y otros elementos que se integraron en el concepto operativo Air Land Battle, basado en los fundamentos doctrinales de la Guerra de Maniobra.

Este concepto operativo de los años 80 diseñaba una forma determinada de integrar las capacidades de la Fuerza Aérea y el Ejército para operar en los dominios terrestre y aéreo. Su vuelta a la actualidad obedece a que en el nuevo contexto de rivalidad geopolítica se hace de nuevo necesario integrar las capacidades militares de los Ejércitos tradicionales con los nuevos Servicios como los que EEUU y Francia destinan a los novedosos dominios del espacio exterior y a la ciberdefensa.7

El concepto de Multi-Dominio está vinculado a la maniobra, que es un componente importante de todos los conceptos operativos.8 La Guerra de Maniobra se concibió para los dominios físicos –terrestre, marítimo y aéreo– con la finalidad de alcanzar una posición ventajosa en el campo de batalla. El advenimiento de nuevas áreas para las operaciones, como el espectro electromagnético, el ciberespacio o el ambiente informativo, presentan dificultades para la concebirlos como dominios si no se dispone de una definición clara del mismo. Conceptualmente, la maniobra en cada dominio es única, lo que determina la especificidad de cada uno, pero no es suficiente, de ahí que se emplee el vocablo “macroespacio” para designar a todo lo que esté relacionado con una maniobra específica.9 Por ejemplo, y según la Space Policy Directive de 2019: “la fuerza espacial de EEUU se organizaría para equipar las fuerzas militares espaciales para garantizar el libre acceso y libertad para operar en el espacio, así como proporcionar capacidades críticas a las fuerzas conjuntas y a coaliciones, tanto en paz como en la amplitud del espectro del conflicto”.10

El Mando de Doctrina del Ejército de EEUU (US Army Training and Doctrine Council) propuso el concepto operativo del Multi-Domain Battle para permitir las operaciones de los distintos servicios (combinadas) y países (conjuntas) en los cinco dominios señalados entre 2025 y 2040.11 El nuevo concepto operativo, dirigido principalmente a un conflicto entre grandes potencias, reorganiza la forma en la que la Fuerza Conjunta opera, en todos los niveles, antes y después del enfrentamiento armado, para preservar su superioridad militar frente a la creciente de sus rivales.

La archiconocida Defense Advanced Research Projects Agency (DARPA), encargada del desarrollo tecnológico, presentó por primera vez en julio de 2018 un programa de investigación sobre un concepto operativo orientado inicialmente al nivel táctico. La finalidad del programa Adapting Cross-Domain Kill-Webs (ACK) es fijar criterios para apoyar la toma de decisiones militares mediante la “identificación y selección” de opciones operativas en los diferentes dominios militares. La innovación se aplica a los sistemas de armas y plataformas (kill chains) propias empleadas en la secuencia mecanicista de observar, orientar, decidir y actuar, cada vez más vulnerables a los rivales, y su sustitución por sistemas de datos e información en red (web chains) que permiten una forma de combatir con armas combinadas en paralelo en amplias zonas a la velocidad de máquinas que cognitivamente superan a un adversario lineal en un nuevo tipo de guerra conocida como la “Guerra Mosaico”.12

La concepción e implementación del “Multi-Dominio” desde el punto de vista doctrinal está en sus primeros pasos. En EEUU, que es la referencia obligada para Occidente, perviven diferencias, tanto conceptuales como prácticas, entre los diferentes ejércitos. La naturaleza cambiante de las modernas operaciones militares requiere un nuevo enfoque unificado de empleo que pase de la acción conjunta que caracteriza a la Fuerza Conjunta a una acción Multi-Dominio en las que las fuerzas espaciales y de ciberdefensa se añadan a la Fuerza Conjunta. La unificación doctrinal y el desarrollo de conceptos operativos no es fácil porque la conceptualización del Multi-Dominio es controvertida y algunos servicios, como la Fuerza Aérea o la Marina, consideran que sus operaciones son ya, por naturaleza, Multi-Dominio.

En el ámbito aliado de la OTAN, su doctrina conjunta más reciente (Allied Joint Doctrine for the Conduct of Operations),13 reconoce la existencia de los nuevos dominios del ciberespacio y el espacio exterior, cada uno de los cuales es empleado preferentemente por un ejército (tierra, mar o aire) que en su actuación se solapa permisivamente con otro dominio. El reconocimiento de los dominios es un requisito para alcanzar la “conjuntez”, entendiendo por “conjunto” la sincronización del empleo e integración de las fuerzas terrestres, marítimas, aéreas, ciber, espaciales, de operaciones especiales y otras. Sin embargo, la OTAN no tiene habilitadas doctrinalmente las operaciones Multi-Dominio.

Conclusiones

En los próximos años, los distintos servicios de las Fuerzas Armadas, nacionales y extranjeros, deberán revisar su Doctrina Conjunta. La Historia indica que el éxito del empleo de nuevas tecnologías en el ámbito militar depende de la habilidad para desarrollar las capacidades necesarias para finalidades preconcebidas y articular su empleo. En el contexto actual de un alto y rápido desarrollo tecnológico, el mantenimiento de los actuales paradigmas de empleo de capacidades militares es inadecuado e insostenible.

Desde el final de la Guerra Fría se han producido una serie de enunciados teóricos orientados a explicar el cambiante carácter de la forma de hacer la guerra (warfare) a consecuencia del continuo y acelerado cambio tecnológico. Si este escenario quedase en una sofisticación académica o en un mero juego semántico, implicaría un peligro para el arte y práctica militar. Los conceptos operativos deben posibilitar el empleo militar de la tecnología y orientar su desarrollo, lo que supone un cambio de cultura institucional.

La competición tecnológica actual constituye, en sí misma, un ámbito propio que determina o condiciona los factores de poder. El poder militar debe adaptarse al desarrollo tecnológico, identificar las tecnologías aplicables, controlar sus efectos mediante procesos integrales de innovación e integrarlas en conceptos operativos contrastables, teniendo en cuenta que el elemento humano, adecuadamente preparado, es el principal recurso y el talento un nuevo componente del ethos y eficacia militar.

La aparición de tecnologías altamente disruptivas parece el heraldo de una nueva revolución en los asuntos militares. Las denominadas operaciones en la “Zona Gris”, en el Espectro Electromagnético o las Operaciones de Información, deberán incorporarse a la doctrina conjunta enmarcados en los correspondientes conceptos operativos. Estos apoyarán el diseño de la maniobra mediante la incorporación de una integración total entre inteligencia y operaciones. Los nuevos conceptos operativos afectarán a los encargados de la innovación y desarrollo de capacidades, la tecnología y la industria, así como al conjunto de factores que confluyen en el Arte Militar.

La profusión de cambios tecnológicos y su aceleración tardarán en trasladarse a conceptos operativos. No será fácil ni rápido comprender el impacto de las nuevas tecnologías en la manera de hacer la guerra y, además, hay que tener en cuenta la resistencia de las personas e instituciones al cambio cuando las trasformaciones no les benefician. Sin embargo, la disyuntiva está servida: o se desarrollan nuevos conceptos operativos para asimilar los desarrollos tecnológicos o éstos acelerarán su obsolescencia para afrontar las nuevas formas y dominios de hacer la guerra.

Enrique Fojón
Infante de Marina y miembro del Grupo de Trabajo sobre Tendencias de Seguridad y Defensa del Real Instituto Elcano


1 Andrew Krepinevich (2002), The Military Technical Revolution. A Preliminary Assessment, CSBA.

2 Ministerio de Defensa (2009), “Network Centric Warfare, Network Enabled Capability”, Monografías del SOPT nº 3, DGAM, diciembre; John Arquilla y David Rondfelt (1996), The Advent of Netwar, RAND Corporation.

3 Paul K. Davies (2010), Military Transformation?, RAND Corporation.

4 El concepto, expuesto en noviembre de 2014 por el secretario de Estado, Chuck Hagel, se correspondía con el informe “Toward a new Offset Strategy, exploiting US long-term advantages to restore US global power projection capability” del Center for Strategic and Budgetary Assessments, publicado en octubre de 2014. Véase Luis Simón (2015), “Offset Strategy: ¿hacia un nuevo paradigma de defensa en EEUU?”, ARI nº 14/2015, Real Instituto Elcano, 3/III/2015.

5 White House (2017), “US National Security Strategy”, diciembre.

6 The State Council Information Office of the People’s Republic of China (2015), “China’s Military Strategy”, traducción de Jamestown.

7 David E. Johnson (2018), “The lesson of Airland Battle and the 31 Initiatives for Multi-Domain Battle”, Rand Corporation, agosto.

8 La maniobra es una filosofía de combate que busca romper la cohesión de un enemigo mediante una variedad de actuaciones sorpresivas rápidas y certeras que produzcan un rápido y turbulento deterioro de la situación que el enemigo no pueda controlar. Véase US Marine Corps (1997), “Warfighting MCDP-1”, junio.

10 White House (2019), “Space Policy Directive”, 19/II/2019.

11 US TRADOC (2017), Multi-Domain Battle: The Evolution of Combined Arms for the 21st Century. 2025-2040, diciembre.

12 DARPA Strategic Technology Office (2018), “Mosaic Warfare”, 27/VII/2018.

]]>
<![CDATA[ La retirada estadounidense de Siria: una guerra no tan lejana ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari9-2019-fojon-retirada-eeuu-siria-guerra-no-tan-lejana 2019-01-24T05:31:32Z

El sorpresivo anuncio del presidente Trump de retirar a las fuerzas norteamericanas de Siria marca un cambio de estrategia norteamericana en la zona que puede provocar consecuencias imprevisibles en el Levante, Mesopotamia y la Península Arábiga.

]]>
Tema

El sorpresivo anuncio del presidente Trump de retirar a las fuerzas norteamericanas de Siria marca un cambio de estrategia norteamericana en la zona que puede provocar consecuencias imprevisibles en el Levante, Mesopotamia y la Península Arábiga.

Resumen

Hasta ahora el principal objetivo de la estrategia militar norteamericana en la guerra de Siria era el de eliminar la presencia de Estado Islámico, apoyándose en las Fuerzas Democráticas Sirias (SDF) y las que participan en la Coalición Global. La inopinada declaración del presidente Trump el 19 de diciembre proclamando la victoria sobre el Daesh y el comienzo de la retirada –se materialice o no– han cambiado la situación estratégica de toda la región. En este ARI se estudian las consecuencias de la decisión para Siria, el Mediterráneo, Oriente Medio y para la política exterior de EEUU.

Análisis

Desde 2011 existe en Siria una guerra compleja en la que participan fuerzas leales al Gobierno sirio junto con fuerzas rusas e iraníes y milicias proxies de Hezbollah, que se enfrentan a los rebeldes sirios y kurdos apoyados por fuerzas de la Coalición Global y combatientes yihadistas del Daesh que combaten contra todos los anteriores. Los anteriores participan en varias guerras dentro de la misma guerra y se enfrentan por el control territorial dentro de Siria y por el de sus fronteras con Turquía, Líbano e Israel.

EEUU desplegó en Siria fuerzas de operaciones especiales en 2014 para combatir contra el Daesh y, pronto, se encontró combatiendo codo a codo con las Unidades de Protección del Pueblo (YPG), a los que Turquía considera la facción siria del Partido de los Trabajadores del Turquestán (PKK). Para cubrir las apariencias, en 2015 se crearon y adiestraron las Fuerzas Democráticas Sirias (SDF), un conglomerado de unidades en torno a los combatientes kurdos que se han convertido en más fiel aliado de EEUU en la zona, para disgusto de Turquía.

Gracias a las SDF y al apoyo de las fuerzas de la Coalición Global, EEUU ha ido reduciendo el espacio controlado por el Daesh hasta una tercera parte de lo que llegó a ocupar inicialmente según demuestran los sucesivos mapas publicados por el Institute for the Study of War.1 Hasta 2018, los objetivos estratégicos de la intervención estadounidense en Siria se centraban, según el entonces secretario de Estado, Rex Tillerson, en cinco objetivos: “reducir la influencia de Irán, crear las condiciones para el regreso de los refugiados, eliminar las armas de destrucción masiva, transición hacia un régimen diferente al de Bachar el-Assad e impedir el regreso de los yihadistas, todo ello empeñando un mínimo de fuerzas”.2

Sin embargo, y aunque fueran ciertas las finalidades estratégicas del antiguo consejero de Seguridad Nacional Tillerson, el presidente Donald Trump cree que el statu quo del conflicto sirio le perjudica y busca una solución rápida que le dé más margen de maniobra a nivel global. Por ello, hizo público un tweet el 19 de diciembre en el que declaraba la derrota del Daesh y la retirada de todas las fuerzas. Tanto el consejero de Seguridad Nacional, John R. Bolton, como el enviado especial para Siria, Brett H. McGurk, declararon no conocer la decisión de antemano y en el Senado varios de sus miembros, como Graham y Rubio, criticaron la decisión.3 El secretario de Defensa, Jim Mattis, también trató de modular la decisión como en ocasiones anteriores, pero acabó presentando la dimisión. Aunque inicialmente se barajó la cifra de 30 días, posteriormente se ocultaron los detalles sobre la retirada por razones de seguridad, pero se está llevando a cabo.4 El consejero de Seguridad Nacional Bolton se ha esforzado en matizar que la retirada sería con condiciones, que los aliados kurdos no quedarían desprotegidos y que no se produciría hasta que se derrotara completamente al Daesh.

Fijar la fecha de la retirada de Siria antes de haber alcanzado los objetivos estratégicos recuerda en sustancia, aunque no en la forma, decisiones similares en Irak y Afganistán. La declaración de “victoria” en lugar de “misión cumplida” refleja la progresiva reducción del objetivo estratégico a la derrota de Estado Islámico en Siria y Levante (Daesh de ahora en adelante). Este “ajuste forzado” de la estrategia seguida no se corresponde con un repliegue ordenado de los aproximadamente 2.000 soldados desplegados y puede provocar una reacción geopolítica en cadena que afecte a la zona en conflicto y, como consecuencia, al Mediterráneo y a Europa.

Consecuencias de la guerra de Siria

Los roces y enfrentamientos entre turcos y estadounidenses se han prodigado en los últimos meses porque Turquía no deseaba que las milicias kurdas asumieran el control del territorio que se recuperaba al Daesh. EEUU ha tratado de ofrecer garantías al Gobierno de Ankara, como la de desarmar a los combatientes, retirarlos de ciudades ocupadas como Manjib o reducir el nivel de colaboración. Pero el Gobierno turco ha visto con preocupación “existencial” como las milicias kurdas de las SDF, y las del YPG, consolidaban su control territorial en el noroeste de Siria gracias a la protección de EEUU. La retirada estadounidense deja a esas fuerzas sin protección y acentúa el riesgo de que un enfrentamiento armado entre kurdos y turcos permita que los combatientes del Daesh se recuperen.

El anuncio de la retirada se produce tras un largo período en que las relaciones de EEUU con Turquía no han pasado por su mejor momento. Según declaraciones de funcionarios de la Casa Blanca a la CNN, la llamada de Trump al presidente turco el 21 de diciembre fue sólo para informar de la decisión.5 Tras el anuncio de la retirada, el consejero de Seguridad Nacional trató de evitar el enfrentamiento y visitó Ankara el 8 de enero de 2019 para evitar que el presidente Erdoğan atacara a los combatientes kurdos, pero el presidente rehusó recibirle y se negó a dar las garantías que se pedían. Al mismo tiempo, el consejero instó a los kurdos a no buscar el apoyo de los rusos ni del régimen de Damasco, pero, temiéndose lo peor, los representantes kurdos iniciaron enseguida los contactos con Rusia, firme aliado del presidente Bachar el-Assad.6 Sin el apoyo de EEUU, difícilmente podrán soportar la presión combinada de Rusia, Irán, Siria y Turquía, por lo que tratan de buscar una solución diplomática con Assad y el despliegue de fuerzas regulares sirias sobre la frontera oriental con Turquía.

Rusia e Irán han comenzado a explotar el nuevo entorno estratégico creado por la retirada norteamericana. El ministro de Asuntos Exteriores ruso, Eugene Labov, saludaba el anuncio, declarando que facilitaba una solución política al conflicto, un tipo de solución para el que no se ha contado nunca con EEUU. Por su parte, el presidente Bachar el-Assad comenzó a reforzar las unidades militares en el valle medio del Río Éufrates, al este de Siria, a finales de diciembre de 2018. Estos refuerzos, que incluían unidades de elite del Ejército, así como elementos de las fuerzas armadas rusas, han estado tomando posiciones para cruzar el río Éufrates y tomar el valioso terreno rico en petróleo que actualmente ocupa EEUU y las SDF.

Consecuencia para el Mediterráneo y Europa

Es obvio que los hechos descritos anteriormente alteran la situación estratégica regional y global. En el caso del Mediterráneo, la retirada estadounidense amenaza con mayor inestabilidad, tanto por la impredecibilidad de la guerra en Siria como por la posibilidad de que se abran nuevos enfrentamientos armados en las fronteras de Turquía, Siria, Líbano e Israel. El cambio de estrategia de EEUU –y la forma de hacerlo– no sólo disminuye la cohesión y credibilidad entre los miembros de la Coalición Internacional en Siria e Irak, sino que aumenta la desconfianza en la política exterior norteamericana en el Mediterráneo y Oriente Medio.

La retirada de Siria preocupa al Gobierno de Israel porque aumenta el riesgo de que Irán aumente la presión sobre las fronteras israelíes con Líbano mediante las milicias de Hezbollah o sobre las de Siria, desplazando a las milicias iraníes que han operado allí. De ahí que el consejero de Seguridad Nacional visitará el 5 de enero de 2019 al primer ministro israelí, Benjamín Netanyahu, para ofrecerle garantías. También preocupa a otros países donde hay presencia norteamericana como Jordania, Arabia Saudí y, por extensión, a los países del Golfo. Las reacciones de Arabia Saudí e Israel, que consideran a Irán como un peligro existencial, están por ver. El riesgo de un enfrentamiento directo no puede descartarse, pero también se han registrado cambios de posiciones entre los países miembros del Consejo de Cooperación del Golfo (GCC) que revelan un acomodamiento a la nueva situación. Si antes eran era abiertamente opuestos a Bachar el-Assad y apoyaron, de diferentes maneras, a los rebeldes suníes en su contra, ahora han comenzado a aproximarse al Gobierno de Damasco, reabriendo representaciones diplomáticas y tratando de restar influencia a países no árabes como Turquía e Irán.7

Irán es otro actor que trata de llenar el vacío estratégico que deja EEUU y, para ello, se apoya en su contribución militar y diplomática a la estabilidad de los gobiernos de Bagdad y Damasco, y en sus buenas relaciones con Rusia, lo que le proporciona una ventaja estratégica regional. Su finalidad sería consolidar un enlace geográfico entre Irán y el Líbano, a través de Irak y Siria, con acceso al Mediterráneo, algo que colmaría las pretensiones del sector más radical del nacionalismo persa.

Turquía, antigua aliada de la Siria de Bachar el-Assad, rompió sus lazos con Damasco cuando el Gobierno de Bagdad otorgó a los kurdos de las provincias del norte demasiada autonomía para evitar que se sumaran a la rebelión. A pesar de sus avances en el terreno militar, parece difícil que Bachar el-Assad pueda garantizar el control de la frontera turca, con lo que Ankara seguiría atacando a las fuerzas kurdas cuándo y dónde considere que amenazan al control de las fronteras.

La retirada de tropas no afecta –por el momento– a la presencia estadounidense en Irak, pero si se le aplica la misma lógica estratégica que la aplicada en Siria, las tropas deberían partir tan pronto como se declare la victoria sobre el Dáesh, independientemente de los objetivos estratégicos de la presencia de EEUU o del resto de los miembros de la Coalición Global sobre el terreno. El primer ministro iraquí, Adil Abdul-Mahdi, envió el 30 de diciembre de 2018 a Irán una delegación de alto rango encabezada por el consejero de Seguridad Nacional, Faleh al-Fayad, para valorar la situación tras el anuncio de la retirada. De producirse, la retirada aumentaría la actual influencia de Irán y Rusia sobre el Gobierno de Bagdad y sobre toda la región a expensas de EEUU en Oriente Medio.

También, y aunque hasta ahora la guerra de Siria parecía lejana para la OTAN y la UE, la retirada estadounidense puede acabar afectando a ambas organizaciones. Cualquier incidente armado que afecte a territorio turco podía hacer que Ankara evocase el Art, 5 del Tratado del Atlántico Norte, una declaración de riesgo que ya ha llevado al despliegue preventivo de fuerzas de la OTAN, incluidas las españolas, en Turquía. Además, el deterioro de las relaciones entre Washington y Ankara –incluidas las amenazas estadounidenses de “devastar” la economía turca con sanciones y las acusaciones turcas a Washington de alineamiento con la “propaganda terrorista” del YPG– añadiría un mayor desgaste para la Alianza del que ya padece por causas internas (las malas relaciones del presidente Trump con sus aliados y su desdén por la organización militar). También podría revertir la decisión turca de suspender la compra de misiles antiaéreos S-400 rusos, una decisión adoptada tras el anuncio del Departamento de Estado de aprobar la venta a Turquía de misiles antiaéreos Patriot y radares de defensa aérea por valor de 3.500 millones de dólares, o hacer desistir a Turquía de comprar el avión F-35 a EEUU, lo que afectaría a su venta al resto de aliados.

En lo que respecta a la UE, Francia ha sido siempre un valedor de la intervención militar europea en Siria contra la renuencia general a hacerlo, pero la oportunidad de intervenir podría presentarse ahora si se aprueba una operación de estabilización multilateral en Siria tras un alto el fuego. La participación europea sería más factible si la misión contara con la aprobación del Gobierno sirio (misión no ejecutiva) pero sería descartable si la UE debe liderar una operación militar y establecer la infraestructura de teatro de operaciones para las que no dispone de capacidad militar.

Consecuencias para la política exterior de EEUU

EEUU lleva más de 17 años de guerra y la fatiga hace mella en todos los órdenes, especialmente cuando no se ha seguido una estrategia consistente en todo ese período, incluidas las de Afganistán, Irak, Yemen y Siria. La situación no puede sustraerse al cambio estratégico global que se está produciendo y continuar empleando los mismos procedimientos sin adaptarse a los cambios es el preludio de la derrota. En este contexto, todos los indicios indican que la declaración de Trump de la defunción del Daesh es prematura. La campaña de la Coalición Global ha debilitado a los yihadistas y les ha arrebatado el control del territorio, pero no han sido derrotados, tal y como ha reconocido el viceministro de Defensa británico, Tobias Ellwood, el aliado más fiel de EEUU.8 Además, y en una situación estratégica global de competición entre grandes potencias, las prioridades cambian y la de EEUU ha pasado de combatir el terrorismo yihadista a contener a China. Puede que, como afirma Niall Ferguson, la política de Trump sea intuitiva y que el presidente crea que el orden liberal, tal y como está hoy, sólo beneficia a China, pero la prioridad de su Presidencia es frenar a China y afirmar el poder de EEUU.9

En el ámbito del conflicto sirio, el fundamento del despliegue norteamericano transmite la impresión de inconsistencia en cuanto a su finalidad estratégica. La capacidad operativa actual de las tropas norteamericanas sólo permite su presencia, asesoramiento, apoyo logístico y conducción de ataques aéreos, pero no sirve para decidir el desarrollo del conflicto por su limitada entidad. Cuando la finalidad estratégica anterior se agote, la única finalidad es la de retirarse a Irak, donde EEUU cuenta con apoyo logístico y desde donde puede seguir actuando contra el Daesh junto con el resto de los miembros de la Coalición Global.

El deterioro creciente de la fiabilidad de EEUU como aliado estratégico, debido a sus decisiones unilaterales, va creciendo a golpe de tweet o de titulares mediáticos entre sus socios de Europa, Pacífico y, ahora, de Oriente Medio. La retirada de Siria deja a sus aliados kurdos de las SDF en una situación complicada y al igual que ellos la consideran como una traición de EEUU, otros aliados pueden interpretar la decisión como un claro mensaje de abandono. De ahí los esfuerzos del secretario de Estado, Mike Pompeo, en El Cairo para renovar el apoyo a los aliados tradicionales en la región y promover la cooperación entre ellos, movilizándose primariamente contra Irán.10

Al mismo tiempo que el presidente Trump anunciaba la retirada de Siria, ordenaba también un repliegue de parte del contingente estadounidense en Afganistán, unos 7.000 militares del contingente de 14.000, como paso previo a la retirada de este país. Es muy posible que la paulatina retirada de Afganistán sea inevitable, ya que no existe en el horizonte la posibilidad de victoria sobre los talibán ni, tampoco, la de legar una estructura democrática en Kabul, pero antes habría que exponerlo a los aliados de la OTAN, ya que estos desarrollan en Afganistán una misión de adiestramiento (Resolute Support Mission) que se vería afectada por la decisión.

Conclusiones

El vacío de poder que dejaría Washington en el Levante, Mesopotamia, Península Arábiga, Afganistán y Pakistán, lo llenarían otros actores que conformarían un nuevo marco estratégico cuya morfología no es previsible. La alarma causada entre los aliados en la zona y en el establishment en Washington ha hecho que en el entorno de la Casa Blanca se reconsidere la retirada, intentando dejarla prácticamente sin fecha, si nos atenemos a confusas declaraciones. Pero los hechos demuestran que, en realidad, la retirada se está efectuando.

La “solución Bolton”, si fuese apoyada por Trump, necesitaría tiempo y medios, algo que con el inicio de la retirada es más que problemático implementarla, pues el riesgo de escalada es mayor y, con ello, el peligro de una guerra más amplia e intensa en la zona, en la que no puede excluir la actuación de Israel.

El futuro de Siria sigue incierto, pero la continuidad del presidente Bachar el-Assad perpetúa la influencia iraní y rusa en la región y facilitar el acceso de ambos países al Mediterráneo. Su presencia en el otrora Mare Nostrum puede convertirse en un nuevo foco de inestabilidad y trasladar al Mediterráneo y Europa los efectos de cualquier posible enfrentamiento suní-chií en el Levante y Oriente Medio, tal y como ocurrió con Siria.

Una opción que merece atención es una posible intervención militar turca en Siria. Hay que tener presente que Turquía es miembro de la OTAN y cualquier agresión militar en territorio turco podía provocar su solicitud de la aplicación del Art. 5. En las actuales circunstancias este hecho sería problemático al afectar a la cohesión, presente y futura, de la Alianza.

Todo ello tiene graves implicaciones para la seguridad del continente europeo, sobre todo en su cuenca mediterránea –España incluida, por ser “frontera”– y los Balcanes. Con una Europa introvertida dedicando sus energías a ella misma, la cohesión de la OTAN es necesaria en estos momentos en que se pone en duda su vigencia y los aliados europeos deben adoptar iniciativas y tratar de influir en la estrategia estadounidense.

El anuncio de la retirada de Siria marca otro hito del declive estadounidense, quizá el resultado de no haber articulado una Gran Estrategia para el mundo de la post-Guerra Fría. A la errante estrategia de la Administración Bush en Irak y las vacilaciones de la Administración Obama en Afganistán y Siria, se une ahora la “espantada” del presidente Trump, con un Administración muy mermada de racionalidad estratégica tras la dimisión del secretario de Defensa Mattis.

Enrique Fojón
Infante de Marina y miembro del Grupo de Trabajo sobre Tendencias de Seguridad y Defensa del Real Instituto Elcano


2 “The mission in Syria was mission creep”, National Review, 27/XII/2018.

3 “President Trump’s troop withdrawal from Syria an ‘Obama-like’ mistake”, ABC News, 20/XII/2018.

4 “US military announces start of Syria troops withdrawal”, The Washington Post, 11/I/2019.

5 “Trump told Turkey’s Erdogan in Dec. 14 call about Syria, ‘it’s all yours. We are done’”, CNN Politics, 24/XII/2018.

6 “Turkish President snubs Bolton over comments that Turkey must protect Kurds”, The New York Times, 8/I/2019.

7 “Gulf States slowly warm to Damascus”, al-monitor.com, 9/I/2019.

8 “Trump shocks allies and US advisers with plan to pull US troops out of Syria”, The Guardian, 20/XII/2018.

9 Niall Ferguson, ”We’d better get used to Emperor Donaldus Trump”, The Times, 20/XII/2018.

10 “Around the halls: Brooking’s experts react to Secretary of State Pompeo’s speech in Cairo”, Brookings Institution, 10/I/2019.

]]>
<![CDATA[ El Fondo Europeo de Defensa y el futuro de la industria española ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/policy-paper-2018-fondo-europeo-defensa-futuro-industria-espanola 2019-01-16T06:32:34Z

Este documento recoge las conclusiones alcanzadas tras una serie de seminarios en la oficina de Elcano en Bruselas organizada para ampliar la perspectiva de la situación, evaluar las medidas y analizar sus implicaciones para la base tecnológico-industrial de la defensa en España.

]]>
Índice

Introducción
Resumen ejecutivo
1. El contexto estratégico: perspectiva europea y nacional
2. El contexto de la industria europea de defensa
3. Implicaciones para España
4. Los siguientes pasos a dar
Recomendaciones

Introducción1

El Real Instituto Elcano (RIE) ha venido siguiendo las iniciativas europeas asociadas al  desarrollo de la base tecnológica e industrial de la defensa europea (European Defence Technological and Industrial Base, EDTIB).2 El seguimiento se hizo más intenso a partir de los Consejos Europeos de diciembre de 2012 y 2013, tras la Comunicación de la Comisión de julio de 20133 y del Informe Final de la alta representante y directora de la Agencia Europea de la Defensa (European Defence Agency, EDA), Federica Mogherini, en octubre de 2013,4 en vísperas del importante Consejo Europeo de junio de 2015.

Esas iniciativas se vieron reflejadas en la Estrategia Global para la Política Exterior y de Seguridad de la UE de junio de 2016 y, sobre todo, en el lanzamiento del Plan de Acción Europeo de Defensa (European Defence Action Plan, EDAP).5 Por primera vez se iban a utilizar fondos comunes de la UE para financiar programas de investigación y desarrollo de defensa, cuya gobernanza se tendría que elaborar por la Comisión, los Estados miembros y la industria. Tras la presentación del Fondo Europeo de Defensa de la Comisión en 2017,6 el RIE abrió un canal de comunicación con la Administración (Foro EDAP) y organizó una serie de seminarios en su Oficina de Bruselas para ampliar su perspectiva de la situación, evaluar las medidas adoptadas y analizar sus posibles implicaciones para la base tecnológico- industrial de la defensa en España. Este documento recoge las conclusiones alcanzadas tras este proceso de reflexión.

Félix Arteaga
Investigador principal, Real Instituto Elcano

Luis Simón
Director de la Oficina del Real Instituto Elcano en Bruselas e investigador principal
| @LuisSimn

Resumen ejecutivo

Antecedentes

  1. La defensa europea, y en particular la EDTIB, atraviesan un momento de reactivación animado por el reciente repunte en los presupuestos de defensa de la mayoría de los países europeos, el relanzamiento de la Política Común de Seguridad y Defensa (PCSD) de la UE y la entrada de la Comisión en el ámbito de la defensa.
  2. Las iniciativas europeas en el ámbito de la industria de la defensa están vinculadas a la reducción de la demanda en el sector, el incremento de los costes y la aparición de tecnologías disruptivas que ponen en riesgo el modelo actual de la EDTIB. La financiación europea de la investigación y el desarrollo aplicado a la defensa abre oportunidades y retos para la industria y las fuerzas armadas españolas.
  3. El objetivo de esta financiación es promover la cooperación entre los Estados miembros de una parte (demanda) y las industrias del sector de otra (oferta) para reforzar la competitividad y la soberanía tecnológica e industrial del sector.

Oportunidades

  1. Entre las oportunidades destaca la incorporación de una propuesta de la Comisión de 13.000 millones de euros para el período 2021-2027 dentro del Marco Financiero Plurianual de la UE, que está negociándose actualmente.
  2. La participación española es crítica para la supervivencia de gran parte del sector industrial y tecnológico de la defensa porque le permitirá ganar competitividad y consolidar su posición en el sector europeo.
  3. Para influir en los procesos de decisión, y definir unos programas de trabajo que sean favorables a sus intereses, España cuenta con un sistema de coordinación interna que facilita la coordinación y la participación de los distintos actores nacionales. También dispone de una situación de liderazgo privilegiada debido a su capacidad de interlocución con los Ministerios de Defensa de Alemania, Francia e Italia, como se ha visto en la implantación de la Cooperación Estructurada Permanente (Permanent Structured Cooperation, PESCO).

Retos

  1. Para aprovechar las oportunidades del Fondo se precisan medios para cofinanciar los proyectos en los que se desea participar. Sin ellos no se podría participar y se podría perder el porcentaje de retorno que correspondería a España como contribuyente a los fondos comunes (aproximadamente el 9% tras el Brexit).
  2. La exclusión de este proceso de “europeización” colocaría al sector industrial español en situación de desventaja irreversible frente a los participantes para competir por los mercados europeo y global de la seguridad y la defensa.
  3. A su vez, la posibilidad de que países como Francia o Alemania sean los principales beneficiarios del Fondo Europeo de Defensa plantea dudas sobre la sostenibilidad de la industria de defensa española y, concretamente, sobre los términos de su posible integración en más amplios consorcios europeos.

1 Los autores agradecen la asistencia en la investigación proporcionada por Elisa Lledó, así como el input de los numerosos participantes en los tres seminarios organizados por la oficina de Bruselas del Real Instituto Elcano (en octubre de 2017, febrero de 2018 y septiembre de 2018). Estos seminarios han contado con la participación de diversos representantes de la Comisión Europea, el Parlamento Europeo, el Servicio Europeo de Acción Exterior, la Agencia Europea de Defensa, el Gobierno de España y la industria de defensa española, así como expertos académicos de España y otros países europeos. El presente informe recoge las discusiones de dichos seminarios, cuyos participantes han preferido permanecer anónimos.

2 Véanse, por ejemplo, Félix Arteaga (2013), “El Consejo Europeo de diciembre de 2013: repercusiones para la industria y la defensa de España”, ARI nº 46/2013, Real Instituto Elcano, 27/XI/2013; Félix Arteaga (2015), “La base industrial y tecnológica de la defensa española y europea ante el Consejo Europeo de 25-26 de junio de 2015”, Real Instituto Elcano, junio;  y Luis Simón (2017), “El Defence Package de la Comisión y el futuro de la base tecnológico-industrial de la defensa en España”, Comentario Elcano nº 31/2017, Real Instituto Elcano, 7/VI/2017.

3 Comisión Europea (2013), “A new deal for European Defence and Security. Towards a more competitive and efficient defence and security sector”, COM/2013/0542 final, 24/VII/2013.

4 “Preparing the December 2013 European Council on Security and Defence. Final Report by the High Representative/Head of the EDA on the Common Security and Defence Policy”, 15/X/2013.

5 Véase “Global Strategy for the European Union’s Foreign and Security Policy. ‘Shared vision, Common action: a stronger Europe’”, 2/VI/2016; y Comisión Europea (2016), “European Defence Action Plan”, COM(2016) 950 final, 30/XI/2016.

6 El Fondo Europeo de Defensa incluía una reflexión sobre los escenarios posibles de evolución de la PCSD y fondos para la investigación (European Defence Research Programme, EDRP) y el desarrollo de capacidades (European Defence Industrial Development Programme, EDIDP).

]]>
<![CDATA[ Defensa europea: ¿de qué ejército europeo hablan Macron y Merkel? ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari125-2018-arteaga-defensa-europea-de-que-ejercito-europeo-hablan-macron-merkel 2018-11-21T03:57:16Z

El presidente Macron y la canciller Merkel han reivindicado la necesidad de un ejército europeo, pero no han explicado en qué tipo de ejército están pensando, si en uno que defienda el territorio de los Estados miembros o en una fuerza militar que proporcione seguridad a terceros.

]]>
Tema

El presidente Emmanuel Macron y la canciller Angela Merkel han reivindicado la necesidad de que la UE cuente con un ejército europeo.

Resumen

El presidente Emmanuel Macron y la canciller Angela Merkel han reivindicado la necesidad de un ejército europeo, una reivindicación enmarcada en el contexto de la conmemoración del fin de la Primera Guerra Mundial y de las próximas elecciones europeas y que ha adquirido mayor notoriedad mediática gracias a su descalificación por los tweets del presidente Donald Trump. Sin embargo, ninguno de los dos ha explicado en qué tipo de ejército están pensando, si en uno que dependa de las instituciones europeas y defienda el territorio de los Estados miembros (Ejército europeo) o en una fuerza militar que proporcione seguridad a terceros bajo el control de los Estados participantes (Ejército de europeos). Este análisis describe las iniciativas previas, el contexto de la reivindicación y los últimos avances de la Política Común de Seguridad y Defensa en 2018.

Análisis

Periódicamente, algún líder europeísta resucita el Ejército europeo del cementerio de la Comunidad Europea de Defensa al que le llevó la Asamblea Francesa en 1954. Lo hicieron a mediados de los años 80, cuando EEUU adoptó unilateralmente su Iniciativa de Defensa Estratégica y negoció cuestiones estratégicas con la Unión Soviética que afectaban a sus aliados sin consultarles. El miedo a la desvinculación estadounidense (el decoupling) y a quedarse solos hizo que los líderes europeos trataran de reanimar al cuerpo exánime de la Unión Europea Occidental, una asociación para la defensa europea que no contaba con ninguna estructura de fuerzas militares para hacerlo.

La Cooperación Política Europea pudo recuperar el “alma” de la asociación, los aspectos políticos y económicos de la seguridad, un “alma” de mínimos conocida como la Plataforma de La Haya para discutirla en los Consejos intergubernamentales. Sin embargo, nadie se acercó al sepulcro del Ejército europeo, cerrado a cal y canto bajo la losa de la OTAN y vigilado por los guardianes atlantistas, para pedir al cuerpo yacente que se levantara y anduviera emulando a Lázaro de Betania. No se repitió el milagro del Nuevo Testamento y la defensa europea tuvo que contentarse con sobrevivir en el limbo de la llamada Identidad Europea de Defensa, un concepto militar indeterminado para designar un alma europea dentro de un cuerpo transatlántico. Ni los más europeístas, con Francia a la cabeza, ni el eje franco-alemán, ni los Estados miembros consiguieron entonces dotar a la UE de un nivel de ambición militar suficiente para que el Ejército europeo dejara de ser algo más que un deseo a largo plazo.

Las políticas europeas de seguridad y defensa y común de seguridad y defensa, que vinieron después, siguieron hablando del Ejército europeo con la boca chica. Incluso en 1990, cuando el presidente François Miterrand y el canciller Helmut Kohl consiguieron fijar una defensa común como objetivo a largo plazo del proceso de integración, el Ejército europeo no figuró en ninguna hoja de ruta. En su defecto, comenzaron a aparecer unidades con el prefijo de “euro”, como la franco-alemana del Cuerpo de Ejército Europeo o “Eurocuerpo”, que crearon la falsa percepción de que existían estructuras europeas de fuerzas. Esas fuerzas eran europeas, pero no eran fuerzas bajo el control de la Unión sino de los Estados europeos participantes. La diferencia conceptual entre Ejército europeo y Ejército con europeos es importante porque sólo el primero ostenta la legitimidad soberana de la Unión Política mientras que el segundo responde a la soberanía de los Estados miembros. Pero también es relevante desde el punto de vista operativo porque las estructuras multinacionales de fuerzas europeas, incluidos los battle groups, siguen sin demostrar hasta ahora su fiabilidad y eficacia en defensa de los intereses de la Unión.

Otra vía para progresar hacia ese Ejército europeo ha sido la de ir dando pequeños pasos y acumulando capacidades reales (building blocks approach). La iniciativa franco-británica de Saint Malo de 1998 siguió el enfoque pragmático de aumentar las capacidades para actuar con autonomía estratégica y dentro de la compatibilidad obligada con la OTAN. El desarrollo de capacidades militares y civiles, a partir del Consejo Europeo de Colonia de 1999, trató de dotar de músculo militar al proyecto europeo pero el experimento falló por el desfase y la falta de voluntad política, el incumplimiento de los objetivos de capacidades militares y civiles y la fragilidad de las pequeñas burocracias militares atrapadas entre su lealtad a las capitales de procedencia y su destino en Bruselas.

Para recortar el desfase entre las declaraciones y los hechos, se ha recurrido a rebajar el listón de la ambición militar. Así, la Estrategia Europa de Seguridad de 2003 no reivindicó la necesidad de un Ejército europeo, entendido como una fuerza de defensa territorial y colectiva, sino como la necesidad de contar con fuerzas capaces de participar en misiones militares para proporcionar seguridad a terceros. De este modo, no se necesita un ejército para defender la soberanía de la UE, sino que basta con enviar alguna fuerza expedicionaria a misiones poco exigentes para pasear la bandera de la UE como actor global.

Sin Ejército europeo a la vista, el grupo de los países más capaces y dispuestos aprovecharon el Tratado de la UE de Lisboa de 2009 para que se les permitiera avanzar todo lo que quisieran mediante la Cooperación Estructurada Permanente y poder actuar militarmente por delegación de la UE. Además de abrir la puerta a este tipo de cooperación super-reforzada y exclusiva, el Tratado introdujo la defensa colectiva entre las posibilidades de su Política Común de Seguridad y Defensa. Sin embargo, la habilitación lisboeta no consiguió progresar por ninguno de sus instrumentos y la defensa europea tuvo que esperar hasta 2016 para que la Estrategia Global para la Política Exterior y de Seguridad definiera el nivel de ambición del “alma” política y del “cuerpo” militar de la UE. En ella se volvió a descartar la defensa territorial como objetivo de la Política Común de Seguridad y Defensa (PSCD) y no se habló para nada del Ejército europeo a pesar de que el presidente de la Comisión Europea, Jean-Claude Juncker, no había dejado de reivindicar una fuerza militar para respaldar la PCSD o disuadir a la Federación Rusa de repetir provocaciones militares como la de Ucrania. La UE fijó como nivel de ambición de su autonomía estratégica la gestión de crisis, la protección de su población y la asistencia a terceros. Nada de defensa colectiva al margen de la OTAN ni de ejército europeo como objetivos de esa ambición.

Los hechos: avances y propuestas en la defensa europea

Desde entonces, la defensa europea ha seguido avanzando por la vía de los hechos, menos espectaculares que el de las declaraciones, pero más efectivos para nutrir el acervo militar europeo. En 2017 se puso en marcha y se aprobó la Cooperación Estructurada Permanente –más conocida por sus siglas inglesas de PESCO– gracias al liderazgo de Francia, Alemania, Italia y España, con una alta participación de 25 Estados miembros, y se han aprobado dos series de proyectos de capacidades, una en marzo de 2018 con 17 proyectos y otro que se acaba de aprobar en el Consejo de Asuntos Generales de noviembre de 2018. Las capacidades aprobadas no resuelven todas las necesidades de la autonomía estratégica de la UE, pero han elevado el nivel de cooperación intergubernamental con implicaciones militares, industriales y tecnológicas. Tampoco se puede ignorar que se ha sacrificado el criterio de exclusividad acordado en Lisboa y que la cooperación inclusiva ha tenido más éxito en el terreno de capacidades que en el operativo y más éxito en la participación que en la ambición de los proyectos.

La defensa europea también ha progresado, decisivamente, por la participación de la Comisión Europea con sus planes y fondos para el desarrollo de la investigación y el desarrollo de tecnologías y equipos de defensa: una participación inédita hasta los últimos años y que augura un mayor papel para la Comisión en cuestiones de defensa, que hasta ahora estaban restringidas al ámbito intergubernamental. También se han registrado progresos en la colaboración OTAN-UE, en la estructura de planeamiento y conducción (Military Planning and Conduct Capability, MPCC) y en la financiación de las actuaciones militares (European Peace Facility y mecanismo Athena).

Sin embargo, el ejército europeo no figura todavía en la agenda de los Consejos europeos, incluso tras la salida del Reino Unido, a quien todos consideraban el obstáculo principal. El seguimiento de los progresos constata las dificultades prácticas y teóricas para incluirlo en la agenda. Cada Estado miembro tiene unas estructuras de fuerzas –muchas irrelevantes– que responden a sus intereses nacionales de defensa y a su cultura estratégica particular, por lo que es impensable que recorten su soberanía y deleguen en la UE el ejercicio o la titularidad de su defensa. Los países más importantes militarmente tienen resuelta su defensa colectiva dentro de la OTAN, por lo que no necesitan crear una alternativa a la misma, salvo que las amenazas del presidente Trump pasen de los tweets a los tratados. Todos los países se costean sus fuerzas armadas y aunque la racionalización de las estructuras de fuerza que propone la Comisión generaría ahorros y economías de escala, la creación de un ejército europeo con presupuesto europeo también pondría en riesgo la continuidad de los presupuestos nacionales para defensa.

En consecuencia, la quimera del ejército europeo se reduce al placebo de las numerosas unidades militares bilaterales, trilaterales o multilaterales existentes (Euromarfor, Battle Groups, Fuerza Expedicionaria Conjunta franco-británica y Batallón de carros germano-neerlandés, entre otros), de los cuarteles generales multinacionales desplegables (Eurocuerpo, 1er Cuerpo de Ejército germano-neerlandés y el Cuerpo Multinacional germano-polaco). Son estructuras de fuerzas que pueden actuar en cooperación con la OTAN, la UE u otras organizaciones o coaliciones internacionales, pero no bajo su dependencia. En los últimos meses Alemania ha desarrollado el concepto de nación marco (Framework Nation Concept) para integrar pequeñas unidades de países vecinos dentro de unidades militares germanas. El concepto permite unificar los equipos, doctrinas, apoyos y procedimientos de decisión y su despliegue en escenarios concretos, como el frente oriental de la OTAN. Su desarrollo se ha asociado frecuentemente con la creación de un ejército europeo a partir de 2017 pero necesitaría grandes cambios estructurales para dejar de ser una fuerza multinacional más, aunque avanzada en su integración, y convertirse en una fuerza supranacional.

Por su parte, Francia no ha emulado el concepto alemán de nación marco, por ejemplo, para desarrollar algo similar en el frente sur de la OTAN, pero ha elaborado una propuesta alternativa de fuerza alternativa: la Iniciativa Europea de Intervención (E2I en sus siglas inglesas). Descontento con el limitado avance operativo de la PESCO, el presidente Emmanuel Macron propuso en septiembre de 2017 crear una fuerza militar capaz compuesta por Estados europeos (Alemania, Bélgica, Dinamarca, España, Estonia, Finlandia, Francia, los Países Bajos, Reino Unido y Portugal) para actuar por su cuenta o en colaboración con la UE o la OTAN. Esta Iniciativa sigue pendiente de definición en sus objetivos, estructura y mando, y este “Ejército de europeos” podría llegar a convertirse en el embrión de un futuro Ejército europeo si las circunstancias lo permiten y los participantes no lo malogran. De momento, sirve para mejorar la capacidad de intervención conjunta de los países miembros si así lo deciden, pero no se puede hacer pasar por un ejército europeo cuando el Reino Unido está fuera de la UE, Dinamarca objeta a la PCSD y Finlandia tiene vocación neutral.

Las “fuerzas profundas” del ejército europeo

Si estos son los únicos mimbres reales, ¿a qué se refieren el presidente Macron y la canciller Merkel cuando acaban de reivindicar un Ejército europeo en noviembre de 2018? ¿al Concepto de Nación Marco? ¿A la Iniciativa Europea de Intervención? ¿A una fuerza militar bajo el control de las instituciones europeas? ¿O están pensando en otra cosa distinta? Ninguno de los dos ha dado explicaciones ni concretado sus propuestas, salvo para matizar después (léase después de las críticas del presidente Trump) que se trata de una visión a largo plazo y que no va contra la OTAN, por lo que las preguntas anteriores quedan, de momento, sin otra respuesta que la mera especulación.

En consecuencia, parece más sensato analizar qué motivos están detrás de sus decisiones en lugar de especular sobre el contenido de sus propuestas. Su puesta en escena, entre la conmemoración nostálgica del fin de la Primera Guerra Mundial y la oportunidad política de las próximas elecciones europeas, podría explicar la apelación a un ejército como muestra de la unidad y determinación de progresar hacia la Unión Política y superar los enfrentamientos del pasado. Para pasar del plano emocional al racional, deberían haber descrito su visión de ese ejército, los medios, el plazo y la forma de lograrlo. Reivindicar un ejército europeo como remate final de un proceso europeo de integración está en la lógica de la construcción, pero adelantar su creación como medio para revitalizar un proceso de construcción estancado parece una confusión de fines con medios.

El factor más explicativo de fondo sería la constatación por ambos líderes de que la UE se puede ver sola cualquier día para defender sus intereses de seguridad y defensa. Es una constatación que no es nueva porque las últimas Administraciones estadounidenses vienen advirtiendo de que Europa no es ya el centro de sus preocupaciones geopolíticas. Aunque el presidente Trump se haya esmerado en reiterar el mensaje, menospreciando a sus aliados europeos, adoptando decisiones unilaterales y cuestionando los fundamentos de la relación transatlántica, todavía no se ha atrevido a cuestionar la continuidad de la OTAN, pero nadie descarta que lo haga el día menos pensado porque ha demostrado que no respeta compromisos ni aliados. En este contexto, ¿el Ejército europeo es el plan A para reforzar la autonomía estratégica de la UE o el plan B para afrontar su soberanía estratégica?

Por otro lado, las grandes potencias han entrado en una competición geopolítica y geoeconómica que amenaza con desplazar a la UE a la periferia tecnológica, económica o industrial. El orden mundial, las organizaciones multilaterales y las alianzas se vuelven líquidas bajo la globalización, la aceleración tecnológica y la digitalización, creando ganadores y perdedores de su licuefacción. El presidente Macron ha mencionado a Rusia, China y EEUU como rivales de la UE y reclamando un mayor protagonismo de la UE para no convertirse en un juguete de los anteriores e influir en el orden mundial. Pero cuando habla de rivalidad, ¿se refiere a la rivalidad en los campos militares de batalla o a los nuevos tableros de la competición global no militar que se avecina? Y cuando la canciller Merkel demanda un Consejo Europeo de Seguridad, ¿se refiere al concepto amplio de seguridad o al restringido de la defensa?

En este contexto convendría preguntarse de qué quieren proteger el presidente Macron y la canciller Merkel a la UE, sus miembros y ciudadanos y qué instrumentos consideran los más idóneos, no vaya a ser que a la UE le haga más falta crear un Ejército con científicos, matemáticos, ingenieros, tecnólogos o emprendedores que uno con militares (de Europa o europeos).

Conclusiones

No hay un concepto único de ejército europeo, sino muchos. Empezando por lo de ejército, no es lo mismo un ejército, asociado a unas fuerzas armadas nacionales dedicado a defender el territorio y población frente a agresiones de terceros, que una fuerza multinacional de carácter expedicionario dedicada ocasionalmente a proporcionar seguridad y asistencia militar a terceros. Siguiendo por lo de europeo, no es lo mismo que un ejército dependa de las instituciones europeas bajo el mando de un comisario de Defensa a que dependa de una coalición de países. El primero sería un ejército común (europeo) y el segundo un ejército combinado (con europeos). Por europeo se puede entender que pertenece a la UE (lo que entendemos nosotros) o que está en Europa (lo que entiende ahora, por ejemplo, el Reino Unido). La diferencia no es pequeña, porque Dinamarca no quiere contribuir a la política común de seguridad y defensa (ejército europeo) pero sí a la Iniciativa Europea de Intervención (fuerza con europeos).

Los precursores también cuentan. A falta de un ejército europeo o de europeos, se presentan como tales sucedáneos o precursores de lo que podrían llegar a ser algún día, sin serlo ahora. Se considera ejército o embrión de ejército cualquier fuerza multinacional que pasee la bandera de la UE por las misiones PCSD. Las unidades conocidas como battle groups se diseñaron como fuerzas de respuesta inmediata pero no han sido capaces todavía de sacar a pasear la bandera de la UE. Del mismo modo, todas las “eurofuerzas” existentes podrían evolucionar hacia un ejército en el futuro, pero el modelo alemán de nación marco, que es el que más ha avanzado en la integración militar, lo ha hecho bajo el paraguas de la OTAN y no de la UE.

Por lo tanto, cada vez que algún líder europeo aboga por el ejército europeo, debería añadir detalles concretos sobre su concepto, composición, dependencia, recursos y calendario para no desinformar con narraciones simbólicas o emocionales.

Félix Arteaga
Investigador principal, Real Instituto Elcano
| @rielcano

]]>
<![CDATA[ La dimensión internacional de la ciberseguridad ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/comentario-arteaga-dimension-internacional-ciberseguridad 2018-07-24T02:13:00Z

No todas las proyecciones públicas y privadas de la ciberseguridad afectan de igual manera a la seguridad nacional o a la acción exterior, por lo que no resulta necesario coordinar todos los procesos de internacionalización.

]]>
Dentro de la acción exterior de los Estados, se pueden tener dos enfoques de la dimensión internacional de la ciberseguridad: uno vertical, en el que cada actor proyecta su actuación hacia el ámbito global, y uno transversal, en el que se integran todos los ámbitos verticales antes de proyectarlos hacia el exterior. Adoptando uno u otro enfoque, los gobiernos pueden elegir entre que cada actor público y privado internacionalice su proyección individualmente o coordinar esas proyecciones de forma que añada valor y economía de escala a su acción exterior.

En la Estrategia de Acción Exterior de febrero de 2015, el Ministerio de Asuntos Exteriores y Cooperación no optó por ninguna de los dos enfoques porque no consideró la ciberseguridad como una dimensión de esa acción exterior. Siendo la ciberseguridad una política pública recién llegada a las responsabilidades del Gobierno, no es de extrañar que no se tuviera en cuenta suficientemente su dimensión transversal sobre la acción exterior y que se considerara suficiente la designación de un Embajador en Misión Especial para la Ciberseguridad. Por defecto, se entiende que la responsabilidad de coordinar transversalmente la ciberseguridad recae sobre el Comité Especializado de Ciberseguridad, según se reconoce en la Estrategia de Ciberseguridad Nacional de 2013, y con un enfoque transversal ya que se le encomienda la coordinación de las Administraciones públicas y los sectores privados tanto en el ámbito nacional como en el internacional.

La dimensión internacional se orienta a desarrollar la participación española en la coordinación internacional, en las funciones de regulación multilateral, la armonización de estándares técnicos o la cooperación policial y judicial, entre otras, para fomentar un ciberespacio internacional seguro y confiable, en apoyo a los intereses nacionales. Esos intereses nacionales se definen hasta ahora por varios actores públicos de la Administración, particularmente los que están más implicados en la protección contra los riesgos y amenazas de la ciberseguridad nacional. Pero existen otros intereses asociados con la economía, la industria, la tecnología y el uso social del ciberespacio que afectan a otros actores privados y que se internacionalizan de forma autónoma. No todas las proyecciones públicas y privadas de la ciberseguridad afectan de igual manera a la seguridad nacional o a la acción exterior, por lo que no resulta necesario coordinar todos los procesos de internacionalización. Pero sí que resulta conveniente identificar, coordinar y supervisar transversalmente aquellos procesos de internacionalización relevantes para la sociedad, sean públicos o privados. Una situación que debería revertirse en la próxima estrategia de ciberseguridad nacional.

En Holanda, su Estrategia Internacional de Ciberseguridad de 2017 reconoce que el Estado comparte intereses, riesgos y retos con el sector privado, la comunidad tecnológica, el mundo académico y las organizaciones no gubernamentales, por lo que su acción internacional debe articularse sobre un modelo consultivo en el que todos los actores mencionados definan conjuntamente la estrategia a seguir. Este enfoque integral lleva la coherencia hasta el extremo de que no se asumen compromisos internacionales sobre los que no exista suficiente consenso interno. La coherencia es comprensible en la medida que los acuerdos internacionales generan costes y obligaciones para los sectores privados que, en contrapartida, deben participar en el sistema de decisiones desde el inicio. Es el mismo enfoque “transparent, bottom-up, consensus-driven processes whereby governments, the private sector, civil society and the technical community all participate on equal footing” que contienen las Recomendaciones al Presidente de la Oficina del Coordinador para Asuntos de Ciberseguridad de los Estados Unidos para proteger los intereses de ciberseguridad estadounidenses a través de la cooperación internacional.

Los modelos de gobernanza actuales varían en función de la dimensión internacional de cada país. Entre las grandes potencias, como los Estados Unidos, Rusia o China, la centralización de los grandes coordinadores sectoriales: defensa, seguridad interior o inteligencia se realiza mediante los grandes consejos de seguridad nacional. En las potencias intermedias, donde las obligaciones internacionales no son tan elevadas, la integración precisa una estructura de agencia permanente que ayude a la autoridad nacional de ciberseguridad a garantizar la continuidad entre el nexo externo e interno de la ciberseguridad.

“Mantener el modelo basado en los decisores gubernamentales de seguridad conllevaría el riesgo de primar el enfoque de seguridad sobre el resto de enfoques económicos, políticos y sociales”

En España, aprovechando la necesaria revisión de la Estrategia de Ciberseguridad Nacional, se debería reforzar la coherencia del enfoque integral del Sistema. Por un lado, esa nueva Estrategia deberá reflejar de forma más explícita su dimensión internacional, no como un objetivo o principio genérico, sino como una estrategia bien elaborada en la que se relacionen objetivos, actores y medios. Precisa un plan de actuación que la desarrolle y, sobre todo, una autoridad que vele por su cumplimiento. Hasta ahora, la autoridad rotatoria entre los actores gubernamentales o delegada en el Centro Nacional de Inteligencia ha servido para coordinar transversalmente los aspectos de ciberseguridad asociados al núcleo duro de la seguridad nacional, asegurando la protección de las infraestructuras críticas y servicios esenciales para la sociedad. Sin embargo, ese modelo de coordinación no parece adecuado para afrontar el crecimiento exponencial y disruptivo que se registra en todos los ámbitos de ciberseguridad.

Por un lado, se entra en una nueva fase en el que las decisiones sobre actuación, regulación e inversión se alejan de la seguridad nacional para adentrarse en la seguridad económica donde no es preciso un nivel de intervención gubernamental tan elevado porque los intereses a proteger ya no afectan a toda la sociedad. En consecuencia, el ecosistema no gubernamental deberá tener más protagonismo e influencia en el nuevo modelo de gobernanza porque es el que mejor conoce el contexto e implicaciones de las decisiones sobre seguridad. Mantener el modelo basado en los decisores gubernamentales de seguridad conllevaría el riesgo de primar el enfoque de seguridad (segurizar) sobre el resto de enfoques económicos, políticos y sociales, por lo que la participación privada debe superar el estadio opcional actual y convertirse en un actor de pleno derecho.

Aparte del reconocimiento de la naturaleza público-privada de la ciberseguridad, sería conveniente reconocer su carácter transversal designando una autoridad, coordinador o comisionado que no pertenezca a los compartimentos verticales ministeriales o de las agencias actuales. Para desempeñar sus funciones de integración, esa figura (Sr. o Sra. CIBER) debería contar con una estructura permanente de trabajo, lo que en tantos países se denomina como agencia y que aquí debería tener las mismas funciones pero distinta denominación por razones de cultura administrativa. Articulando de este modo el núcleo interior de la ciberseguridad, se podría trasladar a su núcleo externo, europeo y global, los intereses e iniciativas españolas de ciberseguridad, asegurando la coherencia y continuidad entre lo exterior y lo interior y reforzando el papel protagonista en las decisiones (decision shaper) frente al de destinatario de las mismas (decision taker). El reciente Anteproyecto de Ley para la trasposición de la Directiva NIS atribuye al Departamento de Seguridad Nacional ese papel de “bisagra” entre las dimensiones externas e internas en lo que a la seguridad de las redes y sistemas de información se refiere, pero su implantación plantea reto organizacional para desarrollar tanto esa función como el resto de funciones de coordinación interior-exterior que puedan encomendársele en el futuro. En consecuencia, se debería aprovechar la revisión de la Estrategia para revisar también el Sistema y los procedimientos adecuados para gestionar la creciente dimensión internacional de la ciberseguridad.  

Félix Arteaga
Investigador principal, Real Instituto Elcano
| @rielcano

]]>
<![CDATA[ Inteligencia artificial y poder ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari93-2018-blanco-cohen-inteligencia-artificial-poder 2018-07-24T02:03:00Z

La Inteligencia Artificial aparece como uno de los avances más disruptivos de los próximos años, configurando el poder geoestratégico del futuro, al igual que la evolución social.

]]>
Tema

La Inteligencia Artificial aparece como uno de los avances más disruptivos de los próximos años, configurando el poder geoestratégico del futuro, al igual que la evolución social.

Resumen

La implementación de aplicaciones de Inteligencia Artificial (IA) en sociedades e industrias puede suponer un cambio de carácter disruptivo, que configure una nueva distribución de poder geoestratégico. Entramos en una era donde la denominada IA “fuerte” trata de emular las habilidades cognitivas humanas creando oportunidades y riesgos para la seguridad política, económica, física y del ciberespacio. En consecuencia, las mayores potencias mundiales han iniciado una carrera con el objetivo de liderar las capacidades generadas por el uso de la IA, que se presenta como un indicador del presente y futuro liderazgo internacional, tal y como se describe en este ARI.

Análisis

En septiembre de 2017 el presidente ruso, Vladimir Putin, advirtió que la Inteligencia Artificial (IA) “es el futuro, no sólo para Rusia, sino para la humanidad”, añadiendo que ofrece “oportunidades colosales, pero también amenazas difíciles de predecir” y que “quien sea capaz de liderar esta esfera liderará el mundo”.  Destacó los riesgos de que alguna nación adquiera una posición monopolística, ofreciendo que “si nosotros nos convertimos en líderes en esta área, compartiremos el conocimiento con todo el mundo, al igual que lo hacemos con las tecnologías nucleares actualmente”. No es el primer aviso sobre una evolución que se presenta como disruptiva. Stephen Hawking llegó a señalar que “podría ser el mayor suceso de la historia de nuestra civilización. O el peor. No lo sabemos aún”. En términos prospectivos, estaríamos ante un claro “game changer”, un factor de cambio de elevado impacto, tanto positivo como potencialmente negativo.

La mayor ventaja de la IA estaría en su capacidad para resolver problemas complejos, para los cuales las capacidades humanas son limitadas. En el actual entorno de disponibilidad de datos masivos, influidos adicionalmente por procesos de desinformación y manipulación, el ser humano es incapaz de identificar relaciones, extraer patrones y realizar inferencias y predicciones, sin disponer de una ingente capacidad computacional.  Por ello se asocia la IA a la inteligencia desarrollada para las máquinas. La expresión fue acuñada por John McCarthy en 1956, referida a “la ciencia e ingenio de hacer máquinas inteligentes, especialmente programas de cómputo inteligentes”, lo que equipararía la IA a una rama de las ciencias computacionales encargada de desarrollar modelos de cómputo capaces de realizar tareas de los seres humanos, simulando razonamiento y conducta. Otros autores como Nils J. Nilsson, creen que la IA se refiere a cualquier tecnología que puede actuar con capacidad predictiva sobre su entorno, apoyada en algoritmos, redes neuronales artificiales y razonamiento mediante lógica formal.

Arend Hintze señala dos tipologías de IA de naturaleza disruptiva ya existentes: máquinas reactivas, que predicen en escenarios planteados, como Deep Blue, el programa de IBM que venció al ajedrez a Garry Kasparov; o IA de memoria limitada, que utiliza experiencias pasadas para informar el futuro. También define dos categorías aún inexistentes: teoría de la mente (comprensión de creencias, deseos e intenciones que afectan a quienes toman decisiones) y autoconocimiento (sentido de sí mismo de los sistemas de IA). La criticidad actual deriva del paso de una IA “débil” a una IA “fuerte”. En la primera, los sistemas son entrenados para tareas muy concretas y se han incorporado a multitud de desarrollos tecnológicos como Siri en Apple o la proliferación de chatbox. La verdadera disrupción se producirá en la segunda por la disponibilidad de datos, el incremento de la capacidad de computación y la reducción de su coste, y la mejora de los algoritmos. Este avance acercará la IA a las habilidades cognitivas humanas de forma generalizada y el factor diferenciador será la capacidad de computación, algo que no está al alcance de todas las naciones según Helen Lavoux. Para ello, esta nueva ola de IA se apoya en el deep learning, el machine learning, el procesamiento de lenguaje natural, el análisis predictivo, el reconocimiento de imagen y texto, la computación gestual, la realidad aumentada, la robótica y el reconocimiento emocional y, todo ello con el apoyo de la ciencia de datos, como se indica en el White Paper de la consultora Evry.

La interconexión de sistemas basados en IA puede generar fallos o ciberataques, con elevado impacto económico en sectores como el de las infraestructuras críticas. Según el Barómetro de Riesgo de Allianz 2018 el impacto de la IA y otras tecnologías es el séptimo riesgo empresarial, por encima del riesgo político o el cambio climático. La IA aumenta el riesgo de que las máquinas y los algoritmos acaben adoptando las decisiones, el de que algunos Estados la utilicen para el control social de los ciudadanos o para reforzar su competencia geopolítica a nivel internacional, incluidas las guerras de información y desinformación. Según el mismo Barómetro, los ciudadanos se arriesgan a perder su privacidad, a que sus propios dirigentes configuren sus opiniones o a que se acentúe su exclusión según estén preparados o no para este nuevo entorno industrial y laboral. En el plano seguritario, existe el riesgo de que aparezcan fallos en los sistemas de IA, que se utilicen robots autónomos en los conflictos o en que se materialice la distópica “singularidad”, un escenario en el que la inteligencia artificial, superior a la humana, tomaría el poder. Lo anterior explica que algunos expertos, entre quienes el filósofo Nick Bostrom destaca a Bill Gates o Elon Musk, o instituciones como el Parlamento Europeo, hayan comenzado a evaluar y advertir sobre los riesgos de la IA.

El sector de la ciberseguridad es uno de los que, en mayor medida, están siendo afectados por la IA. En el aspecto positivo, está contrastada su capacidad para reducir las ciberamenazas, mejorando la detección de ataques. Pero en la carrera por su utilización también están involucrados grupos de crimen organizado y hackers, que recurren crecientemente a la IA para perfilar los ataques, seleccionar un mayor número de objetivos de forma más dirigida y menos indiscriminada y mejorar su eficiencia pudiendo ser replicados en numerosos equipos. Para este fin, la IA se combinará con la tradicional ingeniería social. Se ha llegado a estimar que un ciberataque global pudiera llegar a generar pérdidas de 50 billones de dólares. Adicionalmente, la IA podría ser una vía para hackear dispositivos conectados a internet, vehículos o drones, tomando el control de los mismos con intenciones delictivas o criminales.

Para contrarrestar los riesgos se está trabajando sobre la gobernanza nacional e internacional de la IA. La Administración Obama elaboró en 2015 el Informe “Preparing for the future of IA”, en línea con los publicados sobre “Big Data: Seizing Opportunities, Preserving Values” y “Big Data and Privacy: A Technological Perspective” en 2014, para valorar los impactos de la IA sobre individuos y sociedad, una línea emulada por algunas estrategias posteriores de seguridad nacional. En el mismo sentido, otros estados y organizaciones internacionales comienzan a tomar conciencia de los riesgos del ciberespacio. Por ejemplo, la nueva Estrategia de Seguridad Nacional española dedica varias reflexiones acerca de las denominadas amenazas híbridas, aquellas que combinan diferentes formas de ataque, tradicionales y no tradicionales, como los ciberataques o la manipulación de la información. Recoge, de esta manera, uno de los mayores riesgos a los que se están enfrentando las democracias en todo el mundo, procesos de desestabilización promovidos desde el exterior por actores tanto estatales como no estatales, y que tratan de polarizar y fragmentar nuestras sociedades. La salud de los sistemas democráticos depende de la existencia de un entorno informativo que garantice la pluralidad y la diversidad y un desarrollo malicioso de la IA puede ponerle en peligro automatizando “paquetes” de desinformación y viralizarlos a través de la multiplicidad de canales informativos existentes, de forma escalable y efectiva. Para ello, la IA utilizará los metadatos para perfilar objetivos, extraer patrones y definir vectores de ataque.

En el plano internacional, los expertos vienen solicitando la creación de una Agencia Internacional de Inteligencia Artificial, dependiente de Naciones Unidas, para alertar ante nuevos riesgos, debatir los aspectos éticos, prevenir una nueva fractura digital entre diferentes naciones y ciudadanos y asegurar transparencia en la investigación de la IA. A la construcción de esa gobernanza de la IA, todavía por elaborar, podría ser de utilidad la experiencia recorrida por la ciberseguridad en materia de gobernanza, lo que lleva a algunos expertos a proponer a este campo como el modelo a seguir a la hora de extender el uso de esta innovación a otras áreas. En este sentido, la clave radica en el aprovechamiento de las lecciones aprendidas y la selección de buenas prácticas en ciberseguridad, para utilizar la IA en aras de la seguridad y contrarrestar su uso malicioso, y su exportación a otros sectores, según un reciente estudio conjunto de varios think-tanks especializados sobre “The Mallicious Use of AI: Forecasting, Prevention and Mitigation”. Con dicho fin, sería de interés la implementación de equipos de hackeo ético (red teams), sistemas de verificación formal e implementación de controles de seguridad en todo dispositivo conectado, teniendo en cuenta la ausencia de principios de “security by design” en muchos de los productos que se ofrecen en el mercado y los que se ofrecerán dentro del denominado “Internet de las Cosas” (IoT en sus siglas inglesas).

Inteligencia Artificial y poder

Mientras se construye la gobernanza internacional y se toma conciencia de los cambios asociados a la IA, las potencias internacionales tratan de provechar su poder disruptivo para cobrar ventaja sobre el resto de estados principalmente en tres dimensiones de poder: la económica, la militar y la informativa, según un estudio del 00 Center sobre “Artificial Intelligence and National Security”. La inversión internacional en IA ha venido creciendo desde 2010 en torno al 60% anual, lo que permite incrementar el cociente de inteligencia artificial de las empresas (Boost Your AIQ) de Accenture. Las estimaciones señalan que ya en 2018, el 20% del negocio global estará relacionado con la IA y, en 2020, realizarán el 85% de las interacciones entre empresas y clientes de servicios. La IA podría contribuir con 12,8 trillones de euros a la economía global en 2030 (7,4 debidos a venta de nuevos productos y 5,4 por mejora de la productividad), suponiendo un incremento del 14% del producto interior bruto global. De acuerdo con otro estudio del Mckinsey Global Institute sobre “AI, the Last Digital Frontier?”, los gigantes tecnológicos que lideran digitalización son quienes más están invirtiendo en IA (entre dos y tres cuartas partes de los 26-39 billones de dólares en 2016). A continuación, se situaría el sector de la automoción, el de los servicios financieros, energía y recursos, medios y entretenimiento, transporte y logística. Y aunque es difícil separar la inversión en las diferentes áreas que formarían parte de la IA, se estima que se dedicaron al machine learning entre 5 y 7 billones.

En la dimensión militar se está produciendo una carrera entre las principales potencias del mundo para optar al liderazgo geoestratégico, geopolítico y geoeconómico. La irrupción de la IA altera las capacidades ofensivas y defensivas, como ya sucedió con la tecnología aeroespacial, la nuclear, la cibernética y la biotécnica. La IA posibilitará introducir autonomía o semi-autonomía en robots, acelerará el uso de aviones de combate no tripulados, desarrollará artefactos explosivos improvisados móviles y robóticos y se incorporará a sistemas armamentísticos (lethal autonomous weapon systems).

El rango internacional en IA se puede medir por la cuota de mercado que representa cada país, lo que colocaría a Estados Unidos, seguido de China e Israel a la cabeza de la carrera global. También se puede medir por otros indicadores de posicionamiento internacional obtenidos del Times Higher Education, coincidentes con los que presenta Scopus, que tienen en consideración criterios académicos como el número o el de artículos de investigación realizados. Otros indicadores, como los aportados por Indeed, tienen que ver con la demanda de puestos de trabajo relacionados con IA que ha aumentado un 119% entre 2015 y 2018. Liderando Estados Unidos la demanda según el Informe de IA de 2017.

Varios son los países que se están posicionando en la carrera de la IA. Una revolución que “no sucederá en 50 o 60 años, está sucediendo ahora mismo”, como afirmaba el propio Emmanuel Macron esta primavera. Estados Unidos y China, son consideradas en la actualidad las dos principales potencias en investigación y desarrollo de IA, aunque las autoridades de la segunda están mucho más concienciadas que las de la primera según medios de comunicación como el New York Times. Estados Unidos se ha centrado en los últimos años en disponer de una de las mayores fuerzas académicas en IA, un desarrollo controlado en su mayoría por manos privadas, seguido de inversiones militares o de servicios de inteligencia, como son los organismos de IARPA y DARPA. Evidencia no lejana de las pretensiones de Trump quien, desde su llegada al poder, ha manifestado su intención de poner el desarrollo de la IA al servicio de la mejora de la economía, pero, también de la seguridad nacional, pese a haber recortado la inversión prevista para 2018 en un 15%. China ha optado por mantener una agresiva inversión pública, en torno a 7.000 millones de dólares anuales, dentro de un ambicioso plan nacional de acción para generar una industria de 150.000 millones en 2030.

Israel presenta la tercera mayor cuota de mercado de IA del mundo con una inversión directa estimada en 1.100 millones durante 2017, año en el que siete compañías de titularidad israelí figuran entre las más avanzadas del mundo en materia de IA según clasificaciones privadas. La conexión que tradicionalmente ha existido entre el ejército israelí y la industria tecnológica del país, así como una fortificada estructura académica y una madura tradición emprendedora son variables que favorecen esta situación. Japón cuenta con un presupuesto estimado en 720 millones de euros para 2018, muy lejos del invertido por su vecina China. Canadá ha optado por la vía de la financiación público-privada para potenciar los proyectos de emprendimiento relacionados con la IA, elevando la oferta formativa y de investigación en este campo a cargo del Departamento de Finanzas.  Rusia, a pesar de contar con un discreto presupuesto de 12.5 millones de euros para IA, parece dispuesta a invertir en sectores específicos como el militar.

En el contexto europeo, la Comisión Europea acaba de presentar su estrategia sobre IA que tiene como objetivos impulsar la capacidad industrial europea en IA bajo un enfoque ético y legal acorde a los cambios que este avance generará y preparase para los cambios socioeconómicos. Más allá de estas premisas, será una Alianza Europea de IA la encargada de redactar, antes de finalizar 2018, los borradores por los que se desarrollará el futuro de la IA en Europa. En tanto se produce este escenario, los principales avances europeos en esta tecnología se han dado bajo la envergadura de los proyectos Horizonte 2020, aunque aún con limitados resultados. El presidente Emmanuel Macron ha anunciado una inversión de 1.500 millones de euros hasta 2020, centrando su estrategia de crecimiento en el enfoque en la disponibilidad y uso de los datos de la IA. En abril de 2018, Angela Merkel confirmaba la intención de Alemania de competir en la carrera de la IA, nombrando incluso la intención de desafiar la hegemonía China, aunque sin mencionar acciones o inversiones concretas. Esta situación, que puede ser más próxima a la posición de Reino Unido dadas las limitaciones presupuestarias con las que cuenta, se ve sin embargo reforzada por la creación, bajo fondos de inversión extranjera liderados por Amazon, del cuarto mayor centro de investigación de IA del mundo, sito en Berlín. El Reino Unido mantiene una línea, tanto pública como privada, de respaldo a proyectos con una inversión prevista que ronda los 200 millones de dólares y enfocada a promocionar aquellas líneas de investigación que promuevan ventajas competitivas, dentro de una enfoque ético. Finalmente, España está lejos de rivalizar con estas iniciativas y aún no cuenta con estrategia y presupuesto, aunque trabaja desde 2017 en la redacción de un libro blanco sobre la materia.

Conclusiones

En atención a las diferentes estrategias en materia de IA que mantienen las principales potencias mundiales, es posible observar, entre otros factores, un desarrollo orientado a favorecer los intereses geopolíticos y geoeconómicos nacionales. Este tipo de enfoque, si bien sigue la pauta histórica de cómo los estados-nación se han centrado en la defensa de sus propios intereses, contradice tanto el alcance como los efectos que una tecnología así es susceptible de tener, cuyo impacto solo se puede medir en términos globales.

Un desarrollo que, hasta la fecha, se ha centrado principalmente en fomentar la investigación, tanto pública como privada, postergando a un segundo plano el enfoque de uso de esta tecnología en la solución de problemas reales según el estudio sobre el “Global Artificial Intelligence Landscape”. A medida que surgen alertas sobre los riesgos derivados de un uso pernicioso de la IA se incrementa la necesidad de introducir perspectivas integrales, basadas en análisis de riesgos y que traten de equilibrar los intereses públicos y privados, en beneficio de nuestras sociedades.

Pese a los efectos eminentemente tecnológicos, pero también económicos, sociales y éticos que la IA es susceptible de generar, pocos son los países que tiene en cuenta estas variables en la definición de sus estrategias. Reino Unido y Francia son algunos de los ejemplos, exponiendo de manera directa que su preocupación va más allá de la propia inversión, los avances y su posicionamiento internacional.

Finalmente, las experiencias que se vienen desarrollando en el ámbito de la ciberseguridad, donde la IA presenta un claro doble uso, puede ser un modelo, a través de la extracción de lecciones aprendidas y determinación de buenas prácticas, extrapolable a otros sectores en los que la IA podrá tener un papel determinante.

José María Blanco
Director de Ciberinteligencia Estratégica, Prosegur

Jessica Cohen
Coordinadora de la Unidad de Análisis Seguridad Internacional, Prosegur

]]>
<![CDATA[ Privacidad, confidencialidad e interceptación de las comunicaciones ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari92-2018-alonsolecuit-privacidad-confidencialidad-interceptacion-comunicaciones 2018-07-24T02:01:00Z

La UE y sus Estados miembros han elaborado nuevas propuestas de regulación para proteger la confidencialidad de las comunicaciones electrónicas, interceptar esas comunicaciones en el curso de investigaciones policiales y judiciales y acceder a pruebas electrónicas.

]]>
Tema

La UE y sus Estados miembros han elaborado nuevas propuestas de regulación para proteger la confidencialidad de las comunicaciones electrónicas, interceptar esas comunicaciones en el curso de investigaciones policiales y judiciales y acceder a pruebas electrónicas.

Resumen

La UE y sus Estados miembros afrontan un proceso regulatorio para asegurar la confidencialidad de las comunicaciones electrónicas de los individuos y empresas y posibilitar la obtención de pruebas electrónicas en los entornos on-line. La regulación trata de cubrir el vacío legal en el que se encuentran los productos y servicios de comunicaciones electrónicas ofrecidos por los proveedores de Internet y las dificultades que plantea la disruptiva evolución tecnológica a las fuerzas de seguridad y las autoridades judiciales para desarrollar sus investigaciones y obtener pruebas en el ciberespacio.

Entre las iniciativas de regulación se encuentran las llevadas a cabo por la Comisión para proteger derechos y libertades fundamentales como la privacidad, confidencialidad y los datos de carácter personal en el sector de las comunicaciones electrónicas (Reglamento e-Privacy) en línea a la regulación horizontal de los datos de carácter personal  (Reglamento General de Protección de Datos, RGPD) y el acceso a pruebas electrónicas y datos almacenados en el curso de investigaciones transfronterizas en la UE (Reglamento e-Evidence). Del mismo modo, países como el Reino Unido, Francia o España han actualizado su legislación en materia de interceptación legal para adaptarla a las nuevas plataformas on-line de la sociedad de la información y a las necesidades operativas de las fuerzas de seguridad.

La regulación incluye elementos controvertidos como la interceptación individualizada o masiva de las comunicaciones, el cifrado extremo a extremo de las comunicaciones, la retención de datos y metadatos, la infiltración, registro y extracción remota de información de dispositivos, el bloqueo o borrado de contenidos ilegales de servidores la identificación en tiempo real de amenazas o el perfilado de ciudadanos y organizaciones potencialmente sospechosas.

Análisis

La protección de los datos de carácter personal y la confidencialidad de las comunicaciones electrónicas

La propuesta para la actualización de la Directiva 2002/58/CE sobre privacidad y comunicaciones electrónica tiene por objeto garantizar la privacidad, la confidencialidad y la protección de los datos personales de las comunicaciones electrónicas en amparo de los derechos y libertades fundamentales de las personas físicas y jurídicas. Trata de adecuarla a los profundos cambios tecnológicos y de modelos de negocio on-line que permiten comunicaciones interpersonales (entre otros, servicios de voz sobre IP, de mensajería instantánea o de correo electrónico basados en la web) que son en ocasiones funcionalmente equivalentes a los ya regulados como la telefonía o los mensajes SMS. 

La Directiva e-Privacy de 2002 sólo protege los servicios tradicionales de comunicaciones de voz/texto y el servicio de acceso a Internet ofrecidos por las compañías de telecomunicaciones, pero no se aplica a los nuevos servicios de comunicaciones on-line (over-the-top, OTT) ofrecidos por los proveedores de la sociedad de la información a través de Internet, en lugar de los operadores tradicionales. Esto plantea una importante asimetría regulatoria entre operadores que prestan servicios equivalentes, ya que, por ejemplo, los operadores de telecomunicaciones únicamente pueden procesar la información vinculada a las comunicaciones con el estricto consentimiento del usuario caso a caso, a diferencia de los OTT que pueden hacerlo sobre una base de consentimiento más amplia tal y como establece el RGPD.

La Comisión atribuye la necesidad de revisión a algunos factores como la desprotección de la privacidad y la confidencialidad en las comunicaciones on-line; la obsolescencia tecnológica; la ineficacia de las reglas de consentimiento en la gestión de cookies; la falta de regulación de mecanismos on-line alternativos a las cookies como la huella digital de los terminales o el uso del identificador MAC del dispositivo al conectarse a redes wifi y bluetooth; la indefinición de la Directiva en relación con las comunicaciones de datos entre dispositivos M2M/IoT o la desprotección de los ciudadanos frente a comunicaciones no solicitadas en campañas de telemarketing. La Comisión argumentaba estos y otros factores en su Evaluación del Impacto de la actualización para justificar su revisión.

Como resultado, la Comisión presentó en enero de 2017 una propuesta de Reglamento para respetar la privacidad y la protección de los datos personales en las comunicaciones electrónicas (Reglamento e-Privacy) que se encuentra actualmente en tramitación. La propuesta se formalizó como Reglamento, en lugar de como Directiva, para evitar las dilaciones de su trasposición, garantizar la coherencia con el RGPD, armonizar la protección de los usuarios y abaratar los costes de las empresas que desarrollan actividades transfronterizas. La propuesta del Reglamento e-Privacy, que ya incorpora a los operadores OTT, será de aplicación en el tratamiento de datos de las comunicaciones electrónicas incluidas en ella (las cuestiones que no se contemplen específicamente en la propuesta, quedan amparadas por el RGPD) como a la información procesada y almacenada en los terminales de los usuarios. No se aplicará a las actividades llevadas a cabo por las autoridades competentes en la prevención, investigación, detección o enjuiciamiento de infracciones penales, incluida la protección y prevención frente a amenazas para la seguridad pública.

En concreto, el Reglamento prohíbe cualquier interferencia con las comunicaciones electrónicas, es decir, la escucha, el almacenamiento, el seguimiento, el análisis u otros tipos de interceptación, la vigilancia o el tratamiento de datos de las comunicaciones. Autoriza a los proveedores de redes y servicios de comunicaciones el tratamiento de datos y contenidos de comunicaciones electrónicas cuando sea necesario para llevar a cabo la comunicación durante el período necesario, con el fin de mantener o restablecer la seguridad de las redes y servicios o detectar fallos técnicos en la transmisión de las comunicaciones electrónicas, todo ello durante el tiempo necesario para estos fines.

Los proveedores podrán tratar los metadatos de comunicaciones electrónicas (son datos tratados en la red con el fin de transmitir, distribuir o intercambiar contenido de comunicaciones electrónicas, incluyendo los utilizados para rastrear e identificar el origen y el destino de una comunicación, la ubicación del dispositivo generados en el contexto de la prestación de servicios de comunicaciones electrónicas, así como la fecha, la hora, la duración y el tipo de comunicación) cuando sea necesario para cumplir con las obligaciones de calidad del servicio, facturar, calcular las tarifas de interconexión, detectar o impedir la utilización abusiva o fraudulenta de los servicios, o prestar servicios específicos al usuario. También podrán tratar los contenidos (formatos de texto, voz, vídeos, imágenes y audios) de comunicaciones electrónicas. En ambos casos, será preciso el consentimiento para fines concretos de los usuarios y el tratamiento anonimizado de la información.

Los proveedores suprimirán el contenido de las comunicaciones o los anonimizarán una vez recibidos por los destinatarios o cuando ya no sean necesarios para transmitir la comunicación (podrán conservarse los metadatos asociados a la facturación hasta que finalice el plazo de reclamación). La propuesta permite el tratamiento, almacenamiento y recopilación de la información almacenada en las terminales si el usuario ha dado su consentimiento, o para efectuar la transmisión de una comunicación, cuando sea necesario para la prestación de un servicio on-line solicitado por el usuario final o para medir la audiencia en la web, siempre que corra a cargo del proveedor que haya solicitado por el usuario final.

La propuesta prohíbe recopilar la información emitida por un terminal para poder conectarse a otro dispositivo o a un equipo de red (por ejemplo, wifi o bluetooth) salvo para establecer una conexión y durante el tiempo necesario para ello. Establece que los programas que permiten comunicaciones on-line, incluyendo los navegadores habrán de ofrecer la posibilidad de impedir a terceros almacenar información sobre el terminal del usuario o el tratamiento de información ya almacenada en ese equipo. Además, actualiza los derechos de personas físicas y jurídicas al control de las comunicaciones tales como la presentación y restricción de la identificación o el bloqueo de llamadas entrantes, las guías accesibles al público o comunicaciones no solicitadas.

Los operadores tradicionales de telecomunicaciones han apoyado la inclusión de los nuevos operadores OTT pero asociaciones importantes del sector como GSMA y ETNO han mostrado en su valoración reservas sustanciales en relación con las estrictas reglas planteadas por la Comisión para el procesado de los metadatos asociados a las comunicaciones y, en particular, a los relativos a la localización o a la pormenorización del consentimiento que estarán obligados a solicitar a los usuarios En su lugar, GSMA y ETNO proponen flexibilizar el procesado de los metadatos de las comunicaciones electrónicas adoptando principios similares a los establecidos en el Reglamento General de Protección de Datos como los de responsabilidad proactiva (accountability) y protección por diseño con técnicas tales como la pseudo-anonimización o el cifrado de los mismos.

En particular, causa especial preocupación a los operadores las restricciones relativas al uso de metadatos no anonimizados para llevar a cabo la gestión de los recursos técnicos de las redes de telecomunicaciones, por ejemplo, limitadas en el borrador al cumplimiento de los requisitos de calidad de servicio “obligados”, máxime si se tiene en cuenta que la calidad de servicio es un elemento base para la diferenciación competitiva de los servicios ofrecidos entre los distintos operadores de red. Restricciones que también afectarían a la próxima generación de redes móviles 5G si sólo se permite el análisis de datos de tráfico anonimizados, limitando las capacidades de planificación técnica, el seguimiento pormenorizado de anomalías o la asignación dinámica y automática de los recursos técnicos de la red, por ejemplo, adaptando la dirección de los haces de las antenas de las estaciones base según los requisitos particulares de los usuarios. Además, la rigidez regulatoria en relación con el consentimiento resulta poco compatible con una explotación eficiente de los datos (big data) mediante herramientas analíticas, por ejemplo, en plataformas destinadas a smart-cities o en aplicaciones industriales M2M/IoT (“Industria 4.0”) a las que también aplicaría el principio sobre la confidencialidad de las comunicaciones que propone el Reglamento.

Medidas regulatorias de la UE y de los Estados miembros para la interceptación de las comunicaciones para apoyar las investigaciones de las autoridades policiales y judiciales

Entre los temas en discusión en este ámbito se incluyen elementos tan diversos como las bases legales que permiten la interceptación individualizada y masiva de las comunicaciones, el acceso a terminales y comunicaciones cifradas extremo a extremo, el registro remoto de dispositivos, extracción de información, infiltración, la identificación en tiempo real de amenazas, el acceso a pruebas electrónicas, el bloqueo o borrado de contenidos ilegales de servidores o el periodo de retención de datos y metadatos, entre otros. Son instrumentos que la regulación vigente (Reglamento 2016/679 y Directivas 2016/680 y 2016/681) exige se apliquen de forma selectiva y proporcional a la naturaleza y gravedad de los delitos investigados, así como un tratamiento de los datos personales conforme a derecho.

Su actualización es necesaria porque los servicios de comunicaciones tradicionales ofrecidos por operadores de telecomunicaciones nacionales han ido evolucionando hacia un escenario global formado por aplicaciones on-line ofrecidas por los proveedores de Internet (OTT) ya mencionados y disponibles a través del servicio de acceso a Internet proporcionado por los operadores de telecomunicaciones locales a través de redes fijas (fibra y xDSL) y móviles, a lo que hay que añadir el despliegue de redes móviles 5G y la virtualización de las infraestructuras de comunicaciones. Un cambio de escenario que afecta a la interceptación de las comunicaciones.

En el pasado, los servicios de telecomunicaciones estaban constituidos esencialmente por el servicio telefónico, la mensajería SMS y los servicios portadores de datos. La inteligencia de estos servicios residía en la red y el operador gestionaba extremo a extremo la comunicación del usuario. Las comunicaciones de datos se ofrecían a las corporaciones habitualmente mediante circuitos punto a punto o estableciendo redes privadas virtuales, el cifrado extremo a extremo tenía un uso marginal. El intercambio internacional de datos era comparativamente reducido, la intercepción se realizaba a un nivel local en la red del operador de telecomunicaciones.

En la actualidad, la inteligencia del servicio reside en los extremos, es decir en los terminales de usuario y en las aplicaciones de Internet, y cada operador de telecomunicaciones tiene control únicamente sobre su red (un segmento de la comunicación de Internet). La mayor parte de las comunicaciones (voz IP, mensajería, redes sociales, video...) se realizan en Internet y solo una parte de los contenidos de la Red es visible a través de buscadores. Además, las aplicaciones han recurrido al cifrado entre los extremos de la comunicación para proteger el contenido de las comunicaciones.

Este cambio estructural experimentado por el mercado de las comunicaciones electrónicas ha tenido importantes efectos en la interceptación judicial y policial de las comunicaciones de los sujetos investigados. Ya no es suficiente con tener acceso al servicio de conectividad (la comunicación vocal o el acceso de datos a Internet ofrecido por el operador local de telecomunicaciones), surge la dificultad de solicitar la intervención a proveedores emplazados en terceros países o la imposibilidad de descifrar comunicaciones y terminales. Por otra parte, Internet ha provocado una concentración e internacionalización del tráfico de datos, propiciando la captura masiva de metadatos en tiempo real.

El uso por la delincuencia organizada y por el terrorismo internacional de las aplicaciones más populares de Internet, como redes sociales y servicios de comunicaciones vocales cifrados, con fines de propaganda y comunicación segura entre sus miembros así como la extraterritorialidad del ciberespacio forman parte central del debate legal sobre la necesidad de regular ciertas prácticas de Internet, tales como el uso del cifrado extremo a extremo o la eliminación de determinados contenidos en redes sociales, así como la corresponsabilidad de los proveedores de Internet.

Lo anterior ha llevado al Consejo Europeo de junio de 2016 a solicitar una mayor cooperación en las investigaciones criminales entre las autoridades policiales y judiciales y los proveedores de servicios de comunicaciones electrónicas, especialmente a aquellos proveedores de Internet no establecidos en la UE. Por su parte, la Comisión aprobó en 2018 una Directiva 2017/541 para la lucha contra el terrorismo, cuyo plazo de trasposición vence en septiembre de 2018 que los Estados colaboraran para evitar la comisión de delitos de terrorismo desde los servidores ubicados en su territorio, procurando obtener la eliminación cuando los contenidos estén albergados fuera de su territorio y, si no fuera factible su eliminación en origen, utilizar mecanismos que bloqueen el acceso a los mismos desde el territorio de la UE. No obstante, la Directiva advierte que no debe imponerse a los proveedores de servicios la obligación general de controlar la información que transmitan o almacenen ni la de buscar activamente indicios de actividad ilegal. Tampoco considera a los proveedores de servicios de alojamiento de datos como responsables, en la medida en que no dispongan de un conocimiento real de la actividad o información ilegal y no tengan conocimiento de los hechos o circunstancias a partir de los cuales sea patente la actividad o información ilegal.

La Comisión ha presentado en 2018 dos nuevas propuestas: un Reglamento sobre órdenes europeas de entrega y conservación de pruebas electrónicas y una Directiva para la armonización en la designación de representantes legales para recabar pruebas en procesos penales. Las propuestas se explican en un contexto donde más del 50% de las investigaciones penales europeas incluyen una solicitud transfronteriza para la obtención de pruebas electrónicas que obran en poder de prestadores de servicios online establecidos en otro Estado miembro o externos a la UE y que debido al tiempo necesario para recabar tales pruebas o a la fragmentación del marco jurídico hace que no pueden ser debidamente investigados o enjuiciados las dos terceras partes de esas solicitudes. Además, y como subraya la Comisión, la cooperación público-privada entre proveedores y autoridades resulta ineficiente, no existe un marco legal para la cooperación voluntaria trasfronteriza, ni la adecuada certeza legal sobre el uso de pruebas electrónicas en investigaciones transfronterizas.

La Regulación obligará a todos aquellos proveedores que almacenen datos como, por ejemplo, proveedores de comunicaciones electrónicas, proveedores de hosting y similares, redes sociales, mercados on-line a consumidores finales y negocios, comunicaciones de voz o proveedores de infraestructuras de Internet. Las reglas para la solicitud de una orden de producción por un juez o fiscal desde el país de origen al proveedor del país destino dependerá del tipo o categoría de los datos asociados a la identificación del subscriptor: datos de acceso asociados al inicio y final de sesión que, por sí solos, no identifican al usuario del servicio pero que sean necesarios en las primeras fases de la investigación; datos transaccionales relacionados con la provisión del servicio o los contenidos almacenados. El proveedor deberá enviar los datos directamente a la autoridad policial del país de origen en el plazo máximo de 10 días (frente a los 120 días de media actuales), plazo que se reduce a 6 horas en situaciones excepcionales.

En paralelo, varios Estados como Reino Unido, Francia o España han revisado desde 2015 su legislación para ampliar su capacidad de interceptar individualmente -y en ocasiones masivamente- las comunicaciones en redes de telefonía e Internet o el acceso remoto a los equipos de los usuarios. El Reino Unido aprobó su Investigatory Powers Act en 2016 que permitió la obligación a proveedores de comunicaciones de mantener los registros de conexión a Internet de los usuarios (metadatos) durante un año, permitiendo el acceso remoto a ordenadores y teléfonos inteligentes para la implantación de programas de vigilancia o la descarga de información. La Ley otorgó poderes a las fuerzas de seguridad para solicitar la colaboración a los proveedores de comunicaciones para descifrar cualquier comunicación de los usuarios y consolidó la interceptación masiva de comunicaciones (metadatos). En Francia, la Loi de Renseignement y la de Mesures de surveillance des communications électroniques internationales autorizaron desde 2015 la interceptación en las redes de los operadores y el empleo de escuchas de proximidad en las redes móviles (IMSI-catchers). La legislación ampara la obtención en tiempo real de metadatos para la vigilancia individual de sospechosos y requiere a los proveedores de acceso a Internet la detección y filtrado de patrones de tráfico potencialmente vinculados a actividades terroristas. El periodo de retención de datos varía entre 1 y 3 meses y se inicia en el instante en que se descifra la información, pudiendo retenerse para posterior análisis técnico hasta 6 años.  En España, la modificación de la Ley de Enjuiciamiento Criminal de 2015 ha ampliado la obligación de colaborar con jueces y policía judicial a todos los actores que prestan un servicio on-line y permite tanto el registro remoto de equipos informáticos de uso y almacenamiento (ordenadores de usuarios y servidores en la nube).

Conclusiones

La disruptiva evolución de los servicios, redes de telecomunicaciones y tecnologías vinculadas a la Sociedad de la Información junto a la incorporación de los proveedores de aplicaciones on-line al ámbito de las comunicaciones electrónicas hace necesaria la actualización del marco legal que protege la privacidad y confidencialidad de las comunicaciones de las personas físicas y jurídicas. Con este propósito, la Comisión Europea ha propuesto a principios de 2017 el Reglamento e-Privacy, una profunda revisión de la Directiva de 2009, situando a los proveedores de aplicaciones on-line a un mismo nivel de obligaciones que los operadores de telecomunicaciones e incluyendo en la protección los terminales de usuario y las comunicaciones de datos entre máquinas (M2M/IoT).

En el mismo contexto de cambios, y para facilitar las investigaciones judiciales y policiales en su lucha contra los delitos que se cometen a través del ciberespacio, la Comisión y algunos Estados miembros han actualizado su regulación para la interceptación de las comunicaciones y obtención de pruebas. Las propuestas, elaboradas desde la primacía de la seguridad y el respaldo de la legalidad, han despertado un debate entre los reguladores y los destinatarios de la regulación. Por un lado, los distintos proveedores obligados abogan por una mayor flexibilidad, similar a la acordada para la regulación horizontal de la protección de datos, y una aplicación de la gestión de riesgo particularizada caso a caso en la protección de datos y metadatos. Por otro lado, algunos de estos desarrollos legislativos pueden tener efectos colaterales no desdeñables en materia de derechos civiles y en el ejercicio de las operaciones comerciales de empresas extranjeras, por lo que la sociedad civil exige estrictas medidas de control judicial, transparencia, legitimidad y auditabilidad a raíz de las notables capacidades técnicas de que disponen las fuerzas de seguridad para interceptar grandes volúmenes de información.

A la conciliación de intereses públicos y privados con los procesos nacionales y europeo de regulación se debe llegar mediante un proceso interactivo durante la fase de elaboración, que tenga en cuenta y permita la participación de los responsables y destinatarios, y durante la evaluación de sus resultados prácticos para permitir aprender de aciertos y errores. Una regulación que sólo tenga en cuenta los factores seguritarios, incluso en materias tan importantes como la privacidad, confidencialidad y los datos de carácter personal o el acceso a pruebas electrónicas y datos almacenados en el curso de investigaciones transfronterizas puede originar perjuicios y efectos no deseados a operadores y usuarios, contra la lógica y el derecho de la Sociedad de la Información.

Javier Alonso Lecuit
Miembro Grupo de Trabajo sobre Ciberpolítica del Real Instituto Elcano

]]>
<![CDATA[ La Seguridad Nacional y el reto de la Cuarta Revolución Industrial ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/comentario-arteaga-seguridad-nacional-reto-cuarta-revolucion-industrial 2018-07-20T02:06:10Z

El enfoque de Seguridad Nacional traslada a la Presidencia del Gobierno la responsabilidad del liderazgo para adaptar la economía y la sociedad española al nuevo entorno disruptivo de la cuarta revolución industrial y que abre las decisiones a nuevos ecosistemas de participación.

]]>
La Seguridad Nacional se ha ido consolidando en la agenda y organización de los últimos gobiernos desde su implantación en 2011. Tres estrategias, dos partidos distintos y una ley han permitido al sistema de seguridad nacional prodigarse en consejos, comités, planes e informes de actuación. Un resultado que no es fácil de obtener para una política pública recién llegada a las preocupaciones del Gobierno y que debe abrirse paso en competición con otras culturas administrativas de mayor solera y entidad.

Es una recién llegada, pero no es una política más, porque –a diferencia de las anteriores– sirve para afrontar cuestiones complejas que afectan a varios Ministerios y Agencias, a lo público y lo privado, y a lo nacional, lo autonómico e internacional. Debido a su naturaleza transversal y multinivel, ocupa un lugar propio en el entorno de la Presidencia del Gobierno, desde la que puede desarrollar sus funciones de integración interministerial. Esa posición privilegiada en la cercanía del presidente le otorga unas posibilidades de asesoramiento y actuación extraordinarias, pero también le enfrenta a una tradición administrativa que no está acostumbrada a encontrar intermediarios entre las Agencias y Ministerios y el despacho presidencial. Pese a ello, el Sistema ha demostrado razonablemente su capacidad de coordinar a diferentes actores sin injerirse en sus competencias ejecutivas, alineando las estrategias sectoriales de actuación.

“Tras el cambio de Gobierno, el Departamento de Seguridad Nacional […] ahora cuenta con un director general dedicado exclusivamente a la Seguridad Nacional”

Tras el cambio de Gobierno, el Departamento de Seguridad Nacional continúa dentro del Gabinete de la Presidencia del Gobierno y dependiendo de su director, pero ahora cuenta con un director general dedicado exclusivamente a la Seguridad Nacional, sin tener que compaginar sus funciones con las de adjunto al director del Gabinete. Dado el avanzado estado de la Legislatura en que nos encontramos, no se prevén grandes novedades en el desempeño de la Seguridad Nacional que, sin embargo, debería aprovechar su consolidación para afrontar nuevos retos que planean, por ejemplo, sobre la economía nacional.

A pesar de que la economía parece estabilizada y que los indicadores confirman la superación de la crisis que se ha padecido en los últimos años, quienes han pilotado la recuperación deberían dejar de mirar hacia atrás con complacencia y prepararse para afrontar una nueva tormenta mucho más perfecta y disruptiva: la de la Cuarta Revolución Industrial. Conocida con varias denominaciones, la nueva revolución comprende un conjunto amplio de tecnologías de naturaleza disruptiva que cambiarán los procesos, productos y modelos de negocio de la industria tradicional, así como el modelo de relaciones, consumo, empleo, salud y ocio de las sociedades avanzadas. Los sistemas ciber-físicos, la hiperconectividad, la sensorización, la inteligencia artificial, la robótica, el Internet de las cosas o los metadatos, entre muchos otros, propician mutaciones tecnológicas que van a transformar nuestro modo de vida a muy corto plazo.

El reto es sistémico porque la seguridad y la prosperidad de esas sociedades depende de cómo sepan adaptarse a la revolución para aprovechar sus oportunidades y mitigar sus riesgos. Es sistémico, porque para transformar las políticas y sistemas políticos, económicos y sociales al nuevo contexto se precisa un elevado nivel de concienciación, liderazgo y anticipación para el que no están preparadas las estructuras de gobernanza tradicionales. Y es sistémico, también, porque favorece la exclusión y la desigualdad del mercado para las industrias y empleados que no están mentalizados y formados.

La formulación de medidas para afrontar la nueva revolución depende de la madurez política y social para tomar conciencia de los retos y oportunidades que se plantean. Mientras que países de nuestro entorno, o la propia UE, ya han comenzado a tomar medidas excepcionales, en España se ultiman algunas estrategias sectoriales orientadas a la digitalización o a la industria, cuya coordinación sigue encomendada a estructuras administrativas y de segundo nivel (Secretarías de Estado) sin la implicación directa del Gobierno. A esta falta de madurez y de anticipación hay que añadir la desatención estructural de políticas que como las de Ciencia, Tecnología, Investigación, Desarrollo e Innovación no se consideran prioridades sociales y, por lo tanto, padecen recortes más profundos en épocas de austeridad y subidas menos generosas en los momentos de crecimiento. A ello habría que añadir, según la Comisión Europea, el complejo marco de gobernanza y la falta de una cultura de evaluación de las inversiones públicas en I+D+i, la insuficiente coordinación de las políticas autonómicas y nacional de innovación y los obstáculos a la transferencia de tecnología y movilidad entre universidades y empresas.

“No se puede afrontar esta revolución con las medidas incrementales y reactivas de siempre, sino que es necesario adoptar medidas de nueva generación estratégicas, integrales y público-privadas”

Los sectores público y privado comparten la responsabilidad de la situación, y aunque ambos se excusan tras la necesidad de superar la crisis económica, lo cierto es que han perdido terreno frente a sus competidores directos en los indicadores asociados a la nueva revolución industrial. Así, y en relación con el objetivo europeo de alcanzar una inversión para la I+D del 2% del PIB en 2020, la inversión total sigue estancada en torno al 1,3%, mientras que la media europea se sitúa ya en torno al 2,2% y la contribución privada a esa inversión (el 0,7%) es la mitad de la media europea (1,4%).

El crecimiento de la economía tradicional no basta para asegurar la inclusión. Y si no se nivelan en lo posible las condiciones de partida, la nueva revolución industrial va a acentuar la exclusión y la desigualdad. Y aunque la disrupción tecnológica y cultural no afecte a todos los ámbitos de la economía por igual, precisará una intervención decidida de los poderes públicos y de la sociedad para que las personas sigan estando en el centro de esa transformación si no se quiere dejarlos indemnes ante un proceso de cambio acelerado e irreversible.

Debido a su carácter disruptivo y sistémico, no se puede afrontar esta revolución con las medidas incrementales y reactivas de siempre, sino que es necesario adoptar medidas de nueva generación estratégicas, integrales y público-privadas. No son medidas que se puedan adoptar por un Gobierno, Legislatura o Administración, son medidas transformacionales que necesitan desarrollarse a largo plazo, sostenerse por varios Gobiernos y gestionarse con modelos de gobernanza público-privados. Para hacerlo, se debería recurrir a un enfoque como el de Seguridad Nacional, diseñado para hacer frente a grandes retos para la seguridad y la prosperidad de sociedades avanzadas como la española y con modelos de gobernanza distintos a los de las políticas tradicionales.

Es un enfoque que traslada a la Presidencia del Gobierno la responsabilidad del liderazgo para adaptar la economía y la sociedad española al nuevo entorno disruptivo de la cuarta revolución industrial y que abre las decisiones a nuevos ecosistemas de participación para aprovechar sus oportunidades y mitigar sus riesgos. De no aplicarse este enfoque, la sociedad española se enfrentaría a un doble problema de prosperidad, debido al deterioro severo de su competitividad y productividad, y de seguridad, porque el incremento del desempleo, la desigualdad y la exclusión favorecerá la desestabilización social: el tipo de problemas complejos para los que se adoptó la Seguridad Nacional y de los que deberá ocuparse cuanto antes, combinando la necesaria continuidad con cambios ineludibles.

Félix Arteaga
Investigador principal, Real Instituto Elcano
| @rielcano

]]>
<![CDATA[ Lecciones aprendidas durante la tramitación de la Directiva NIS ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari75-2018-arteaga-lecciones-aprendidas-durante-tramitacion-directiva-nis 2018-06-14T12:35:54Z

El seguimiento de la elaboración de la Directiva 2016/1148 sobre la seguridad de las redes y sistemas de información de la UE y de su trasposición al Anteproyecto español proporciona lecciones de cara a la regulación futura de cuestiones de ciberseguridad.

]]>
Tema

El seguimiento de la elaboración de la Directiva 2016/1148 sobre la seguridad de las redes y sistemas de información de la UE y de su trasposición al Anteproyecto español proporciona lecciones de cara a la regulación futura de cuestiones de ciberseguridad.

Resumen

La Comisión Europea aprobó en julio de 2016 una Directiva con medidas y mecanismos de cooperación destinados a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión1, a la que ha seguido una Comunicación con instrucciones sobre su aplicación para facilitar su trasposición de forma homogénea en el territorio de la Unión2.

Ha sido un ejercicio de regulación largo y complejo, del que este ARI recoge las lecciones aprendidas por el Grupo de Trabajo sobre Ciberpolítica del Real Instituto Elcano que ha venido siguiendo la trasposición de la Directiva y que delimitan el entorno regulatorio de la ciberseguridad europea y española, más allá del ámbito concreto de la seguridad de redes y sistemas de información.

Análisis

La Directiva (UE) 2016/1148 sobre la seguridad de las redes y sistemas de información (Directiva NIS en sus siglas inglesas o SRI en las españolas) se adoptó el 6 de julio de 2016 para mejorar y establecer un nivel mínimo común en la resiliencia, capacidad de respuesta y la cooperación de la ciberseguridad entre todos los países miembros de la UE, así como fomentar una cultura de gestión de riesgos y notificación de incidentes entre los agentes económicos clave, como los operadores de servicios esenciales y proveedores de servicios digitales. La Directiva NIS/SRI se propuso por la Comisión en febrero de 2013 como parte de la Estrategia de Ciberseguridad de la UE y se aprobó por el Consejo Europeo y el Parlamento Europeo el 6 de julio de 2016.

En España, la trasposición condujo a un Anteproyecto de Ley, elaborado bajo la coordinación de la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD) del Ministerio de Energía, Turismo y Agenda Digital (MINETAD), y publicado en noviembre de 20173. Tras el posterior trámite de audiencia pública, el Anteproyecto se encuentra a la espera de su revisión antes de convertirlo en Ley. 

Es importante señalar que las obligaciones establecidas por la Directiva a los proveedores de servicios digitales transfronterizos están sujetos a una supervisión más ligera (la autoridad intervendrá ex post cuando tenga constancia del incumplimiento de la Directiva o al producirse un incidente). Sin embargo, en la práctica es un reglamento de facto ya que su aplicación ha de ser común a todos los Estados miembros. Así la Comisión aprobó en el 30 de enero de 2018 el Reglamento de Ejecución sobre la especificación de elementos y parámetros relacionados con la seguridad de las redes y sistemas de información y de requisitos para la notificación de incidentes aplicables a los proveedores de servicios digitales.

El concepto plataforma en la UE

El objetivo de la Directiva NIS/SRI de mejorar la seguridad de las redes y de los sistemas de información, no era un fin en si mismo (ciberseguridad de los Estados) sino un medio para fomentar el mercado único digital en la UE (seguridad económica) por lo que la Comisión tuvo claro en su elaboración que deberían participar también aquellos operadores privados que utilizan las redes para hacerlo posible. Son actores que gestionan las infraestructuras críticas de agua, energía, banca y finanzas, transporte, entre otros o que proporcionan a los ciudadanos europeos determinadas categorías de servicios propios de una economía digital (portales de compra online de servicios y bienes incluyendo la distribución digital de aplicaciones o programas informáticos, los buscadores online y los servicios de computación en la nube).

La pluralidad de actores públicos y privados, llevó a la Comisión a fomentar un mecanismo de coordinación transversal (Plataforma NIS) para asegurar que la Directiva atendía también a los intereses económicos en juego y no sólo a los intereses de ciberseguridad de las administraciones públicas4. Como resultado, y junto a representantes de las instituciones comunitarias, la Plataforma NIS congregó a representantes públicos y privados de más de 130 organizaciones para identificar las mejores prácticas relacionadas con la gestión del riesgo, la coordinación de incidentes e intercambio de información y la investigación e innovación en los respectivos grupos de trabajo.

La Directiva NIS/SRI fija los resultados a obtener, pero son los Estados miembros los que deciden cómo conseguirlos, por lo que su efectividad no dependía tanto de su entrada en vigor, el 8 de mayo de 2018, como de la forma en la que esos Estados traspusieran su mandato y mecanismos. Para armonizar las trasposiciones y su implementación posterior, la Directiva creó un Grupo de Cooperación compuesto por representantes de los Estados miembros, la Comisión y la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), otra plataforma de coordinación, aunque de carácter público a la que la Directiva recomienda, cuando sea necesario, buscar la cooperación de los operadores de servicios esenciales y proveedores de servicios digitales.

Como resultado de lo anterior, la lección a aprender sería la de que las decisiones de regulación sobre la ciberseguridad en la UE cuentan con un ecosistema de actores públicos y privados. Cada uno de ellos, para defender sus intereses, debe buscar capacidad de influencia en todas las fases de la regulación, desde la elaboración a la implementación, con una actitud proactiva y participativa. La influencia sobre cualquier aspecto de regulación y gobernanza en la UE se juega en Bruselas, en el entorno comunitario de la Comisión, del Parlamento Europeo, Consejo de Europa y de ENISA, por lo que los actores públicos y privados deben articular mecanismos de influencia para interactuar con las instituciones comunitarias y con el resto de actores.

Uno de los problemas que reconoce la Directiva, es la necesidad de que los operadores y proveedores públicos y privados articulen mejor su cooperación con mecanismos que simplifiquen y agilicen la interlocución. La necesidad de coordinación, en su variante interadministrativa, afecta particularmente a los Estados descentralizados ya que aumenta el número de autoridades competentes potenciales y dificulta la designación de un punto de contacto único. En el ámbito privado, existen asociaciones como la Organización para la Ciberseguridad Europea (ECSO en sus siglas inglesas) que aglutinan los intereses de grandes compañías, PYME, start-ups, centros tecnológicos, universidades, operadores y representantes de las administraciones regionales y locales implicadas en el desarrollo del Mercado Único Digital, la industria de ciberseguridad europea, su I+D+i y la seguridad de las redes y sistemas de información. Se pueden encontrar asociaciones similares para el sector específicos, como los operadores de telecomunicaciones (Groupe Special Mobile Association, GSMA y European Telecommunications Network Operators' Association ETNO), o la industrial digital (Digital Europe), entre otros que se ocupan de intereses globales o sectoriales.

La actuación regulatoria de los distintos actores reside en su capacidad de influir proactivamente en el ecosistema regulatorio de Bruselas, manteniendo de forma sostenida su contribución en él, diversificando sus operaciones e interacciones de influencia, recabando y analizando la inteligencia disponible y aportando sus propuestas para liderar la transformación del ecosistema digital en Europa. En el ecosistema regulatorio, y además de los actores institucionales, gubernamentales y las asociaciones mencionadas, participan activamente empresas individuales afectas por las distintas iniciativas regulatorias que dispongan de la adecuada presencia y recursos de influencia.

El concepto plataforma en España

La trasposición de la Directiva NIS/SRI depende de las peculiaridades legislativas de cada país, su organización administrativa y la cultura de cooperación que tengan. En el caso español, la elaboración del Anteproyecto ha sido un largo ejercicio intergubernamental complicado por la diversidad de actores gubernamentales implicados. Cada uno de los participantes en el Grupo Interministerial creado para la trasposición tenía sus propios intereses respecto a la seguridad de las redes y sistemas de información, especialmente aquellos que aspiraban a ser nominados como autoridades competentes. El Grupo Interministerial mantuvo contactos informales con algunos actores privados, aunque no participaron formalmente en la elaboración del Anteproyecto.

La colaboración informal en materia de ciberseguridad se beneficia de la positiva experiencia previa de cooperación público-privada en relación a las infraestructuras críticas que cubrió todo el proceso legislativo incluida la Ley y el Reglamento de Protección de Infraestructuras Críticas. Una colaboración que se ha formalizado en la Mesa de Coordinación creada en el CNPIC para canalizar el apoyo y seguimiento de las medidas adoptadas, donde participa un representante de cada uno de los sectores estratégicos identificados en la Ley 8/2011 para la protección de las infraestructuras críticas5.

La expectativa de trasposición de la Directiva generó mucha inquietud entre los operadores de servicios esenciales y los proveedores de servicios digitales, preocupaciones ya que el sector privado valoró que el Anteproyecto sobrepasaba lo establecido en la Directiva sobre la notificación de incidentes, al incluir criterios de difícil objetivación como la importancia de los sistemas afectados y el daño reputacional que pueden generar inseguridad jurídica. Igualmente, el sector privado ha mostrado su preocupación ante la multiplicidad de autoridades competentes, el solapamiento de regulaciones y la necesidad de una armonización del régimen de notificaciones debido a la casuística y variedad de regulaciones y autoridades que pueden concurrir en el curso de la gestión de un incidente dado. La inquietud y el interés condujeron a reflexiones públicas, que contaron con la comprensión y colaboración de la SESIAD y del resto de actores gubernamentales. También a reflexiones privadas, entre las que destaca la presentación, en septiembre de 2017, de la encuesta realizada por la Fundación Empresa Seguridad y Sociedad (ESYS) entre los profesionales privados responsables de aplicar las medidas resultantes de la trasposición de la Directiva NIS/SRI y que expuso las percepciones, positivas y negativas, sobre la trasposición antes de que se hiciera público el texto del Anteproyecto6.

La interacción directa tuvo que esperar a que la publicación del Anteproyecto por la SESIAD abriera el trámite de audiencia pública al que se incorporaron las propuestas y recomendaciones individuales de los operadores de servicios esenciales y proveedores de servicios digitales y las colectivas de algunas fundaciones7. El Real Instituto Elcano, dentro su programa sobre Ciberpolítica también participó en la valoración del Anteproyecto y presentó sus propias recomendaciones. Entre ellas se extraen las conclusiones que tienen una proyección reguladora o de gobernanza más allá del ámbito concreto de la Directiva NIS/SRI.

En primer lugar, y comprendiendo el lógico interés y competencia de la Administración en regular la ciberseguridad, la reserva de regulación no debe ir más allá de los límites propios de la seguridad nacional. Los contenidos de la Directiva NIS/SRI no pertenecen a ese ámbito, porque sus riesgos no afectan a la misma sino a la seguridad pública como reconoce la Memoria de Impacto Normativo del Anteproyecto. Si no se tiene en cuenta que sólo una parte de la regulación en materia de ciberseguridad afecta al núcleo esencial de la seguridad nacional, se corre el riesgo de que la lógica interministerial prime la seguridad y la simplicidad frente a los intereses económicos y la diversidad. La relación público-privada en la regulación es normalmente asimétrica porque los actores públicos dominan la colaboración. Pero un exceso de asimetría que prime la segurización frente a los intereses económicos de operadores y proveedores o la propia dinámica competitiva de los agentes europeos en un mercado globalizado puede poner en peligro el desarrollo del mercado digital único y de la sociedad de la información de Europa. La ciberseguridad es un medio para ese fin y no un fin en sí mismo, por lo que en el futuro debería ir adoptando un enfoque de supervisión menos excluyente del protagonismo privado.

En segundo lugar, y como resultado del enfoque anterior, la participación del sector privado en los trabajos del Grupo Interministerial ha sido informal, a posteriori y alejado de la voluntad de la Directiva de que la cooperación público-privada fuera “esencial” (art. 35.). Incluso admitiendo por razones de urgencia, que el sistema intergubernamental seguido sea más rápido que cualquier otro más inclusivo, el sector privado debe ir ganando protagonismo en regulaciones futuras que afectan a sus intereses económicos por razones prácticas y de competencia, así como, por razones prácticas, porque disponen de más recursos humanos y materiales que el sistema gubernamental de ciberseguridad para elaborar, debatir y evaluar los resultados de la regulación. Como la propia Directiva apuntaba, una mayor seguridad y nuevas funciones obligan al sector público a habilitar mayores medios, pero las limitaciones presupuestarias y de plantilla -que no las de competencia profesional- limitan los recursos del sector público disponibles para esa función regulatoria. Esta necesidad se va a hacer patente, por ejemplo, en la trasposición de la Directiva NIS/SRI, donde el Proyecto y -probablemente la Ley- remiten numerosas cuestiones importantes a su desarrollo reglamentario posterior, por lo que es imprescindible una mayor cooperación entre los sectores público y privado desde el inicio de la regulación reglamentaria, en lugar de ser informados al final, tanto por razones prácticas como de competencia.

En tercer lugar, la Administración tiende a simplificar su función sancionadora recurriendo únicamente a instrumentos coactivos sin incentivar ni recompensar las iniciativas del sector privado para cumplir los objetivos de la trasposición, ni el proceso de acomodación normativa de los operadores. El talante proactivo y colaborador ha dado buenos resultados y se ha visto reflejado en el curso de los últimos años en la elaboración e implantación de la regulación de las infraestructuras críticas, así como en las importantes inversiones, planes de prevención y contingencia para la prevención de potenciales ciberataques o incidentes basados en un modelo de gestión de riesgos e impactos llevados a cabo por el sector privado. El enfoque del régimen sancionador es importante porque si difiere significativamente del de otros países europeos puede crear agravios, diferencias competitivas y situaciones de arbitraje entre agentes en el mercado europeo. Por eso no debe limitarse a la penalización de las trasgresiones sino a incentivar la reputación de la marca española de ciberseguridad, para lo que es necesario incentivar la contribución de operadores y proveedores y evitar daños reputacionales irreparables. En el mismo sentido, la relación público-privada tras la notificación de incidentes deber velar por la reputación del notificante, estableciendo mecanismos que le tengan al tanto de la evolución de un incidente que afecte a sus intereses económicos e imagen.

En cuarto lugar, y en la expectativa de una colaboración público-privada más formal, sistematizada y fluida en el futuro, se debería reforzar la interlocución privada en dos ámbitos. Por un lado, se debería potenciar el reconocimiento de los jefes de seguridad de la información (CISOs) de los operadores de servicios esenciales y los proveedores de servicios digitales como interlocutores privilegiados de las autoridades competentes, algo que ha ocurrido ya con figuras similares como los delegados de protección de datos o los responsables y delegados de seguridad de infraestructuras críticas. Por otro, se precisa una mejor articulación de la interlocución entre actores privados en asociaciones nacionales, genéricas o sectoriales. En concreto, la colaboración público-privada demanda una articulación estructurada a cuatro niveles: privado, público, europeo y técnico. En este sentido, el sector privado de la ciberseguridad debería de fomentar la formación de un tejido asociativo capaz de responder a la altura de la interlocución público-privada que se desea en el plano nacional, primero, y en el europeo después8.

Conclusiones

La regulación de las cuestiones vinculadas a la ciberseguridad en Europa precisa de una mayor participación de todos los actores, públicos y privados, lo que está dando lugar a ecosistemas/plataformas de colaboración público–privada trasversales de coordinación. Florecen entre las administraciones públicas de los niveles nacional y europeo y engloban, en distinta proporción, a actores públicos, industrias de variados tamaños, operadores, centros tecnológicos, universidades, think-tanks, entre otros.

Están tomando conciencia de su capacidad y responsabilidad colegisladora y se organizan para influir en los procesos regulatorios con su presencia y participación en los foros de decisiones legislativas y en todas sus fases previas, de elaboración, implantación y revisión. Tienen a su favor su mayor capacidad para adaptarse a la evolución tecnológica y cuentan con mayores recursos para contrastar mejores prácticas internacionales y aportar propuestas regulatorias a las administraciones.

La ciberseguridad española ya tiene constancia de los dividendos positivos que la colaboración público-privada en materia de regulación de infraestructuras críticas ha dado en España y en el ámbito europeo, donde la legislación española se ha constituido en la referencia de otros procesos legislativas nacionales y de la propia Comisión. Para reforzar este potencial de influencia regulatoria en la UE, la cooperación público-privada debe articularse mejor a nivel nacional. El sector público, debe abrirse a mecanismos de participación ordinarios más inclusivos y menos asimétricos, aprovechando los recursos privados para compensar sus carencias reguladoras, centrándose en la supervisión. El sector privado debe mejorar la cooperación interna (privada-privada) simplificando y fortaleciendo la interlocución si desea que la Administración le conceda mayor protagonismo, especialmente si tiene vocación de constituir algún día una marca española de ciberseguridad que beneficie a industrias y proveedores nacionales. La interlocución público-privada no puede limitarse al territorio nacional, sino que debe replicarse en Bruselas, reforzando la interlocución directa entre los representantes permanentes de las administraciones e industrias en la capital belga y las autoridades comunitarias responsables.

Por consiguiente, el modelo de gobernanza y la remodelación de la cooperación público-privada en España deben adaptarse con agilidad al nuevo modelo de gobernanza europeo que se está articulando para gestionar la ciberseguridad, incluido el reforzamiento de la Agencia ENISA, y al modelo de gobernanza que se debe crear en España aprovechando la revisión de la Estrategia de Ciberseguridad Nacional, incluida la creación de una Agencia que pueda catalizar la cooperación público-privada.

Félix Arteaga
Investigador principal, Real Instituto Elcano
| @rielcano


1 Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016. Entró en vigor el 8 de agosto de 2016.

2 Comisión Europea, COM(2017)476 y Anexo de 4 de octubre de 2017, “Aprovechar al maximo la SRI. Hacia la aplicación efectiva de la Directiva (UE)2016/1148”.

4 La Fundación ESYS describe los orígenes de esta Plataforma en la Estrategia de Ciberseguridad de la UE, la Asociación Público-Privada Europea para la Resiliencia (EP3R) y el Grupo de Expertos del Art. 13 (de la Directiva 2009/140/CE de Telecomunicaciones). Previamente, la Dirección General de Redes de Comunicación, Contenidos y Tecnología convocó una encuesta de opinión a la que respondieron 180 representantes públicos, privados e independientes cuyos resultados se describen “La trasposición de la Directiva NIS al ordenamiento jurídico español: una perspectiva empresarial”, septiembre 2017, pp. 37-39 y 65-71, respectivamente.

6 Los resultados figuran en la mencionada publicación de la Fundación ESYS, pp. 105-151.

8 De momento, la cultura de asociación, clústeres y ecosistemas se ha desarrollado más en el ámbito de algunas Comunidades Autónomas que en el nacional, y más para ámbitos tecnológicos y de innovación generales que para el ámbito concreto de la ciberseguridad. Ver Félix Arteaga, “La Cuarta Revolución Industrial: un enfoque de seguridad nacional”, DT 12/2018, mayo de 2018.

]]>