ESCUELA NACIONAL DE POLICÍA

(ÁVILA)

TRABAJO FIN DE MÁSTER

Departamento de Ciencia y Técnica Policial

RIESGOS Y AMENAZAS EN EL CIBERESPACIO: EL

PAPEL DE LA POLICÍA NACIONAL EN EL CONTEXTO
DE LA GUERRA HÍBRIDA

Mayo Mª GRAU DOMÉNECH

Junio 2019
 ESCUELA NACIONAL DE POLICÍA
(ÁVILA)

Autorizo la presentación del trabajo

RIESGOS Y AMENAZAS EN EL CIBERESPACIO: EL PAPEL DE

LA POLICÍA NACIONAL EN EL CONTEXTO DE LA GUERRA
HÍBRIDA

Realizado por

Mayo Mª GRAU DOMÉNECH

Dirigido por

Inspector D. Casimiro NEVADO SANTANO

Junio 2019
 RESUMEN Y PALABRAS CLAVES
La guerra ha sido una constante en la historia de la humanidad. Pese a la hipótesis del
“Fin de la historia” de Fukuyama, el análisis geopolítico del escenario mundial actual
evidencia que la “evolución de la humanidad” no ha significado (por ahora al menos) el
fin de “la guerra” sino una evolución de su concepto en la que la Policía Nacional tiene
que ejercer un papel de primer orden.

Pocas palabras habrán alcanzado más relevancia mediática a lo largo de los últimos años
como “ciberguerra”, “ciber ataque”, “ciberseguridad”, “ciberdelicuencia”, etc. Ese
prefijo, lo “ciber”, rediseña la forma de relacionarse entre pares y con los objetos; en
definitiva, reconfigura la concepción del mundo, la situación del individuo, las relaciones
de poder, la sociología, la política…y dice Clausewitz: «La guerra es la continuación de
la política por otros medios».

A lo largo del trabajo de investigación se va a hacer un análisis del devenir conceptual de

guerra. Para ello se llevará a cabo un recorrido histórico de su fenomenología, de la mano
de su evolución conceptual desde puntos de vista sociológico, político y militar. Se hará
asimismo una comparación de las diferentes corrientes de pensamiento en cuanto al
concepto de guerra centrándonos, por un lado, en países occidentales como EEUU, y por
otro, en Rusia y China.

Dicho ejercicio de análisis pondrá de manifiesto que los avances tecnológicos son el
motor evolutivo del tema de estudio, por lo que será ineludible detenernos en las nuevas
tecnologías disruptivas y en el concepto de “ciberespacio”, bautizado ya como quinto
dominio. Se procederá a realizar un análisis jurídico del tratamiento de dichos fenómenos,
destacando los diferentes enfoques, nuevamente, entre países. Así como de lo complejo
del consenso internacional a la hora de dotar de un Derecho Internacional Humanitario
relativo a la ciberguerra.

De todo lo expuesto se podrá perfilar el estado de la cuestión; es decir, una visión del state
of the art con las implicaciones que supone para la seguridad nacional, el declive que,
para la democracia, derechos políticos y libertades civiles, se ha puesto de manifiesto con
crudeza este año 2018 con las actividades de desinformación y desestabilización. Y
derivado de lo anterior, las exigencias para las FFCCSE que dimanan del nuevo concepto

I
de inseguridad, de guerra híbrida o guerra irrestricta. Lejos ha quedado la época en la que
dichas cuestiones se trataban como monopolio del Ministerio de Defensa. Superada, la
teoría clásica de Guerra Total, así como la de guerra asimétrica.

Para finalizar, se analizará el porqué de la necesidad de la implicación de todos los

actores, FFAA y FFCCSE, en la misión que les son propias. En qué medida la Policía se
debe implicar en esta respuesta que se adelanta, asimismo, como híbrida. Así como, de
qué forma se debería actuar, con qué recursos técnicos. Adelantando la propuesta del
análisis de redes sociales y las técnicas de la teoría de grafos por especialistas de la Policía
Nacional, con herramientas como Gephi, Elastic Stack y Cygraph: Graph-Based
Analytics and Visualization for Cybersecurity.

Palabras clave: Guerra híbrida, ciberguerra, guerra asimétrica, guerra irrestricta, zona
gris, ciberespacio, ciberataque, ciberseguridad, seguridad digital, tecnologías disruptivas,
desinformación, fake news, infraestructuras críticas, análisis de redes, teoría de grafos.

II
 ABSTRACT AND KEYWORDS
War has been a constant through the history of mankind. In spite of Fukuyama's “End of
History” hypothesis, a geopolitical analysis of the current world scenario evidences that
the “evolution of mankind” has not meant (at least not yet) the end of “war”, but rather
an evolution of its conceptualisation – one in which Policía Nacional must play a decisive
role.

Over the last years, few words have gained more relevance in the media than
“cyberwarfare”, “cyberattack”, “cybersecurity”, “cybercrime”, etc. This prefix, “cyber”,
redefines relationships between peers as well as with objects; in sum, it configures a new
conception of our world, the situation of individuals, power relations, sociology, politics...
as Clausewitz states: “War is the continuation of policy by other means”.

Throughout this research paper, we will tackle a conceptual analysis of what war is
becoming. To this end, we will review the historical evolution of its phenomenology, as
well as its conceptual evolution from a sociological, political and militarily point of view.
At the same time, we will compare different schools of thoughts and its approaches to the
concept of war – focusing, on one hand, on Western states such as the USA, and on the
other, Russia and China.

This analytical endeavour will bring to light that technological progress is the
evolutionary engine behind our subject of study; consequently, it will be necessary for us
to refer to the new and disruptive technologies, and the concept of “cyberspace” - dubbed
by some as the “fifth domain”. We will carry out a legal analysis of the understanding of
these phenomena, highlighting the different approaches of different states and the
complexity of reaching an international consensus with regards to an International
Humanitarian Law within the field of cyberwar.

Based on these key characteristics of the issue, we will be able to provide a description
of the state of the art, the implications for national security, the negative impact on
democracy, political rights and civil liberties - as evidenced by the activities of
misinformation and destabilisation observed over the course of 2018. And, directly
related from this, the growing demands for the FFCCSE derived from novel concepts
such as insecurity, hybrid war and unrestricted war. Left behind is the era in which these

III
issues were a monopoly of Defense Ministries, as well as the classic theory of Total War
and that of asymmetric war.

Lastly, we will analyse why it is necessary to involve all relevant actors, Armed Forces
and FFCCSE, towards the mission at their very core. To which extent must Police involve
itself in this reaction which - we can already anticipate – must be hybrid in nature, as well
as how it should act and through which technical resources. Finally, we will bring forward
a proposal for network analysis and graph theory by specialists from Policia Nacional,
using tools such as Gephi, Elastic Stack y Cygraph: Graph-Based Analytics and
Visualization for Cybersecurity.

Key words: Hybrid warfare, cyber warfare, asymmetric warfare, unrestricted warfare,
gray area, cyberspace, cyberattack, cybersecurity, digital security, disruptive
technologies, disinformation, fake news, critical infrastructures, network analysis, graph
theory.

IV
 ÍNDICE
RESUMEN Y PALABRAS CLAVES .............................................................................. I
ABSTRACT AND KEYWORDS .................................................................................. III
ÍNDICE.............................................................................................................................V
1. Introducción .............................................................................................................. 1
1.1. Justificación y objetivos ..................................................................................... 1
1.1.1. Relevancia social del tema elegido............................................................. 2
1.1.2. Importancia gubernamental, política y jurídica .......................................... 3
1.1.3. Importancia del tema para la Policía Nacional ........................................... 4
1.1.4. Objetivo del trabajo y preguntas investigativas .......................................... 6
1.2. Metodología ....................................................................................................... 7
1.3. Técnicas de obtención y análisis en fuentes abiertas ......................................... 7
1.3.1. Dificultades................................................................................................. 8
2. MARCO TEÓRICO .................................................................................................. 9
2.1. El devenir conceptual del fenómeno cambiante de guerra ................................ 9
2.2. Corrientes de pensamiento no occidentales respecto al concepto. .................. 12
2.3. Conceptos ciber................................................................................................ 15
2.3.1. Término ciber ........................................................................................... 15
2.3.2. Ciberseguridad .......................................................................................... 16
2.3.3. Cyber warfare ........................................................................................... 17
2.4. Características de la ciberguerra ...................................................................... 17
3. STATU QUO. LAS NUEVAS TECNOLOGÍAS DISRUPTIVAS. AMENAZAS 19
3.1. Statu quo. ......................................................................................................... 19
3.2. Tecnologías disruptivas. .................................................................................. 21
3.3. Amenazas ......................................................................................................... 23
3.3.1. Sucinta cronología de ciberataques .......................................................... 24
3.3.2. Herramientas ............................................................................................. 26
3.3.3. Conceptos ................................................................................................. 30
3.4. Actores ............................................................................................................. 32
3.4.1. Estados ...................................................................................................... 33
3.4.2. Amenaza Persistente Avanzada ................................................................ 48
3.4.3. Crimen organizado ................................................................................... 48

V
 3.4.4. Insider o amenaza interna ......................................................................... 49
3.4.5. Hacktivistas .............................................................................................. 49
3.4.6. Script Kiddies / Noobs.............................................................................. 49
4. ANÁLISIS JURÍDICO ........................................................................................... 51
4.1. Necesidad de un Derecho del Ciberespacio ..................................................... 53
4.2. Leyes cibernéticas internacionales emergentes ............................................... 54
4.3. Leyes cibernéticas internacionales vigentes .................................................... 58
4.4. Caso práctico: Rusia 2016 elección de los Estados Unidos............................. 62
4.5. El derecho a responder de los Estados ............................................................. 64
4.6. Conclusión. ...................................................................................................... 65
5. IMPLICACIONES PARA LA SEGURIDAD NACIONAL .................................. 67
5.1. Ciberseguridad y gestión del riesgo ................................................................. 67
5.2. Infraestructuras críticas .................................................................................... 70
5.3. Respuestas a las ciberamenazas ....................................................................... 75
5.3.1. Principales actividades de ciberdefensa en el ámbito de la OTAN .......... 76
5.3.2. Estrategias regionales ............................................................................... 77
5.3.3. Estrategia española ................................................................................... 78
5.4. ¿Cuál es el objeto directo de la protección?..................................................... 80
5.4.1. Confidencialidad, Integridad y disponibilidad ......................................... 81
5.4.2. Autenticación, autorización y auditoría .................................................... 82
5.4.3. Conciencia y formación cibernética. ........................................................ 83
5.5. Defensa contra los ciberataques ....................................................................... 85
5.5.1. Política y cumplimiento ............................................................................ 86
5.5.2. Detección y prevención de intrusiones ..................................................... 86
5.5.3. Evaluación de vulnerabilidad y pruebas de penetración .......................... 87
5.5.4. Planificación de la recuperación de desastres........................................... 88
5.5.5. Defensa en profundidad ............................................................................ 88
6. EXIGENCIAS PARA LAS FFCCSE. EL PAPEL DE LA POLICÍA NACIONA 89
6.1. Necesidad de un cambio de paradigma ............................................................ 89
6.2. Sistemas, modelos, técnicas y tácticas para el análisis y detección de las
ciberamenazas a desarrollar por la Policía Nacional .................................................. 91
7. CONCLUSIONES .................................................................................................. 95
7.1. Respuesta a la hipótesis planteada ................................................................... 95
7.2. Nuevas líneas de investigación ...................................................................... 100

VI
8. LISTADO DE ABREVIATURAS Y SIGLAS ..................................................... 101
9. AUTORIZACIÓN PARA USO DOCENTE ........................................................ 105
10. BIBLIOGRAFÍA ............................................................................................... 107
11. ÍNDICE DE ILUSTRACIONES Y TABLAS .................................................. 125
11.1. Ilustraciones ............................................................................................... 125
11.2. Tablas ......................................................................................................... 125

VII
VIII
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 1
Guerra Híbrida.

1. INTRODUCCIÓN
1.1. Justificación y objetivos

“No hay nada más difícil de emprender, ni más peligroso de llevar a cabo, ni más incierto
de hacer triunfar, que tomar la iniciativa en la introducción de un nuevo orden de cosas”
(Maquiavelo, 2012).

Ya en 2012, en un editorial del Wall Street Journal, el por entonces presidente de EEUU
advertía de la ciberamenaza como uno de los mayores y más graves desafíos a los que
nos enfrentamos (Obama, 2012). Pero no ha sido hasta la proliferación de titulares sobre
robo de información, campañas de influencia en procesos electorales, ciberespionaje y
filtraciones dirigidas como una forma de guerra híbrida, que no se empieza a asumir el
verdadero paradigma.

El mayor riesgo para la seguridad en internet no son ya los delincuentes informáticos, que
es donde hasta ahora se ha puesto el acento desde la Dirección General de la Policía.
Dicha atención brindada al delito informático, como adaptación al cambio tecnológico de
los grupos criminales, terroristas e individuos aislados, se ha explicitado a nivel
estructural con la creación de una Unidad Central de Ciberinteligencia y a nivel
formativo, con la inclusión de la metodología de investigación del ciberdelito dentro del
plan formativo de la Escuela Nacional de Policía. Sin embargo, en la actualidad el Centro
Criptológico Nacional pone de manifiesto que “la mayor amenaza para la ciberseguridad
nacional la constituyen las acciones dirigidas por los Estados” (Quintana, 2018).

Es flagrante que no se están adoptando los pasos ni medidas necesarias a nivel

internacional, nacional, ni desde el ámbito competencial que nos ocupa, el de la DGP,
para prevenir lo que algunos denominan un potencial “apocalipsis virtual” (Crosston,
2012). Sin necesidad de caer en tales tremendismos, el objetivo del presente trabajo se
centra en destacar el papel que la Policía Nacional ha de asumir en la respuesta a la guerra
económica, informacional, cibernética, en definitiva, en la guerra híbrida en la que
estamos inmersos.

Por lo tanto, sea cual sea la visión que se abrace, la más holística o más restrictiva, un
análisis de la amenaza, realista y comprometido con nuestra misión constitucional
conduce irremediablemente a asumir la necesidad de tomar las medidas necesarias para
estar a la altura de los requerimientos que se nos plantea como agencia de seguridad.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 2
Guerra Híbrida.

Desde las Fuerzas y Cuerpos de Seguridad del Estado, y concretamente desde la Policía
Nacional, se ha de tomar el pulso al reto que las ciberamenazas suponen para la Seguridad
Nacional.

La complejidad del tema a analizar es evidente, tanto desde el punto de vista técnico como
estratégico; no obstante, se tratará de salvar los escollos técnicos para llegar a lo esencial:

- tomar conciencia de que, hasta el presente, el recurso a la guerra era la última

ratio. Ahora ha quedado difuminado el límite entre guerra y paz, instaurándose lo
que se denomina “zona gris” (Michael Green, 2017) o una “nueva normalidad
basada en conflictos híbridos” en palabras del Informe Anual de Seguridad
Nacional (Presidencia del Gobierno, 2018),
- de las amenazas y activos implicados y
- del papel de la Policía Nacional en la salvaguarda de estas agresiones que
violentan los marcos de convivencia, derechos fundamentales y servicios
esenciales.

1.1.1. Relevancia social del tema elegido

La problemática y tratamiento del presente trabajo, deriva de la democratización y

disrupción tecnológica en la que estamos inmersos a todos los niveles, social, político,
económico, civil y militar. Los hábitos digitales nos abocan hacia una vulnerabilidad
hasta ahora desconocida.

No sólo la dependencia tecnológica es absoluta, sino que centramos nuestra actividad

en dispositivos (como los smartphones), en plataformas (el Internet de las Cosas) o en
aplicaciones sobre los que no tenemos ningún control y cuya seguridad es casi nula,
bien por negligencia, bien por las presiones de algunos Estados para que estas
vulnerabilidades se mantengan y obtener así una ventaja que puedan explotar
(Quintana, 2018).

Se evidencia así el necesario debate que se abre en cuanto al impacto de los derechos y
libertades fundamentales. Lo que hasta ahora se concebía como inviolable, tras décadas
de lucha en pro de la conquista de derechos y libertades individuales, empieza a perfilarse
de nuevo como una utopía.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 3
Guerra Híbrida.

Programas de vigilancia masiva de las agencias de inteligencia punteras de los principales

actores estatales violan sin restricción la privacidad del individuo, el secreto de sus
comunicaciones y el derecho a no ser investigado preventivamente. Las potencialidades
de influencia del individuo con plataformas amplificadoras de noticias, la desigualdad
tecnológica, la pobre gestión y regulación de la información, así como el fenómeno de la
desinformación y las fake news. La inexistente gobernanza tecnológica, la crisis de
confianza institucional. Todos estos aspectos ponen de manifiesto la necesidad de que la
sociedad tome conciencia del alcance de estas ciberamenazas y de los riesgos de
vendernos convirtiéndonos en los productos de esas supuestas aplicaciones gratuitas, que
se nutren con nuestras informaciones más íntimas.

Precisamente se va a ir evidenciando cómo el tratamiento de una política de

ciberseguridad efectiva pasa por una labor de sensibilización ciudadana, como destaca el
Informe Anual de Seguridad Nacional de 2018 (Presidencia del Gobierno, 2018).

1.1.2. Importancia gubernamental, política y jurídica

Hace tiempo que se advierte sobre un “ciber-Pearl Harbor”, un ataque digital masivo que
podría paralizar la infraestructura crítica del país sin que se dispare una sola bala. En
EEUU las comisiones presidenciales, los informes del Departamento de Defensa y las
investigaciones del Congreso han estado llamando la atención sobre ese riesgo durante
décadas. En 1984, la administración Reagan advirtió de los “importantes desafíos de
seguridad” de la próxima era de la información.

En verano de 2018, Dan Coats, director de inteligencia nacional, dijo de tales amenazas,
“las luces parpadean en rojo” (Miller, 2018). En marzo de este año El País publicaba “El
Ministerio de Defensa atribuye a una potencia extranjera el ciberataque contra su red
interna descubierto a primeros de marzo. Los responsables de la investigación se basan
en la complejidad del ciberataque para descartar la autoría de hackers o ciberactivistas y
sostener que hay un Estado detrás” (González M. , 2019).

El ciberespacio no es, como a menudo se piensa, simplemente parte de los bienes

comunes globales en la forma en que lo es el aire o el mar. Los Estados afirman su
jurisdicción y las compañías reclaman la propiedad de la infraestructura física que
compone Internet y los datos que la atraviesan. Los Estados y las empresas construyeron
Internet, y ambos son responsables de mantenerlo. Las acciones tomadas en el sector
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 4
Guerra Híbrida.

público afectan al sector privado, y viceversa. De esta manera, Internet siempre ha sido
de naturaleza híbrida.

Es necesaria una ciberdoctrina nacional. Es el enlace entre estrategia y la ejecución de

las misiones del sector de seguridad nacional. La doctrina puede ser tradicionalmente
una noción militar, pero a todos los niveles se reconoce la sabiduría de establecer
principios de guía. Una ciberdoctrina nacional puede ser un vehículo para definir las
funciones de los departamentos y las agencias para todo el gobierno. Al contrario que
una orden ejecutiva presidencial o una directiva del Consejo de Seguridad Nacional,
una doctrina se desarrolla de una forma abiertamente en colaboración (Young, 2010).

La inercia de la vida política e institucional y la rigidez conceptual y doctrinal están

derivando en escollos que impiden la reforma de la política en general, de la
ciberseguridad y la aparición de nuevas ideas. Se pretende con el presente trabajo abrir
un espacio de reflexión y debate desde nuestra área de influencia, el Ministerio del
Interior.

1.1.3. Importancia del tema para la Policía Nacional

La Estrategia de Seguridad Nacional de 2017 destaca la ciberseguridad como objetivo

general dentro de las dinámicas transformativas de la seguridad, tanto a escala global
como doméstica. En el marco de esta última actualización de la ESN, se ha acordado en
2018 un Acuerdo para redacción de una nueva Estrategia de Ciberseguridad. Y así como
la ciberseguridad se incardina en la visión global de Seguridad Nacional, del mismo
modo, la ciberdefensa no puede concebirse y menos ejecutarse como un compartimento
estanco. La ciberdefensa debe incardinarse en la Defensa Nacional, entendiendo por tal,
tanto la Defensa Militar, la Defensa Civil, la protección de las infraestructuras críticas y
la lucha contra las organizaciones criminales y terroristas (Feliu L. , 2012).

Puede ser tentador, precisamente desde nuestra corporación, el restarle trascendencia

práctica al tema objeto de este TFM por el sutil rechazo que supone la complejidad
inherente del manejo de las nuevas tecnologías, no obstante, no es preciso detenerse en
exceso en estadísticas e informes para irremediablemente asumir las cifras que encarna la
ciberdelincuencia y el ciberespionaje. Datos que indican que “es sólo cuestión de tiempo
el enfrentarse a ciberataques serios contra las Infraestructuras Críticas (IC)” (Caro, 2011).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 5
Guerra Híbrida.

Dos cuestiones han de quedar claras.

En primer lugar, la Guerra Híbrida, o
ciberguerra, en sus diversas
dimensiones, se configura como una
guerra que se libra en las ciudades. En
segundo lugar, tiene como principales
activos, el ciudadano y las
1 Incidentes gestionados por el CCN-CERT 2012-2018 infraestructuras críticas. Y siendo los
tres elementos competencia exclusiva de la Policía Nacional, una aproximación al tema
que trate de percibirlo en toda su complejidad es crucial para la realización de la misión
que constitucionalmente se le ha otorgado a la Policía Nacional como garante, no ya de
los derechos y libertades del ciudadano y de la seguridad nacional en abstracto, sino
también de las IC. No en vano, el salto evolutivo en el tipo de amenaza a la ciberseguridad
lo supuso un gusano informático, un malware bautizado como Stuxnet, que atacó con
éxito un equipo industrial. “Stuxnet básicamente cambia la naturaleza de la ciberguerra”
(Shakarian, 2012). Así, cuando en 2012 Obama alertaba sobre las ciberamenazas, el
espectro de analistas de ciberseguridad evidenciaba que tras el virus Stuxnet (el primer
malware con potencialidad real de afectar físicamente una IC, y que destruyó 1.000
centrifugadoras en 2010 en la central nuclear de Natanz, Irán) operaban servicios de
inteligencia de EEUU e Israel. “Tras cumplir su objetivo, Stuxnet continuó propagándose
de forma incontrolada” (Quintana, 2018).

El Centro Criptológico Nacional (CCN)

gestionó en 2018 exactamente 38.192
ciberataques, de los cuales el 57%
contra redes de las administraciones
públicas. El Instituto Nacional de
Ciberseguridad (Incibe) hizo frente, por
su parte, a 111.519 incidentes. 722
5 Tipología de incidentes en 2018 afectaron a operadores estratégicos
críticos, los cuales no son otra cosa que gestores de servicios esenciales. En los últimos
cinco años, estos operadores críticos han sido diana de más de 2.300 ataques. “Los
sectores financiero, energético y de transportes suman más de la mitad de los casos”
(González M. , 2019).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 6
Guerra Híbrida.

Las amenazas a las IC en tiempos de contienda no es un fenómeno nuevo; no obstante, el

estado de la cuestión actual se configura como aquel en el que las amenazas se erigen,
igualmente, en tiempos de paz. Para ser más precisos, diremos en este pretendido estado
de paz, que está lejos de ser la realidad del escenario internacional.

La propia ESN de 2017 destaca cómo los límites entre guerra y paz han quedado
difuminados (Presidencia del Gobierno, 2017). Vamos siendo testigos impertérritos de
cibersabotajes o ciberataques que llenan las páginas táctiles de nuestros diarios digitales.
Ataques sustancialmente más fáciles y baratos que los ataques físicos. Ante tal estado de
cosas Feliu propone que “más que intentar una protección total, cosa muy difícil, lo que
debe preverse es una buena gestión de crisis” (Feliu L. , 2012). Por ello y por la
improcedencia de concebir la ciberdefensa como un ámbito aislado, el desarrollo del
presente trabajo nos va a ir conduciendo a la idea de que la Policía Nacional ha de
empoderarse asumiendo la responsabilidad que le corresponde en el actual escenario.
Ante una situación de guerra híbrida, las respuestas han de ser igualmente híbridas,
debiendo superarse el monopolio del Ministerio de Defensa en cuanto a la ciberdefensa
nacional.

1.1.4. Objetivo del trabajo y preguntas investigativas

El objetivo genérico que se ha pretendido abordar con la elección del tema de estudio del
presente trabajo es la comprensión, evaluación y análisis de la compleja realidad que nos
ocupa.

Como objetivo específico lo que se pretende es dar respuesta a la pregunta que enuncia
el título del trabajo: ¿Cuál es el papel de la Policía Nacional en el contexto de la Guerra
Híbrida, también llamada Ciberguerra o Guerra Asimétrica?

Dicha cuestión obliga a plantearnos una serie de sub-preguntas previas que se irán
abordando a lo largo del trabajo.

- ¿Son las definiciones tradicionales sobre el concepto de guerra aplicable a lo que

está pasando en Internet en el presente? ¿Pueden los conceptos históricos ser
aplicados al mundo virtual?
- ¿La perspectiva militar sigue siendo la adecuada para enfrentarnos al nuevo statu
quo? ¿Estamos realmente ante un nuevo escenario, o la forma de los
enfrentamientos no es lo que ha evolucionado, sino la forma en la que los vivimos?
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 7
Guerra Híbrida.

- ¿Es suficiente la adaptación a la nueva realidad del marco regulatorio existente o

necesitamos nuevas normas internacionales para los nuevos retos globales? ¿Se
puede considerar legitimación suficiente un ciberataque para el uso de la fuerza
conforme a la carta de Naciones Unidas? ¿Tenemos respuestas ante los nuevos
retos?
- ¿Cuál es el papel de la Policía Nacional en este nuevo escenario? ¿Qué respuestas
y medidas han de adoptarse desde la Policía Nacional?

1.2. Metodología

Los métodos de investigación implementados para la realización del presente trabajo son
fundamentalmente de carácter cualitativo dada la naturaleza de la problemática objeto de
estudio y la hipótesis que se pretende responder, que no se ajusta a formulaciones
matemáticas, ni siquiera estadísticas. Futuras líneas investigativas, pueden ser
susceptibles de métodos de investigación de carácter cuantitativo; no obstante, esta
primera aproximación a la guerra híbrida y al papel a desarrollar en la misma por parte
de la Policía Nacional, demanda un análisis holístico, detallado, comparado y no
generalizable de los distintos escenarios y dinámicas. La aproximación científica a una
investigación de tal carácter puede llevarse a cabo desde un punto de vista descriptivo,
interpretativo o prescriptivo, siguiendo la teoría del Data Analytics. La voluntad puesta
en el diseño del trabajo ha sido la de aunar las tres visiones. En primer lugar, se ha tratado
de ofrecer un entendimiento del state of the art del objeto de estudio; en segundo lugar,
una interpretación de tal realidad desde el punto de vista de los agentes de seguridad; y
finalmente, analizada la necesidad de aprovechar la realidad descrita como una
oportunidad futura para la PN, una propuesta de respuesta estratégica.

1.3. Técnicas de obtención y análisis en fuentes abiertas

Fundamentalmente la elaboración de este trabajo se ha basado en el análisis de fuentes

abiertas. Para adquirir conocimiento en un tema desconocido, pero del que la cantidad de
datos e información disponible es abrumadora por ser un tema de actualidad, se consideró
necesario la planificación de un método de trabajo para la gestión y tratamiento de tal
volumen de información. Se decidió acudir a la metodología que se sigue en el mundo de
la inteligencia, en la fase de obtención de información. En primer lugar, se debía plantear
la pregunta adecuada, eje de la investigación del trabajo. Para ello se siguió la técnica de
la tormenta de ideas, útil en el proceso de comprensión de las distintas aristas del
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 8
Guerra Híbrida.

problema para poder así proceder a centrarlo. En segundo lugar, se procedió a la

preparación de la obtención de información, creando una base de datos con fuentes
solventes a las que acudir, así como a la gestión documental, diseñando un método de
recopilación de la información por materias que permitiese la posterior consulta y manejo.
Tras esta preparación de la obtención, se procedió a la lectura y estudio de diversas fuentes
relacionadas con el tema de estudio: historia, guerra híbrida, ciberguerra,
ciberinteligencia, análisis de redes sociales, técnicas OSINT, actualidad geopolítica,
informática, etc. Se ha acudido a la lectura de libros especializados, revistas académicas
y científicas, especialmente el Real Instituto Elcano, el Instituto Español de Estudios
Estratégicos, el Grupo de Estudios de Seguridad Internacional, Monografías de la Escuela
de Altos Estudios de la Defensa, así como publicaciones gubernamentales e informes de
organismos públicos nacionales e internacionales y consultoras privadas. También se ha
consultado publicaciones de diversos think-tanks en la materia como Thiber, medios de
comunicación, páginas webs, blogs y la asistencia a jornadas y cursos tanto on line, a
través de la plataforma Coursera, como presenciales.

1.3.1. Dificultades

Como se apuntaba, la cantidad de información de la materia es casi inmanejable. Ha

resultado complicado llegar a una comprensión aceptable de una realidad marcada por su
complejidad, por su grandilocuencia periodística que dificulta llegar a la profundidad de
la cuestión, por su dinamismo y por su carácter vivo, dado que diariamente las noticias
abruman con información sobre ciberataques, fake news y operaciones de influencia.

Por otro lado, hay que señalar que la evaluación, por supuesto, se basa únicamente en
ataques conocidos. Existe oscurantismo en la materia: Estados que realizan operaciones
encubiertas y secretas, empresas que no informan de que han sido atacadas, malware
cuyos efectos no se manifiestan hasta pasados años, etc. Por otro lado, se da el problema
de que la atribución es a menudo difícil, lo que dificulta el análisis del escenario
geopolítico. Desde el punto de vista forense, es difícil distinguir los ataques de los estados
nacionales de los de los grupos independientes, incluso más cuando China y Rusia utilizan
piratas informáticos estatales y también pagan freelancers cuando obtienen acceso a
sistemas útiles. Todo ello supone un gran escollo para la investigación de una realidad
política, geoestratégica, social y económica de la que sólo alcanzamos a ver la punta del
iceberg, en medio de una intriga y misterio casi literarios.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 9
Guerra Híbrida.

2. MARCO TEÓRICO
Nos encontramos ante una realidad en estado de ebullición que dificulta enormemente la
tarea, por otro lado, crucial, de lograr una definición precisa de Ciberguerra. De hecho,
permanece abierto el debate sobre los dos conceptos que forman el presente neologismo.

En este capítulo trataremos de exponer cómo el concepto de guerra está cambiando,

haciendo un recorrido por la evolución del mismo.

2.1. El devenir conceptual del fenómeno cambiante de guerra

“El que sabe hacer la guerra, vence al enemigo sin luchar, conquista ciudades sin batallar
y debela reinos sin alargar operaciones”. (Sun Tzu, 140 a.c.)

“The surest way to prevent war is to be prepared to win one”. (U.S. Secretary of Defense
Jim Mattis, 2017) (Foster, 2019)

No se puede entender la historia de la humanidad sin asumir como consustancial al ser

humano la guerra o conflicto armado. De hecho, el conflicto per se ha llegado a ser
considerado por filósofos como Kant, Marx y Hegel como el motor del progreso.

Dada la variedad de definiciones de tal concepto, nos ceñiremos a la más sencilla; es

decir, conflicto como lucha de intereses. Dicha violencia ejercida, para imponer
voluntades o resolver disparidades, se irá tecnificando y colectivizando hasta dar lugar a
combates y conflictos, en primer lugar, en espacios terrestres, luego navales, para seguir
los combates en el ámbito aéreo y posteriormente en el espacio. A estos cuatro dominios
tradicionales, en los que el ser humano ha luchado por poseer, monopolizar y beneficiarse,
se ha añadido un quinto dominio, el ciberespacio.

Las contiendas, además de evolucionar en cuanto al medio físico donde tienen lugar, lo
han hecho en cuanto al modo, a la técnica y participantes. El militar e historiador alemán
Cari von Clausewitz destaca el carácter cambiante, incluso camaleónico, de dicho
fenómeno cuya evolución queda atestiguada por varios acontecimientos:

- Con el término guerra ya formalmente en uso, la Paz de Westfalia (1648) impuso

la obligación de que los conflictos armados sólo pudiesen librarse entre Estados,
o derivados de un Estado que contase con los elementos que le configuran como
tal, previa la pertinente declaración de guerra.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 10
Guerra Híbrida.

- Un concepto importante presente desde la Grecia clásica, pero que emergerá con
el nacimiento del Derecho Internacional, es el de guerra justa (ius ad bellum).
Concepto teológico-político que, si bien ya está presente en la obra de Cicerón,
desarrollarán San Agustín y Tomás de Aquino hasta configurarse como una
premisa fundamental de la realpolitik de Clausewitz. Supondrá un hito su
afirmación de la guerra como continuación de la política por otros medios (De la
Guerra, 1832).
- El nacimiento del Derecho Internacional Público moderno, con los Convenios de
Ginebra (1864-1949) y las Conferencias de La Haya (1899 y 1907), supuso la
reglamentación de la guerra, a un cierto nivel, así como la protección de los
prisioneros de guerra, heridos y población civil. Lo que hoy conocemos como
Derecho Internacional Humanitario y Derecho Internacional del conflicto Armado
(Feliu L. , 2012).

No obstante, tras la Segunda Guerra Mundial, vía la Carta de Naciones Unidas, los países
firmantes renuncian a la guerra, salvaguardando, pese a ello, el derecho a la legítima
defensa y a las medidas necesarias para mantener y restablecer la paz de la mano de la
Organización de Naciones Unidas (ONU).

A raíz de un artículo firmado por William Lind en 1989 titulado “The Changing Face of
War: Into the Fourth Generation”, surge la teoría de las cuatro generaciones de guerra.

- Las guerras de Primera Generación surgen con la aparición de las armas de fuego
y tienen como piedra angular las guerras napoleónicas. La característica de esta
tipología inicial consiste en formaciones lineales, contienda entre masas de
hombres y orden en el campo de batalla.
- La Segunda Generación resulta de la Revolución Industrial con lo que supuso de
avance técnico en los medios empleados en el campo de batalla. Se empleaban
ingentes recursos por las potencias en contienda, tanto en cuanto a la movilización
de masas de hombres como desde el punto de vista armamentístico como se
observa en la Primera Guerra Mundial, contienda que caracteriza dicha etapa.
- La Tercera Generación supone una guerra de maniobra, en la que la estrategia se
basa en el aprovechamiento de las debilidades del dispositivo antagonista para
anular su capacidad operativa sin necesidad de destruirlo físicamente, siendo
paradigmático la técnica de blitzkrieg desarrollada durante la Segunda Guerra
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 11
Guerra Híbrida.

Mundial, la descentralización de las acciones tácticas y las órdenes tipo misión

que supuso el fin de ese cierto orden en el campo de batalla de las generaciones
anteriores.
- La Cuarta Generación supone el clímax de lo que ya se fue gestando en esa
evolución del fenómeno, la expansión del campo de batalla. La contienda va a
alcanzar a la totalidad de la sociedad, su base cultural y opinión pública, operando
desde el punto de vista táctico mediante ágiles actuaciones llevadas a cabo por
elementos de pequeña entidad. Se llega así a una situación en la que los límites
entre guerra y paz, entre civiles y militares, entre frentes, se difumina. En esta
Cuarta Generación los avances tecnológicos se caracterizan por el desarrollo de
las tecnologías de la información y por el empleo de nuevas formas de energía,
apareciendo la asimetría como su característica definitoria y “la llave de judo”
como modus operandi, con el aprovechamiento de las fortalezas del oponente en
beneficio propio (Fojón, 2005).

Así, en las últimas décadas somos testigos de una nueva tipología de conflictos armados,
la denominada guerra asimétrica. Si bien desde tiempos bíblicos el débil se ha valido de
artificios para enfrentarse a su Goliat, mediante la guerra de guerrillas, por ejemplo, en la
actualidad se está imponiendo este tipo de conflictos asimétricos en el que una de las
partes contendiente supera en poderío tecnológico a la parte atacante, que pese a estar en
inferioridad de condiciones, le mantiene en jaque. Siendo capaz de ocasionarle graves
pérdidas e incluso imponerle sus objetivos estratégicos, al lograr alargar los conflictos
indefinidamente, “minando la voluntad de seguir luchando en el seno de las sociedades y
entre las élites políticas de los Estados occidentales” como viene ocurriendo (Baqués,
2015).

La Doctrina de Empleo de Fuerzas Terrestres define la guerra asimétrica como aquella

que “se produce entre varios contendientes de capacidades militares normalmente
distintas y con diferencias básicas en su modelo estratégico” (Ramírez, 2012). Así pues,
en estas guerras, la misma naturaleza de guerra difiere para las partes contendientes. Los
medios, tamaño, el mero hecho de la identificación del adversario, los métodos no
convencionales de hacer la guerra e incluso las reglas bélicas y la existencia o ausencia
de sometimiento a normas tanto nacionales como internacionales por las diferentes partes.
Se emplea, asimismo, desde la tesina de Robert Walker en 1998, el término “guerra
híbrida” señalando que en esta tipología se desdibuja la distinción entre guerra, el crimen
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 12
Guerra Híbrida.

organizado y las violaciones masivas de los derechos humanos (López-Jacoiste, 2015).

La idea que subyace es el concepto inglés de blurring, traducible como difuminación entre
guerras convencionales y guerras irregulares (Baqués, 2015).

Dice Herfried Munkler (2003):

Las guerras del siglo XXI no se librarán, en la mayor parte de los casos, con una
potencia de fuego masiva y enormes recursos militares. Tenderán a seguir librándose
a fuego lento, sin principio o final claro, mientras que la línea divisoria entre las partes
beligerantes, por un lado, y el crimen organizado, por otro, será cada vez más difusa.

Hay que destacar asimismo otro factor crucial y definitorio de los conflictos asimétricos
y es la línea discursiva, la dialéctica, las campañas de desinformación o fake news, como
arma empleada por el agente asimétrico.

“Una de las características más relevantes de las nuevas guerras es el aumento del
fenómeno terrorista como una táctica utilizada en los conflictos armados tanto regionales
como de nivel global” (Aznar, 2018). Y es que la violencia, hoy más que nunca, está
presente en los conflictos, no sólo como violencia física destinada a destruir o neutralizar
físicamente las personas, propiedades e instituciones de un Estado con objeto de imponer
su voluntad sobre él, sino también mediante acciones políticas, económica, psicológica,
mediáticas, electromagnéticas y actualmente, como se verá, cibernéticas, siempre con la
misma finalidad (Feliu L. , 2012).

Pero ante todo en la presente Era de la Información, Thomas X. Hammes en su “The

Evolution of War: The Fourth Generation”, afirma que la guerra toma la forma de netwar
de la que hablaban John Arquilla y David Ponfeldt en su libro “Networks and Netwars”.
Las guerras del presente son las que preconizaron en su libro, guerras libradas en las
densas redes de comunicaciones (Fojón, 2005).

2.2. Corrientes de pensamiento no occidentales respecto al concepto.

Como se está poniendo en evidencia, no hay cuerpo gubernamental alguno que clarifique
la definición aplicable. La definición de guerra está ausente en los documentos oficiales
internacionales y nacionales, con el consecuente resultado de que la definición dada en
cada momento dado va a depender de la perspectiva de la persona que realice el discurso
en cuestión. Gobiernos, compañías financieras, proveedores de Internet, corporaciones
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 13
Guerra Híbrida.

internacionales y abogados nos aportan diferentes aproximaciones del concepto según su

visión e intereses.

Así pues, se entiende necesario para la comprensión del tema en su complejidad, el

asomarnos brevemente a otras conceptualizaciones que promulgan los protagonistas no
occidentales. Puesto que como puso de manifiesto Walter Russell tras la anexión de
Crimea a Rusia, ha vuelto la multipolaridad, lo que supone el “retorno de la geopolítica”
(Russell, 2014) y el fin de la hegemonía occidental. La “creciente distribución del poder
relativo” (Jordán, 2018) impele a analizar las perspectivas de China y Rusia sobre el
objeto de estudio.

Los coroneles del Ejército Popular de China, Qiao Liang y Wang Xiangsui publicaron en
1999 un libro titulado “La guerra irrestricta” que supuso una revolución en el campo del
arte de la guerra. Liang afirma que “la primera regla de la Guerra Irrestricta es que no hay
reglas, nada está prohibido”. Evidentemente tales aseveraciones no dejaron indiferentes
a EEUU, donde tras la conmoción del 9/11 se publicó una edición del libro titulado
“Guerra Irrestricta: el plan maestro de China para destruir América”.

En la óptica de los coroneles “la guerra se desborda fuera del campo de batalla y los
métodos empleados se multiplican a todos los ámbitos de las naciones y la tecnología”
(Izquierdo, 2007). Liang & Xiangsui se planteaban la siguiente pregunta:

¿Qué es la Guerra Irrestricta? Son ataques integrados explotando diversas áreas de

vulnerabilidad:

- Guerra Cultural, controlando o influenciando los puntos de vista culturales de la

nación adversaria.
- Guerra de las Drogas, invadiendo a la nación adversaria con drogas ilegales.
- Guerra de la Ayuda Económica, empleando la dependencia a la ayuda financiera
para controlar al adversario.
- Guerra Ambiental, destruyendo los recursos ambientales a la nación adversaria.
- Guerra Financiera, subvirtiendo o dominando el sistema bancario del adversario
y su mercado de valores.
- Guerra de las Leyes Internacionales, subvirtiendo o dominando las políticas de las
organizaciones internacionales o multinacionales.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 14
Guerra Híbrida.

- Guerra Mediática, manipulando los medios de prensa extranjeros. Y guerra de

Internet, mediante el dominio o destrucción de los sistemas informáticos
transnacionales.
- Guerra Psicológica, dominando la percepción de las capacidades de la nación
adversaria.
- Guerra de Recursos, controlando el acceso a los escasos recursos naturales o
manipulando su valor en el mercado.
- Guerra de Contrabando, invadiendo el mercado del adversario con productos
ilegales.
- Guerra Tecnológica, ganando ventaja en el control de tecnologías civiles y
militares claves (Baqués, 2018).

No obstante, en nuestro ámbito occidental ha obtenido mayor rédito las teorías del Jefe
de Estado Mayor de la Defensa ruso, el general Valery Gerasimov.

A raíz de un artículo publicado en 2013 en la revista rusa VPK y actualizado en 2017, en

el que recoge sus reflexiones sobre la naturaleza de los conflictos venideros, el general
destaca la mutación de dicha naturaleza. Por tanto, la mutación del concepto mismo de
guerra. Además de destacar la aparición de métodos y fuerzas disímiles (sistemas
robóticos y vehículos aéreos no tripulados), enfatiza la conquista de la superioridad de la
información como condición indispensable para las operaciones de combate, mediante el
empleo de medios de comunicación y redes sociales. Al mismo tiempo se utilizan fuerzas
y medios de información-psicológica y de información-influencia técnica. La
combinación de estos métodos ha recibido el nombre de “guerra híbrida”, en la que las
acciones implementadas no caen bajo la definición de agresión en términos de la OTAN.

El general afirma que es obvio que la línea entre guerra y paz se haya difuminado. El
reverso de las acciones híbridas es una nueva percepción del tiempo de paz en el que no
se aplican medidas militares u otras acciones violentas de un estado a otro, pero en el que
las soberanías y la seguridad nacional están amenazadas y pueden ser violadas. Destaca
asimismo que el énfasis en el contenido de los métodos de confrontación está cambiando
hacia el uso generalizado de medidas políticas, económicas, diplomáticas, informativas y
otras medidas no militares implementadas con la inclusión del potencial de protesta de la
población. Se produce una sincronización de métodos y formas de acción impulsada por
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 15
Guerra Híbrida.

la ausencia de las restricciones tradicionales del sistema político occidental, “que retrasa
la respuesta y burocratiza la gestión de conflictos” (Morales, 2017).

Llama la atención cómo el general en sus reflexiones publicadas en 2017, sobre la base
del informe “Guerras modernas y problemas actuales en la defensa del país” entregado
en la reunión general de la Academia de Ciencias Militares, proclama a modo de
recordatorio: “La victoria siempre se logra no sólo por el material, sino también por los
recursos espirituales de las personas, su cohesión y el deseo de resistir la agresión por
todos los medios”. Como señala Samuel Morales (2017), vemos que “para Gerasimov,
las acciones híbridas permiten configurar el teatro de operaciones antes de la intervención
de los medios militares tradicionales”.

2.3. Conceptos ciber

2.3.1. Término ciber

La palabra ciber proviene del verbo griego antiguo κυβερεω (kybereo) “dirigir, guiar,
controlar”. Cuando se habla del término en sí, puede referir conceptos variados como,
ciberseguridad, operaciones de redes informáticas, guerras electrónicas o cualquier idea
que tenga que ver con redes. No obstante, no existe una definición oficial de cyber.

Si acudimos al glosario desarrollado por la CCDCOE (NATO Cooperative Cyber

Defence Centre of Excellence), para hacer frente a esta ambigüedad, encontramos cómo
desde este Centro de Excelencia de Tallinn, se trata de perfilar una aproximación a lo
cyber desde las diferentes interpretaciones estatales (International Group of Experts,
2013).

Así, a título de ejemplo Finlandia en su Estrategia Nacional de Ciberseguridad establece

que la palabra “ciber” es, casi invariablemente, el prefijo de un término o el modificador
de una palabra compuesta, en lugar de una palabra independiente. Su inferencia
generalmente se relaciona con el procesamiento electrónico de información (datos),
tecnología de la información, comunicaciones electrónicas (transferencia de datos) o
información y sistemas informáticos. Sólo el término completo de la palabra compuesta
en sí mismo puede considerarse que posee un significado real.

El Tallinn Manual en el International Law Applicable to Cyber Warfare (2013) indica

que la palabra denota la relación con la tecnología de la información (International Group
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 16
Guerra Híbrida.

of Experts, 2013). Con el nombre de ciberespacio se conoce al espacio artificial creado

por el conjunto de Sistemas de Información y Telecomunicación que utilizan las
Tecnologías de la Información (informática) y las Comunicaciones (telecomunicaciones)
o TIC.

Sin embargo, como ocurre con los términos analizados hasta ahora tampoco existe una
definición clara de ciberespacio. El mismo dependerá de la perspectiva que se tome en
consideración y del estado de la tecnología.

Por su parte, nuestra Estrategia de Ciberseguridad Nacional recoge en su capítulo primero

el concepto como “el nombre por el que se designa el dominio global y dinámico
compuesto por las infraestructuras de tecnología de la información -incluida Internet-, las
redes y los sistemas de información y de telecomunicaciones” (Presidencia del Gobierno,
2013).

Sería importante la existencia de un acuerdo en cuanto a su significado, puesto que el

ciberespacio, entendido como nuevo Global Common, se configura como un espacio
estratégico crucial para la Seguridad Nacional. En 2016, el ciberespacio fue declarado por
los miembros de la Alianza Atlántica como el cuarto espacio de operaciones militares
junto con las dimensiones tradicionales tierra, mar, aire (Espona, 2018).

“El Departamento de Defensa de EEUU declara oficialmente el ciberespacio como campo

de operaciones donde se hace necesario organizarse, equiparse y entrenarse”. “EEUU ha
militarizado la Red al considerar ésta como el quinto espacio de batalla” (quinto, puesto
que a las tres dimensiones que señala la OTAN -tierra, mar, aire- se añade el espacio)
(Enríquez, 2012). No obstante, Feliu (2012) insiste en que:

El ciberespacio es mucho más que Internet, más que los mismos sistemas y equipos,
el hardware y el software e incluso que los propios usuarios, es un nuevo espacio, con
sus propias leyes físicas que a diferencia de los demás espacios, ha sido creado por el
hombre para su servicio.

2.3.2. Ciberseguridad

La Unión Internacional de Telecomunicaciones (UIT) en la recomendación UIT-T

X.1205 (04/2008) del área de “Seguridad en el ciberespacio-ciberseguridad” revisada y
mantenida en 2010, define la ciberseguridad como:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 17
Guerra Híbrida.

El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de

seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas
idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la
organización y los usuarios en el ciberentorno. Los activos de la organización y los
usuarios son los dispositivos informáticos conectados, los usuarios, los
servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones
multimedios, y la totalidad de la información transmitida y/o almacenada en el
ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las
propiedades de seguridad de los activos de la organización y los usuarios contra los
riesgos de seguridad correspondientes en el ciberentorno. Las propiedades de
seguridad incluyen una o más de las siguientes: disponibilidad, integridad, la
autenticidad y el no repudio y la confidencialidad (UIT-T, 2008).

2.3.3. Cyber warfare

Más de 30 países han aceptado la doctrina de la Ciberguerra y han anunciado el desarrollo

de un programa especial de mecanismos ofensivos de guerra cibernética. Sin embargo,
para definir “cyber warfare”, de nuevo no podemos acudir a una fuente autorizada. Como
pone de manifiesto la Estrategia de Ciberseguridad de Montenegro publicada en 2017,
estamos ante un término no especificado y controvertido que no tiene una definición
oficial o generalmente aceptada.

Por su parte la Estrategia de Ciberseguridad de Austria, publica en 2013 que la ciberguerra

se refiere a actos de guerra dentro y alrededor del espacio virtual con medios que están
asociados predominantemente con la tecnología de la información. En un sentido más
amplio, esto implica el apoyo de campañas militares en espacios operacionales
tradicionales, es decir, tierra, mar, aire y espacio exterior, a través de medidas tomadas en
el espacio virtual. En general, el término también se refiere a la guerra de alta tecnología
en la era de la información basada en la extensa informatización, la electronización y la
creación de redes de casi todos los sectores y temas militares.

2.4. Características de la ciberguerra

Cerramos el capítulo una vez definidos los conceptos, con las características del nuevo
escenario de guerra híbrida o ciberguerra:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 18
Guerra Híbrida.

 Los ciberataques, acciones, ciberoperaciones ofensivas, suponen amenazas

globales cuyos efectos pueden alcanzar a todos los ciudadanos, instituciones,
empresas y gobiernos, incluso aunque no estén conectados. Se configura así
dentro del paradigma de la Guerra Total.
 La cibervigilancia global, las nuevas formas de censura que se apoyan en la
tecnología, la merma de derechos y libertades con los sistemas de rastreo de las
empresas, la dependencia tecnológica y el uso masivo de aplicaciones y
herramientas sobre las que no tenemos ningún control. Todo ello involucra
asimismo a ciudadanos, al sector empresarial y al sector público. Paradigma de la
Guerra Total.
 La eficacia de las ciberoperaciones es enormemente alta en relación con el relativo
bajo coste que supone. No se necesita una gran infraestructura, recursos, ni
despliegue para comprometer una infraestructura crítica e inutilizar un servicio
esencial. Característica de la Guerra Asimétrica.
 En la ciberguerra los contendientes son difusos. Existe el complejo problema de
la atribución, el probar de manera fehaciente la autoría de un ciberataque debido
a la gran posibilidad de anonimato que proporciona la red. “La atribución es
siempre difícil porque se hace siguiendo los patrones de comportamiento del
atacante o analizando el software, y esto es algo que se puede imitar”, explica Joel
Brenner, que a lo largo de su carrera ha trabajado como jefe de contrainteligencia
de EE UU e inspector general de la NSA (Luengo, 2018). Organizaciones como
Shadow Brokers han hecho públicas herramientas utilizadas por los Estados que
están siendo usadas ahora por organizaciones criminales. Así que ahora, cuando
vemos un ataque grave, es difícil dilucidar si detrás hay un Estado, hackers o
criminales usando las mismas herramientas.

Podemos afirmar, por tanto, que la ciberguerra aúna los paradigmas de guerra total, guerra
asimétrica y guerra híbrida, configurándose además como una guerra pérfida, lo que la
convierte en especialmente peligrosa (Hidalgo, 2013). No en vano la perfidia se prohibió
en el art. 37 del I Protocolo Adicional a los Convenios de Ginebra, de 12 de agosto de
1949 (Pérez C. , 2014).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 19
Guerra Híbrida.

3. STATU QUO. LAS NUEVAS TECNOLOGÍAS DISRUPTIVAS.

AMENAZAS.
“No sé cómo será la tercera guerra mundial, sólo sé que la cuarta será con piedras y
lanzas” Albert Einstein (Rovira, 2017).

3.1. Statu quo.

El nuevo espacio geopolítico se perfila con un carácter post hegemónico, como ya señaló
Zbigniew Brzezinski, por la interdependencia que caracteriza al presente tablero mundial
(Brzezinski, 1997). Ninguna nación goza ya de la posición de guardián mundial que
abanderaron antaño, ni hay alianza duradera posible para asumir los retos del liderazgo
global. Como resalta Pedro Baños, los intereses de las naciones son volátiles y de ahí que
lo sean las alianzas, amistades y enemistades de países inmersos en una lucha perenne
por el poder, el dominio de recursos, personas y estatus (Baños, 2018).

La evolución del mundo unipolar al multipolar actual acarrea un reto para la seguridad
nacional e internacional. Afirma Samuel Morales (2017) que:

El nuevo orden mundial parece configurarse como una combinación de rivalidades

entre actores estatales tradicionales; disputas del poder por actores no estatales de
forma asimétrica, fundamentalmente de carácter violento, y desafíos constantes a los
centros tradicionales de poder y las relaciones entre ellos.

Rusia y China perfilan una alianza antioccidental poniendo en jaque, en demasiadas

ocasiones, el orden internacional vigente desde la guerra fría (Pardo, 2018).

Rusia está tratando de reconstruir su antiguo poderío en Asia, viéndose reforzado su

liderazgo estratégico. En iguales condiciones se encuentra China, encontrando el músculo
de su legitimidad en un Partido en el poder, que en cuatro décadas ha situado al país, de
las condiciones de miseria en la que se encontraba su población, a gozar de las
condiciones de poder erigirse en potencia mundial. Lo mismo se puede decir de Rusia y
del liderazgo de Putin al que no le tiembla el pulso a la hora de enfrentarse a Occidente
tornando en orgullo lo que antes era un país desmoralizado y arruinado, como se vio en
la crisis de Ucrania de 2014.

No podemos olvidarnos de otros polos geopolíticos situados en Iberoamérica, con Brasil

y México; y por otro lado África, cuyo primer socio comercial es precisamente China. A
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 20
Guerra Híbrida.

todo ello hay que sumarle el delicado contexto económico con visos de derivar en una
especialmente grave crisis financiera. (Baños, 2018)

En cuanto a la arena del

presente escenario, se
generaliza el término “zona
gris” del que habla Nicholas
Heras. Que no es más que una
forma elaborada y actualizada
de describir una condición de
conflicto humano que se
remonta a la antigüedad: el
estado entre la guerra y la paz,
donde los actores (estatales y
no estatales) buscan derrotar a
sus oponentes sin una actividad
militar extensa o sostenida.
Estos actores están recurriendo
cada vez más a las estrategias
9 Acciones y respuestas en la Zona Gris de la zona gris para evitar
enfrentamientos militares directos, costosos e insostenibles.

Por otro lado, el Foro Económico Mundial en su reunión de Davos de 2019 tiene como
reclamo “Globalización 4.0: Configuración de una arquitectura global en la era de la
Cuarta Revolución Industrial”. Klaus Schwab, fundador y presidente ejecutivo del Foro
Económico Mundial, describió la Cuarta Revolución Industrial notoriamente hace pocos
años. Las tres primeras revoluciones industriales son bien conocidas:

- La primera, de 1760 a 1840, trajo la máquina de vapor, los ferrocarriles y la

fabricación de máquinas.
- La segunda, de aproximadamente 1870 a 1914, nos dio electricidad y producción
en masa.
- La tercera, a menudo llamada revolución digital, abarcó las últimas décadas del
siglo XX y produjo semiconductores, computadoras e Internet.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 21
Guerra Híbrida.

- La Cuarta Revolución Industrial comenzó aproximadamente en el año 2000 y se

basa en la tercera para aprovechar la influencia cada vez más generalizada del
mundo digital en todos los aspectos de la vida moderna.

Schwab argumenta convincentemente que esta nueva revolución no es simplemente una

extensión de la anterior. Sostiene que la Cuarta Revolución Industrial es completamente
nueva, caracterizada por la confusión de las divisiones entre los dominios físico, digital y
biológico.

Un número creciente de avances tecnológicos en campos tan diversos como la

computación cuántica, la biotecnología, la inteligencia artificial, la robótica y la
nanotecnología, y especialmente las sinergias entre ellos, están reconfigurando
profundamente casi todas las formas de esfuerzo humano.

Además, esta nueva revolución es distinta debido a la velocidad exponencial a la que se

desarrolla; la amplitud y profundidad sin precedentes de sus efectos; y las formas en que
está interrumpiendo y transformando a las empresas, industrias, países e incluso a la
sociedad humana. La Cuarta Revolución Industrial promete carecer de precedentes tanto
en sus efectos globales como en su poder disruptivo (Bensahel, 2018).

3.2. Tecnologías disruptivas.

El cambio tecnológico es uno de los motores de la evolución, si no el principal. Inciden

en los cambios de la infraestructura y superestructura social, considerando la sociedad
tanto en su rama civil como militar.

Y si bien estos cambios suelen tener un desarrollo paulatino, en ocasiones aparecen como
una convulsión de la comunidad científica, de la sociedad y de la forma de entender el
mundo. Como hemos visto a la hora de hablar de las Revoluciones Industriales.
Auténticas revoluciones de carácter disruptivo producidas por tecnologías que se envisten
de la misma denominación. “Una tecnología disruptiva es aquella que convierte en
obsoleta una tecnología existente, cambiando desde la forma de operar hasta incluso el
propio tejido industrial” (Marsal, 2015).

Culturas como la norteamericana, abrazan la tecnología como forma de proveerse y

garantizar su superioridad y capacidad para la contención, sometimiento de otras
potencias, e incluso la victoria en la confrontación. No es objeto del presente trabajo
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 22
Guerra Híbrida.

detenernos en el análisis de tal fenómeno; no obstante, es interesante destacar como

ejemplos de áreas con potencial de disrupción, las armas de energía dirigidas mediante
láser de alta potencia, los sistemas autónomos, la robótica, la bioingeniería, la
nanotecnología y los sistemas portátiles de generación de energía (Marsal, 2015).

No obstante, en palabras de Aznar (2018):

La supremacía tecnológica ya no es resolutiva. A partir de un punto, la ventaja

tecnológica cuanto más crece, incrementa la vulnerabilidad de quien dispone de ella,
como consecuencia de los niveles de dependencia que implica; podría postularse que
cuanto mayor es la asimetría tecnológica, más probabilidades se le confieren al débil.

El teniente general del ejército americano David Barno afirma que las sinergias entre los
elementos de la cuarta revolución se encuentran en pleno proceso transformador de los
campos de batalla del presente siglo de diversas maneras (Barno, & Bensahell, 2018):

- Espacio y ciber. Estos dos dominios relativamente nuevos surgieron de la tercera

revolución industrial, pero nunca se han implementado completamente durante la
guerra. No hay lecciones aprendidas, ni batallas históricas que estudiar, ningún
precedente sobre cómo podría desarrollarse la guerra en estos dominios, y no hay
forma de saber qué tan destructiva puede ser para la sociedad moderna. Y
cualquier contienda en los nuevos dominios puede obstaculizar, incluso debilitar
las capacidades de los tradicionales sistemas de defensa estatales para luchar en
los dominios más tradicionales de la tierra, el mar y el aire, ya que las
comunicaciones vitales, sistemas de apoyo e infraestructuras críticas dependen,
hoy en día, casi totalmente de los satélites espaciales y de computer networks.
- Inteligencia artificial, big data, aprendizaje automático, autonomía y robótica:
Algunos de los líderes más destacados en estos campos están advirtiendo
públicamente sobre los peligros de un entorno sin restricciones. Las operaciones
militares habilitadas por estas tecnologías, y especialmente por la inteligencia
artificial, pueden desarrollarse tan rápidamente que las respuestas efectivas
requieren sacar a los humanos del ciclo de decisión. Dejar que las máquinas
inteligentes tomen decisiones tradicionalmente humanas sobre matar a otros
humanos está cargado de peligros morales, pero puede ser necesario para
sobrevivir en el futuro campo de batalla, y sobre todo para ganar. Los adversarios
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 23
Guerra Híbrida.

se apresurarán a emplear estas capacidades y las poderosas ventajas operativas

que pueden conferir.
- Una nueva generación de armas de alta tecnología: Los Estados Unidos y algunos
de sus adversarios potenciales están incorporando las tecnologías de la Cuarta
Revolución Industrial en una gama de nuevos sistemas de armas innovadoras, que
incluyen armas ferroviarias, armas de energía dirigida, proyectiles de
hipervelocidad y misiles hipersónicos. Estas nuevas armas aumentarán
dramáticamente la velocidad, el alcance y el poder destructivo de las armas
convencionales más allá de lo que se pueda imaginar. Sin embargo, el ejército de
los EEUU sigue invirtiendo mucho en sistemas heredados basados en tecnologías
de finales del siglo XX que compiten contra estas nuevas tecnologías por escasos
dólares. Aquí, las potencias en ascenso, como China, tienen una nueva ventaja
distintiva. Pueden incorporar las tecnologías más nuevas sin las enormes cargas
financieras de apoyar a los sistemas más antiguos y a la industria militar que los
promueven (y para los estados autoritarios, sin adherirse a las normas
democráticas de transparencia y supervisión civil).
- El factor x desconocido: Las tecnologías secretas desarrolladas por amigos y
enemigos presentan todo tipo de desafíos desconocidos e inesperados.

Como indica Prieto (2013):

Los ciberataques han pasado a invadir todos los sectores de la actividad individual y
colectiva de nuestra sociedad, haciéndose más fácil atacar una red que defenderla, por
la enorme desproporción entre, el relativamente poco esfuerzo necesario para un
ataque cibernético, amparado en el anonimato, con la ventaja para el atacante de elegir
el momento y el objetivo; y el gran esfuerzo necesario para la protección de los
sistemas. Ello ha conducido al enfrentamiento de amenazas y hechos reales
constitutivos de actos ilícitos civil y penalmente, actos terroristas y en definitiva actos
que ponen en peligro nuestros sistemas físicos incluyendo nuestros sistemas militares.
Por ello, la ciberdefensa ha pasado a ser un nuevo dominio de guerra, prueba de lo
cual, más de 140 países, entre ellos España, están ya desarrollando sus capacidades.

3.3. Amenazas

¿Cómo hemos llegado aquí?

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 24
Guerra Híbrida.

3.3.1. Sucinta cronología de ciberataques

A principios de la década de 1980, cuando ARPANET se estaba convirtiendo en la World

Wide Web que ha derivado en lo que hoy conocemos como Internet, la atención se centró
en la interoperabilidad y la fiabilidad como medio de comunicación y el posible mando y
control en caso de emergencia. Aquellos con acceso al sistema se conocían los unos a los
otros y la seguridad no era una cuestión a considerar.

A finales de los 80, no obstante, empezaron los problemas cuando Robert Morris lanzó el
primer gusano (una pieza de malware de autorreplicación) y Clifford Stoll descubrió
espías del bloque soviético robando secretos de los Estados Unidos a través de un
mainframe en la Universidad de California, Berkeley.

A estos sucesos les siguieron rápidamente una serie de incidentes que evidenciaron los
riesgos de seguridad asociados con la nueva capacidad de comunicación. Los eventos
cibernéticos clave, en el sentido de referirse y llegar a impactar al mundo militar,
ocurrieron a finales de la década de 1990. Ya en aquellos años se habló del término
ciberguerra, hasta el punto de ser portada de la revista Time el ya tan manido concepto
"Cyber War".

El incidente Solar Sunrise de 1998 llegó a las noticias cuando el Pentágono fue pirateado
mientras Estados Unidos estaba en guerra con Irak. Pero los instigadores eran en realidad
sólo dos niños de California. Posteriormente se produjo el Moonlight Maze, donde el
Departamento de Defensa (DoD) encontró intrusiones de sistemas de la Unión Soviética,
aunque la fuente de los ataques nunca fue probada y Rusia negó cualquier participación
(los hackers a menudo dirigen sus ataques a través de países que no cooperarán con una
investigación, generando la situación de negación plausible).

El término “Amenaza Persistente Avanzada” (APT) se ha generalizado como término

referido para estas acciones sistemáticas de espionaje digital patrocinado por agentes
estatales. A principios de la década de 2000, una serie de ataques, aceptados como
procedentes de China, fueron identificados y bautizados con el nombre de Titan Rain. A
finales de los 2000, se apreció un aspecto físico añadido a los ataques entrópicos que el
DoD bautizó con el nombre Operación Buckshot Yankee. Se halló malcode en las
memorias USB empleados por el ejército de EEUU, lo que provocó que el DoD prohibiera
su uso en todos los sistemas y redes militares.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 25
Guerra Híbrida.

En 2007, piratas informáticos supuestamente vinculados al gobierno ruso derribaron las

páginas web del parlamento, bancos, ministerios, periódicos y organismos de
radiodifusión de Estonia. Tras semejante ataque, el país apeló al tratado de la OTAN
demandando protección y tropas.

Un año después, otra serie de ciberataques logró el secuestro de páginas web

gubernamentales y comerciales en Georgia, durante un conflicto militar con Rusia,
creando una nueva forma de interferencia de señal digital en la Web.

En 2010, el famoso gusano Stuxnet, con el que abríamos la justificación del presente
trabajo, atacó los sistemas que controlan el desarrollo de materiales nucleares de Irán,
causando daños a estos sistemas.

En los ejemplos expuestos, naciones apelan la defensa mutua del Tratado del Atlántico
Norte al estar ante operaciones de guerra cinética/no cinética combinada y destrucción
física de activos de seguridad nacional, lo que podría considerarse como una auténtica
guerra, sin que el adjetivo “cibernética” le reste un ápice su significado jurídico, político,
militar y social. No obstante, ningún Estado ha reconocido formalmente o acusado a otro
Estado de ciberguerra.

El año 2019 se abría con el Gobierno alemán confirmando públicamente haber sido
víctima de un ataque informático calificado como un “acto grave contra las instituciones
democráticas”. Ante dichos actos en los que se publicaron datos personales de políticos
y periodistas alemanes, el país pidió ayuda a EEUU para proceder con la investigación,
sospechando los expertos de Rusia o China como los artífices del mayor hackeo de la
historia de Alemania.

Paralelamente el mundo comercial es objetivo de similares ataques. No sorprende que se

hable, asimismo, de guerra económica, lo que no deja de ser, por otro lado, una constante
en la historia de la humanidad. En 2009, los informes revelaron que piratas informáticos
descargaron datos de la junta multimillonaria del Programa Joint Strike Fighter del DoD,
que muestra que los ciberataques iban tanto tras contratistas de defensa como de los
propios militares. Posteriormente, la Operación Aurora irrumpió en las noticias cuando
Google se reveló públicamente como una de las muchas empresas comerciales hackeadas
por la APT, demostrando que los atacantes cibernéticos también iban tras la propiedad
intelectual comercial.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 26
Guerra Híbrida.

Hubo dos ataques más problemáticos en 2011: el primero, el “Night Dragon”, fue una
serie de ataques expuestos en el informe mundial de energía que mostraba cómo China
estaba tratando de ganar una ventaja competitiva en el mercado energético a través de una
campaña activa de espionaje y de usurpación de propiedad intelectual. El segundo fue el
ataque RSA (RSA es la primera empresa del mundo en la venta de soluciones OTP -one
time password- de autenticación de segundo factor por canales alternativos, mediante
RSA SecureID, que es usado por bancos, grandes empresas, gobiernos y organizaciones
alrededor del mundo) donde la información robada permitiría a un pirata informático
replicar el número que apareció en el token de autenticación que muchas organizaciones
utilizan para proteger sus redes, lo que demuestra que el enemigo estaba dispuesto a atacar
la infraestructura utilizada para proteger a los EEUU.

3.3.2. Herramientas

Durante los últimos 30 años, ha habido una batalla continua entre defensores y atacantes
en las redes de todo el mundo. Al principio, la mayoría de los hackers estaban motivados
por la curiosidad, buscando entretenimiento o presumiendo pericia. A medida que las
transacciones financieras se fueron realizado en Internet, surgió un ánimo criminal.

Comenzaron tendencias como la aparición de botnets (conjunto o red de robots

informáticos o bots, que se ejecutan de manera autónoma y automática) donde al atacante
no le importa si el objetivo era militar, gubernamental o comercial, sino que la meta es
precisamente afectar tantos sistemas informáticos como sea capaz.

Fue la época en la que era popular decir “la seguridad de la red debe ser lo suficientemente
buena como para que no sea la fruta más a mano de Internet” (Winterfeld, 2013). Eso ya
no es así, desde el momento que existen sofisticadas organizaciones de amenazas, hay
jirafas en Internet interesadas en comer solo fruta situada en lo alto del árbol. La seguridad
de hoy necesita ser buena, no mejor que la de la persona que tenemos al lado.

Así pues, a medida que los gobiernos, los militares y las economías de la nación se han
vuelto más dependientes de Internet, vemos Estados actuando unos contra otros en el
ciberespacio. Con cada nueva amenaza, nuevas soluciones de protección se implementan
y esto desarrolla nuevos ataques para sortearlos. El ciclo continúa.

A medida que examinamos la manera en que las redes son penetradas, es evidente que la
esencia del proceso es análoga a la doctrina tradicional de ataque/defensa militar. De
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 27
Guerra Híbrida.

manera similar a cómo Corea del Sur y Corea del Norte han construido fortificaciones
físicas defensivas entre cada uno, vemos el mismo principio e incluso el término utilizado
por los administradores de red: Zona desmilitarizada (DMZ).

Desde el punto de vista del atacante son necesarios los mismos pasos para atacar una red
que para atacar la DMZ: realizar un reconocimiento para determinar la vulnerabilidad.
Priorizar y estructurar las fuerzas sobre el punto de debilidad. Atacar y penetrar en la
defensa y explotar la infiltración para ganar control sobre el campo de batalla/red.

La principal diferencia entre la metodología de la guerra cinética (mundo real) y la no

cinética (mundo virtual), son las armas frente a los programas de software que utilizan.

Una metodología de ataque es el proceso o pasos generales que se utilizan para llevar a
cabo el ataque de un objetivo. Las herramientas/técnicas son las que se utilizan para
ejecutar el proceso. Los pasos o fases principales son: reconocimiento, atacar, y explotar.
Estos pasos pueden ser actividades de lo más diversas, desde ataques de una máquina a
otra, al uso de la ingeniería social. Cada uno de estos pasos tienen una serie de subpasos
para lograrlos y en muchos casos los piratas informáticos los modificarán y automatizarán
para adaptarlos a su estilo.

Ejemplo de herramientas conocidas (Winterfeld, 2013):

Para comenzar la fase de reconocimiento se

requiere un objetivo. Los objetivos pueden ser
los sistemas específicos que serán atacados o
el personal que los utilice. Para atacar una
máquina o una página web, en primer lugar,
se ha de conocer la dirección única del
Protocolo de Internet (IP) para la primera o el
Uniform Resource Locator (URL) para el
sitio web. Para llevar a cabo un ataque a través
de los usuarios, con conocer un número de teléfono es suficiente.

Direcciones IP y números de teléfono se puede encontrar con una búsqueda rápida en

Google o con servicios como American Registry for Internet Numbers searchers.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 28
Guerra Híbrida.

Y en cuanto a la ingeniería social, no se necesita mucho más que la información contenida

en una tarjeta de visita. Una vez que se identifica el objetivo, en la fase de reconocimiento
se comienza a encontrar el punto débil o la vulnerabilidad.

El ataque puede ser contra el sistema operativo o una de sus aplicaciones (es decir, Adobe
Flash, Microsoft Office, juegos, navegadores web o mensajería instantánea).

Un escáner se ejecuta contra el Sistema para determinar y enumerar muchas de las

vulnerabilidades. Algunos de los escáneres más populares son Nmap, Nessus, eEye
Retina y Saintscanner. Existen herramientas de ataque que además de escanear tienen la
capacidad de explotar las vulnerabilidades para lanzar un ataque que coincida con las
vulnerabilidades encontradas en la aplicación, como Metasploit, Canvas y Core Impact.

Finalmente, hay herramientas que transforman una máquina en un sistema Linux al

arrancar desde un Linux live CD o CD autónomo. La herramienta de ataque de live CD
más popular es BackTrack.

Otra herramienta que es útil durante esta fase es un rastreador. Herramienta que tiene el
atacante en su sistema que imita a todas las computadoras de la red para que obtenga una
copia de todo el tráfico. Esto le permite leer todos los correos electrónicos y documentos
sin cifrar, así como ver las páginas web a las que se están accediendo.

Los sniffers más empleados son Wireshark, Ettercap, y Tcpdump. Si bien hay muchas
herramientas muy poderosas y fáciles de usar, el conjunto de herramientas que muestran
cómo ha evolucionado el entorno de amenazas son los packet crafters (la creación de
paquetes es una técnica que permite a los administradores de red probar conjuntos de
reglas de firewall y encontrar puntos de entrada en un sistema o red específicos). Alguien
sin habilidades de programación ahora puede crear ataques únicos. Además de
herramientas como NetCat y Hping hay una gran cantidad de herramientas para el
reconocimiento, pero éstas representan las fundamentales utilizadas para descubrir las
vulnerabilidades que permiten pasar a la fase de ataque.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 29
Guerra Híbrida.

Al atacar un sistema hay muchos tipos de

códigos maliciosos que pueden usarse. A
nivel código, existen gusanos o virus que
pueden usar vectores de ataque como cross-
site scripting (xss) o desbordamientos de
búfer (del inglés buffer overflow o buffer
overrun), un error de software que se produce
cuando un programa no controla
adecuadamente la cantidad de datos que se
copian sobre un área de memoria reservada a
tal efecto (buffer). Si dicha cantidad es
superior a la capacidad preasignada, los bytes sobrantes se almacenan en zonas de
memoria adyacentes, sobrescribiendo su contenido original, que probablemente
pertenecía a datos o código almacenado en memoria. Lo que constituye un fallo de
programación (Hack2secure, 2018). Dichos gusanos o virus se emplean para instalar
rootkits (encubridor) o un caballo de Troya que actúa como una puerta trasera en un
sistema, y que se utiliza para difundir el ataque.

La fase de explotación es aquella en la cual el

atacante se aprovecha para ganar el control.

Hay generalmente tres factores que el pirata

informático puede comprometer:
confidencialidad, integridad o disponibilidad.

Al atacar la confidencialidad simplemente

están robando secretos. Los ataques de integridad suponen cambiar los datos en el sistema
o enmascararlos como un usuario legítimo autorizado o autenticado. En un entorno
comercial, podría consistir en modificar los precios o los datos de los clientes. En la red
militar podría consistir en cambiar las ecuaciones usadas para calcular la guía de comando
y control. En cuanto a los ataques a la disponibilidad, normalmente se basan en el tiempo
y se pueden lograr dejando el sistema fuera de servicio, si el sistema no funciona, o
saturando el ancho de banda.

El tipo de exploit se basa en las motivaciones del atacante. A menudo intentan además
evitar la detección y podría incluso utilizar técnicas anti-forenses como el log wiping
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 30
Guerra Híbrida.

(eliminar de forma segura los archivos o metadatos, lo que generalmente implica

sobrescribir los datos almacenados en un disco con otra información, para garantizar que
no quede ningún rastro del original) y el time stomping (implica cambiar la fecha de
creación, modificación o acceso de los archivos dentro del sistema de archivos de un disco
duro, memoria USB, tarjeta de memoria flash u otro dispositivo de almacenamiento).

Si estos ataques técnicos no funcionan, otro vector de ataque es la ingeniería social. De

hecho, algunas organizaciones de amenazas usan la ingeniería social como su principal
medio de ataque. Ingeniería social puede considerarse como el acto de influir en el
comportamiento de alguien a través de la manipulación de sus emociones, o ganando y
traicionando su confianza para obtener acceso a su sistema.

Lo que diferencia la ingeniería social de

otros ataques es el vector de ataque, en este
caso la persona, o como los hackers dicen
“wetware” (el cerebro no es hardware ni
software, es wetware). Nos referimos a los
tan conocidos phishing (envío de correo
electrónico general a múltiples personas),
spear phishing (dirigido a una persona específica), o whaling (dirigido a un específico
miembro sénior de la organización). También existen herramientas técnicas como el
“Social Engineer Toolkit” que están diseñados para ayudar a atacar a la fuerza laboral.

3.3.3. Conceptos

Con ánimo de tratar de visualizar el fenómeno, pero sin abstraernos en detalles técnicos,
nos detenemos brevemente en unos apuntes conceptuales:

Un gusano se propaga sin ninguna ayuda. Infecta un sistema y luego usa el mismo para
encontrar más sistemas para propagarse.

Un virus necesita alguna interacción del usuario como abrir cualquier tipo de archivo
(correo electrónico, documento, presentación) o iniciar un programa (juego, video o
aplicación).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 31
Guerra Híbrida.

Los gusanos y virus utilizan técnicas como los scripts o los desbordamientos de búfer que
ataca los errores en el código para comprometerlo.

Las cross-site scripting (XSS) es un tipo de vulnerabilidad informática o agujero de

seguridad. Son ataques típicos de las páginas Web que permiten que se ejecute código no
autorizado en la computadora del espectador que podría resultar en el robo de información
o en el robo de los certificados de identificación del sistema (Pérez I. , 2015).

Un ejemplo simplificado de desbordamiento de búfer es cuando un programa solicita un

número de teléfono en lugar de los 10 dígitos necesarios, el software envía 1000 dígitos
seguidos de un comando para instalar el malcode debido a que el programa no tiene un
buen manejo de errores para lidiar con la gran cantidad de datos extra inesperados,
ejecutando así el malcode.

Un rootkit es un programa que toma el control de un sistema operativo y miente sobre lo

que está sucediendo en el sistema. Una vez que se instala un rootkit, se puede ocultar las
carpetas del hacker (es decir, herramientas de pirateo informático, películas ilegales,
números de tarjetas de crédito robadas), aplicaciones mal dirigidas (es decir, que muestre
la actualización del antivirus diariamente, pero no permite que se actualice), o tergiverse
el estado del sistema (es decir, deja el puerto 666 abierto para que el pirata informático
pueda acceder al sistema de forma remota pero mostrarlo como cerrado).

Un troyano de puerta trasera es un programa que se hace pasar por un archivo legítimo, a
menudo un archivo de sistema. Estos archivos son en realidad falsos y sustituyen al real.
El nuevo archivo ejecuta el sistema y abre una puerta trasera al sistema que permite al
pirata informático el control remoto del sistema.

Una utilidad para gusanos y virus es construir ejércitos de botnets. Un bot (también
llamado zombie), como comentábamos, es un ordenador esclavo de un controlador. Una
vez que alguien construye un ejército de millones de bots puede causar una denegación
de servicio distribuida (DDoS) haciendo que todos los bots intenten conectarse al mismo
sitio o sistema simultáneamente. Esto se puede hacer para chantajear un sitio web (pagar
o ser bloqueado para que ningún cliente pueda acceder), interrumpir los sistemas de
comando y control, hacer clic fraudulento -click fraud- (tipo de fraude que se produce en
Internet en publicidad en línea de pago por clic pay-per-click) o para compilar problemas
complejos (al igual que un superordenador distribuido).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 32
Guerra Híbrida.

Hay varias formas de lanzar ataques dirigidos a un sistema específico. La clave es

correlacionar la secuencia de comandos o exploit con la vulnerabilidad.

El término exploit tiene tres significados dentro de la comunidad cibernética. Cuando se

habla de código se refiere a malcode que permite comprometer un sistema. Cuando se
habla de metodología de ataque se refiere a lo que la carga útil, payload, (conjunto de
datos transmitidos que es en realidad el mensaje enviado) del ataque está destinado a
lograr. Cuando se habla de doctrina militar, se utiliza por la comunidad de inteligencia
para referirse al ciber reconocimiento/espionaje.

Del mismo modo que nunca se ha creado un banco que no pueda ser robado, no hay un
sistema informático que no pueda ser comprometido. Si no se detecta ninguna
vulnerabilidad, el atacante puede entontes proceder a tratar de obtener la autenticación a
través de ataques de contraseña, compromiso de credenciales o atacar la infraestructura
de seguridad utilizada para proteger la red.

El descifrado de contraseñas se puede hacer con fuerza bruta haciendo que un programa
pruebe toda posible iteración. Esto puede llevar mucho tiempo y es fácil de detectar, pero
dependiendo de la fuerza de la contraseña, es muy efectiva. Si el hacker puede acceder al
archivo de la contraseña luego se pueden utilizar herramientas como Cain & Able o Jack
the Ripper para romperlas.

Otra técnica disponible se llama tablas del arco iris. Estas son bases de datos donde
protocolos populares de cifrado de contraseñas se ejecutan con todas las combinaciones
de teclas posibles en un teclado estándar. Esta lista precompilada permite una búsqueda
simple cuando el hacker obtiene acceso a la lista de contraseñas encriptadas. Muchas de
estas tablas han hecho todas las combinaciones de 8-20 caracteres y la longitud aumenta
a medida que los hackers continúan utilizando botnet para construir las tablas.

3.4. Actores

Es importante detenernos en las diferentes categorías de atacantes, siempre sobre la base

de que, si bien existen sólidas fronteras entre los diferentes tipos de actores, pueden
superponerse o alguno pertenecer a más de una categoría.

Los métodos empleados por los Estados son cada vez más sofisticados y complicados de
detectar (CCN-CERT, 2018) y hasta los países más pequeños pueden hoy contratar los
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 33
Guerra Híbrida.

servicios de los llamados cibermercenarios o ciberespías; o bien, la pericia de hackers

(Mazzeti, 2019). La Advanced Persistent Threat (APT), puede comprar exploits de
elementos criminales. Los noobs pueden unirse a causas hacktivistas y, en particular, el
preocupante cambio de paradigma que ha ocurrido recientemente consiste en hacktivistas
que se comportan como insiders, al robar información que luego publican en sitios web
como WikiLeaks.

3.4.1. Estados

El secretario general de la ONU, Antonio Guterres, ha reconocido públicamente que “ya

existen episodios de guerra cibernética entre Estados” (Martín, 2018).

Ciberejércitos de países como Rusia, EEUU y China, compiten por potenciar con grandes
presupuestos sus capacidades con cibersoldados y actúan, en este quinto dominio,
combinando ciberataques con actuaciones tendentes al amurallamiento cibernético
(Ventura, 2017).

Es reseñable, en este sentido que la agencia de noticias rusa RosBiznesKonsalting (RBK)

informó que Rusia se desconectará de Internet por un periodo breve para lograr que la
información que se transfiere por ciudadanos y organizaciones no pueda ser enrutada al
extranjero. El motivo del experimento es reunir información y proporcionar
retroalimentación y modificaciones a una propuesta de ley presentada en el Parlamento
ruso en diciembre de 2018. Un primer borrador de la ley ordenaba que los proveedores
de Internet rusos debían garantizar la independencia del espacio de Internet ruso (Runet)
en caso de agresión extranjera para desconectar el país del resto de Internet. El gobierno
ruso ha estado trabajando en este proyecto durante años. En 2017, los funcionarios rusos
dijeron que planean enrutar el 95 por ciento de todo el tráfico de Internet a nivel local
para 2020.

Las autoridades incluso han creado una copia de seguridad local del Sistema de Nombres
de Dominio (DNS), que probaron por primera vez en 2014, y nuevamente en 2018, y que
ahora será un componente importante de Runet cuando los ISP planeen desconectar el
país del resto del mundo.

La respuesta de Rusia se produce cuando los países de la OTAN anunciaron varias veces
que estaban considerando una respuesta más fuerte a los ataques cibernéticos, respecto de
los cuales Rusia es constantemente acusada.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 34
Guerra Híbrida.

Se espera que la ley propuesta, totalmente respaldada por el presidente Putin, se apruebe.
Las discusiones en curso tienen que ver con encontrar los métodos técnicos adecuados
para desconectar a Rusia de internet con un tiempo de inactividad mínimo para los
consumidores y las agencias gubernamentales.

El gobierno ruso acordó pagar la factura y cubrir los costos de los ISP modificando su
infraestructura e instalando nuevos servidores para redirigir el tráfico hacia el punto de
intercambio aprobado de Roskomnazor. El objetivo final es que las autoridades rusas
implementen un sistema de filtrado de tráfico web como el Gran Cortafuegos de China,
pero también tengan una intranet de todo el país en pleno trabajo en caso de que el país
necesite desconectarse (Cimpanu, 2019).

Rusia. La guerra política del Kremlin contra los países democráticos ha

evolucionado de actividades directas a influencias encubiertas. Pero
mientras Rusia ha sido pionera en el conjunto de herramientas de medidas
asimétricas para el siglo XXI, incluidos los ataques cibernéticos y las campañas de
desinformación, estas herramientas ya son el juego de ayer. Los avances tecnológicos en
inteligencia artificial (IA), automatización y aprendizaje automático, combinados con la
creciente disponibilidad de big data, han preparado el escenario para una nueva era de
guerras políticas sofisticadas, económicas y altamente impactantes. En el corto plazo, será
más difícil, si no imposible, distinguir entre audios, videos o identidades online reales o
falsificados. Los actores malintencionados utilizarán estas tecnologías para atacar a las
sociedades occidentales de manera más rápida y eficiente. A medida que los estados
autoritarios, como Rusia y China, inviertan recursos en nuevas tecnologías, se
intensificará la competencia mundial para el próximo gran salto en la guerra política. A
medida que la batalla por el futuro se traslada al dominio digital, los formuladores de
políticas enfrentarán amenazas cada vez más complejas contra las democracias. La
ventana para montar una respuesta efectiva “de toda la sociedad” a las amenazas
asimétricas emergentes se está reduciendo rápidamente (Polyakova, 2018).

En noviembre de 2004, la elección presidencial de Ucrania se disputaba entre dos

candidatos: un pro-occidente independiente, Viktor Yushchenko, contra el primer
ministro respaldado por Rusia, Viktor Yanukovich. En el período previo a las elecciones,
Yushchenko fue misteriosamente envenenado y quedó desfigurado permanentemente. El
día de la votación, los distritos leales al candidato pro-ruso de repente adquirieron
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 35
Guerra Híbrida.

millones de nuevos votantes; hombres enmascarados se presentaron a algunos colegios

electorales para acosar a los partidarios de la oposición; y muchos ucranianos “se
levantaron de entre los muertos” para emitir sus votos a favor de Yanukovich, quien fue
declarado ganador.

Estas tácticas crudas y obvias para cambiar las elecciones dieron como resultado protestas
masivas que llevaron a una segunda ronda de votación, que luego llevó a Yushchenko a
la presidencia.

Diez años más tarde, en 2014, Ucrania, que acababa de sufrir otra revolución y en un
conflicto abierto con Rusia en el Donbass, convocó de nuevo elecciones presidenciales,
y una vez más, hubo un intento de cambiar la votación. Pero esta vez, las tácticas eran
mucho más sofisticadas: en lugar de envenenamiento, matones enmascarados y
traficantes del voto, los piratas cibernéticos vinculados a Rusia se infiltraron en la
comisión electoral central de Ucrania, eliminaron archivos clave e implantaron un virus
que habría cambiado los resultados de la elección a favor de un partido ultranacionalista,
el Sector Derecho.

Los expertos gubernamentales en ciberseguridad detectaron el malware, que modificaba

el voto, menos de una hora antes de que se anunciaran los resultados de las elecciones.
Sin embargo, en un giro surrealista, los medios estatales rusos todavía informaron los
resultados falsos, mostrando que los ultranacionalistas ganaron, aunque en realidad, el
Sector Derecho recibió menos del 1 por ciento de los votos. Los expertos en
ciberseguridad consideraron este ataque a Ucrania, uno de los intentos más descarados y
maliciosos de manipular una elección nacional. Los Estados Unidos y Europa deberían
haber estado prestando atención, porque algunas de las mismas herramientas desplegadas
en Ucrania han vuelto a surgir en procesos electorales en EEUU, Francia y en nuestro
país (Clayton, 2014).

Para el 2016, cuando Moscú dirigió su atención a la elección presidencial de EEUU, las
tácticas, aunque conocidas, también fueron más inteligentes. Rusia y sus representantes
combinaron ataques cibernéticos con operaciones psicológicas y plataformas de redes
sociales, explotadas para avivar las tensiones sociales y desacreditar a la candidata anti-
Kremlin, Hillary Clinton. En enero de 2017, la comunidad de inteligencia de los Estados
Unidos concluyó en un informe no clasificado que en las elecciones presidenciales de los
Estados Unidos, “los objetivos de Rusia eran socavar la fe pública en el proceso
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 36
Guerra Híbrida.

democrático de los Estados Unidos” a través de una “estrategia que combina operaciones
de inteligencia encubiertas, como la actividad cibernética, con esfuerzos abiertos por parte
de las agencias gubernamentales rusas” y proxies ( U.S. Office of the Director of National
Intelligence, 2017).

De hecho, en las elecciones que siguieron en Europa, las huellas de Rusia fueron visibles
en todas partes en diversos grados: desde los intentos de los trolls vinculados a Rusia
(cuentas falsas gestionadas por individuos) y bots (cuentas automatizadas) para difundir
“noticias falsas” sobre el candidato presidencial francés Emmanuel Macron en la
primavera de 2017, así como una campaña de desinformación en torno al referéndum de
la independencia catalana en España, ese octubre. En cada caso, las herramientas y los
objetivos eran los mismos: el uso de campañas de desinformación, ataques cibernéticos,
cultivo de aliados y representantes políticos y subversión política para dividir,
desestabilizar y engañar a las sociedades democráticas.

Los actores estatales han sido los principales impulsores de la guerra política contra
Occidente. Si bien los grupos terroristas no estatales, como ISIS, han sido efectivos en el
uso de la propaganda para fines de reclutamiento, carecen de los recursos para ampliar
sus operaciones. Bajo Vladimir Putin, Rusia ha buscado expandir su arsenal de “medidas
activas”, herramientas de guerra política que usó la Unión Soviética y que pretendía
influir en los eventos mundiales mediante la manipulación de los medios de
comunicación, la sociedad y la política, contra las democracias. La estrategia de
influencia del Kremlin incluye: campañas de desinformación, el cultivo de aliados
políticos en las democracias europeas y los ataques cibernéticos. En cada caso, se emplean
múltiples capas de proxies, que son agentes y entidades directas o indirectas del Kremlin,
para mantener la negabilidad plausible y la ambigüedad estratégica. Este conjunto de
herramientas desarrolladas por los rusos representa el estado actual de la guerra política.

 Desinformación:
 Actores clave
o Medios estatales rusos como RT, Sputnik, Ruptly TV.
o Encubiertos: Trolls de redes sociales (por ejemplo, la Agencia de
Investigación de Internet o IRA); cuentas automatizadas (bots); cuentas de
suplantación en Facebook, Twitter e Instagram; WikiLeaks; DCleaks. (Alina
Polyakova, 2016).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 37
Guerra Híbrida.

 Objetivos: Socavar la narrativa política occidental y las instituciones

transatlánticas. Sembrar discordia y divisiones dentro de los países. Difuminar la
línea entre la realidad y la ficción.
 Métodos: Difusión de todo el espectro y amplificación de contenido engañoso,
falso y divisivo. Despliegue de propaganda computacional. Identificación de
vulnerabilidades sociales.
 Redes políticas:
 Actores clave: Partidos políticos alineados o amistosos: muchos, pero no todos,
los partidos políticos de extrema derecha y de extrema izquierda en Europa han
adoptado una postura pro-Kremlin en diversos grados. En un lado del espectro
están los partidos políticos que han firmado acuerdos de cooperación explícitos
con el Partido Rusia Unida de Putin, incluido el Frente Nacional Francés (FN), el
Partido de la Libertad de Austria (FPÖ), el ala juvenil de la Alternativa de
Alemania para Alemania (AfD), La Izquierda Alemana (Die Linke) y la Liga
Italiana (Lega). Otros han abogado repetidamente por políticas pro-rusas, como la
eliminación de sanciones y el reconocimiento de Crimea como territorio ruso.
Líderes del Movimiento Italiano de 5 Estrellas (M5S), del español Podemos, de
Grecia Syriza y de Golden Dawn, del Partido Británico de la Independencia del
Reino Unido (UKIP), del húngaro Jobbik y del Partido Holandés para la Libertad
(PVV) han hecho frecuentes declaraciones pro-Putin y a favor del Kremlin
(Hashtag campaign: #MacronLeaks, 2017).
 Metas: Socavar la política europea desde dentro apoyando a movimientos
políticos insurgentes anti-establishment, anti-UE. Disminuir el consenso europeo
sobre una política común hacia Rusia al trazar divisiones entre los Estados
europeos y entre la UE y los Estados Unidos.
 Métodos: Apoyo financiero, apoyo diplomático, soporte de medios y relaciones
públicas.
 Ataques cibernéticos al servicio de campañas de desinformación:
 Actores clave:
o Agencias gubernamentales: Servicio de Inteligencia Militar (GRU), Servicio
de Seguridad Federal (FSB), Servicio de Inteligencia Extranjera (SVR).
o Proxies conocidos: Amenazas Persistentes Avanzadas (APT) 28 y 29,
CyberBerkut.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 38
Guerra Híbrida.

o Actores de apoyo: WikiLeaks, DCLeaks, Shadow Brokers.

 Objetivos: Desestimar y deslegitimar las elecciones democráticas. Así como
sembrar desconfianza en las instituciones occidentales al revelar información
políticamente perjudicial.
 Métodos: Robo de información personal e institucional, que luego se filtra en línea
por un grupo independiente autoproclamado (por ejemplo, WikiLeaks) y luego se
utiliza para hacer una campaña de desinformación para dañar a individuos
particulares (por ejemplo, Hillary Clinton) o instituciones (por ejemplo, Agencia
de Seguridad Nacional de los Estados Unidos, NSA). A nivel técnico, los métodos
son bien conocidos y se basan principalmente en errores de usuario y
vulnerabilidades de ciberseguridad: Spear phishing, ataques de denegación de
servicio o reutilización de credenciales.

China. Como señalábamos en los ejemplos mencionados más arriba, a

pesar de las negativas de Pekín, no hay duda de que los piratas informáticos
de China participan en una campaña agresiva y cada vez más amenazadora
de ciberespionaje dirigida a sistemas gubernamentales y privados en los Estados Unidos,
incluida la red eléctrica y las redes de telecomunicaciones.

En el informe anual de 2013 del Pentágono al Congreso sobre China, se acusa al gobierno
chino y, en particular, a su ejército de realizar ataques contra los sistemas informáticos y
contratistas de defensa del gobierno de los Estados Unidos en un esfuerzo sistemático por
robar la propiedad intelectual y obtener una ventaja estratégica.

Según la empresa de seguridad Mandiant “una unidad secreta del Ejército Popular de
Liberación (EPL) chino está detrás de un gran número de ataques informáticos sufridos
por empresas y organismos en Estados Unidos”. También se realizan ataques
informáticos por parte del gigante asiático a Europa y otros continentes (Euro, 2013).
Según Mandiant, “esta división del Ejército chino está integrada, posiblemente, por miles
de empleados, que dominan el inglés y las técnicas de programación y gestión de redes”,
dirigidos en gran parte por oficiales del ejército chino o contratistas que trabajan para los
comandos militares (The Editorial Board, 2013).

China está involucrada en su propia forma de guerra cibernética, pero no encaja

fácilmente en la percepción de guerra y paz de Occidente. China, la civilización más
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 39
Guerra Híbrida.

antigua del mundo, está teniendo una visión general. No tiene interés en ganar batallas a
corto plazo; su objetivo es ganar la guerra a largo plazo.

Esta larga visión fue resumida por Bill Priestap, subdirector de la división de
contrainteligencia del FBI, el cual en un comunicado ante el Comité Judicial del Senado
en 2018 dijo:

El gobierno chino comprende una lección central de la Guerra Fría entre EEUU y la
Unión Soviética: la fortaleza económica es la base del poder nacional. La rivalidad
entre los Estados Unidos y China se verá muy influenciada, si no determinada en
última instancia, en la fortaleza de nuestras economías (Priestap, 2018).

La URSS no fue derrotada por el poder del ejército de los Estados Unidos, sino por el
poder de su economía. Al esforzarse por mantener o sobrepasar la fuerza militar de
Occidente, la URSS quedó en bancarrota hasta su disolución.

Frente al mismo Comité Judicial del Senado, el asistente del fiscal general John Demers
describió la política económica china como “robar, replicar y reemplazar”. “El libro de
jugadas es simple”, dijo. “Robar a la empresa estadounidense su propiedad intelectual.
Replicar la tecnología. Y reemplazar a la compañía estadounidense, primero en el
mercado chino y después en el mercado global” (Demers, 2018). Se alega que este manual
de jugadas es visible en los sucesos relativos a la compañía canadiense de
telecomunicaciones Nortel y la firma china Huawei. Nortel había sido una exitosa
empresa global. Pero en 2004, el asesor de seguridad senior Brian Shields descubrió que
los sistemas de Nortel habían sido hackeados de manera integral. Esto comenzó en el año
2000 y continuó durante diez años.

Shields cree que la piratería fue realizada por informáticos del gobierno chino en nombre
de Huawei. “Este tipo de cosas no las hacen solo los piratas informáticos. Creo que esto
es una actividad de estado-nación” (Ghoreishi, 2018). No hay pruebas de que Huawei
haya participado o se haya beneficiado de los ciberataques a Nortel. Sin embargo, el hecho
es que Huawei prosperó rápidamente en el escenario mundial, mientras que Nortel se
declaró en bancarrota en enero de 2009. Si las sospechas de Shield son correctas, éste
sería un ejemplo perfecto de “robar, replicar y reemplazar”.

Varias leyes rigen las operaciones cibernéticas de China. La Ley de Seguridad Nacional
de 2015 fue una pieza integral de legislación inicial para articular la estrategia general de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 40
Guerra Híbrida.

China. La Ley de Inteligencia Nacional de 2017 empoderó específicamente a las dos

partes del aparato de la policía secreta, el Ministerio de Seguridad Nacional (guoan) y la
Oficina de Seguridad Interna del Ministerio de Seguridad Pública (guobao).

Las operaciones en el extranjero se encuentran principalmente en el Centro de Evaluación

de Información y Tecnología de China (CNITSEC), que forma parte de la agencia de
espionaje del Ministerio de Seguridad del Estado (MSS). El grupo APT 3, que forma parte
de CNITSEC, se enfoca en entidades extranjeras y entrega información a la que accede a
MSS para impulsar estrategias más amplias. A las actividades de MSS debemos añadir
las operaciones del EPL, es decir, el ejército chino. El gobierno de los Estados Unidos
acusó a cinco oficiales chinos de la Unidad 61398, del Tercer Departamento del EPL, tras
el informe de Mandiant de 2013 sobre APT 1, en el que se alertó a los EEUU sobre la
gravedad de las operaciones de piratería en China.

Como en el caso ruso, parte de la capacitación ciber de China se ha logrado mediante la

subcontratación de expertos civiles cuando es necesario. “Estos grupos incluyen APT 3 y
APT 10, ambos de los cuales se han atribuido a contratistas que trabajan en nombre del
MSS” (Townsend, 2019).

El acuerdo entre el presidente chino Xi y el presidente estadounidense Obama también

podría haber llevado inadvertidamente a un aumento de la sofisticación china. “Antes de
que el gobierno de Obama comenzara a responsabilizarlos” comenta Paul Kurtz, ex
miembro del Consejo de Seguridad Nacional de la Casa Blanca y ahora cofundador y
CEO de TruSTAR, “los ataques de China fueron más ruidosos y fáciles de atribuir. Los
adversarios aprenden unos de otros. China tomó nota de las tácticas de Rusia, Irán y Corea
del Norte”. Como mínimo, estos adversarios declarados de EEUU se están volviendo más
sofisticados, y China está avanzando a pesar del acuerdo de 2015 entre Xi y el ex
presidente Obama.

Los ejemplos de ciberataques importantes atribuidos a China incluyen el de la Oficina de

Administración de Personal (OPM) de EEUU. En 2015, la pérdida de información
detallada sobre más de 21 millones de empleados federales y solicitantes de empleo
federales; y el truco más reciente de los hoteles Marriott que conllevó a la pérdida de
datos de 383 millones de personas.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 41
Guerra Híbrida.

Si bien en ambos casos China es el principal sospechoso, no existe una prueba absoluta.
La atribución precisa en el ciberespacio es muy difícil y, sin duda, los piratas informáticos
dejan falsas señales para confundir el análisis forense. Las tácticas y técnicas utilizadas
por los grupos chinos avanzados son bien conocidas y se pueden replicar fácilmente por
otros grupos avanzados, y lo mismo puede decirse de otros actores estatales nacionales.

China no desea provocar un conflicto abierto con los Estados Unidos; ya sea cibernético
o cinético. Pero para ser económicamente más fuerte que los EEUU, primero debe cerrar
la brecha tanto en tecnología empresarial como en tecnología militar. Esto significa que
sus operaciones cibernéticas deben ser sofisticadas, dirigidas y no destructivas.

Hay tres objetivos principales: personas, militares e infraestructura crítica.

- Población: Las personas a menudo son definidas como el eslabón más débil de la
seguridad. El acceso directo a las credenciales que no se modifican permite un fácil acceso
a las redes. Si las credenciales no están disponibles, los detalles personales a menudo
serán suficientes para enmarcar ataques de phishing atractivos y potencialmente
irresistibles.

El acceso a grandes volúmenes de datos personales, especialmente cuando esas personas

son empleados de empresas o gubernamentales de alto calibre, abre la oportunidad para
futuras operaciones furtivas contra compañías específicas o agencias gubernamentales.
Ejemplos paradigmáticos son los hacks OPM (gobierno) y Marriott (negocios).

Este nivel de información disponible, también ofrece el potencial de reclutamiento de

agentes mediante coerción (chantaje) o incentivo (soborno).

De ello se deduce que cualquier negocio que posea los datos personales de un gran
número de esas personas es un objetivo potencial para los piratas informáticos del
gobierno chino.

- Militar: Los secretos militares y de tecnología asociada son un objetivo tradicional

para el espionaje internacional de todas las categorías. Es un objetivo principal para
China.

Un ejemplo reciente fue reportado por Symantec. En 2013, Symantec descubrió un nuevo
grupo, al que ha llamado Thrip, realizando campañas de espionaje desde sistemas
ubicados en China. El informe sobre Thrip se publicó en junio de 2018. “Esto es
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 42
Guerra Híbrida.

probablemente espionaje”, dijo Greg Clark, CEO de Symantec (Bloomberg, 2018). El

grupo Thrip ha estado trabajando desde 2013 y su última campaña utiliza herramientas
estándar del sistema operativo, por lo que las organizaciones específicas no notarán su
presencia. Funcionan de manera muy silenciosa, se mezclan en redes y solo se descubren
utilizando inteligencia artificial que puede identificar y marcar sus movimientos. De
manera alarmante, el grupo parece muy interesado en los operadores de
telecomunicaciones, satélites y compañías de defensa.

En junio de 2018 se informó que los piratas informáticos del gobierno chino habían
robado 614 Gb de datos de un contratista de la Marina de los Estados Unidos. Los datos
incluían planes para un nuevo tipo de misiles, sensores y sistemas criptográficos lanzados
desde submarinos.

En marzo de 2018, se reveló que una organización que prestaba servicios al gobierno del
Reino Unido había sido atacada por el grupo de amenazas chino conocido como APT 15.
Los investigadores creen que los objetivos finales eran varios departamentos
gubernamentales de los EEUU y tecnología militar.

El método es similar a la campaña conocida como Cloud Hopper. En 2017, PwC UK y

BAE Systems describieron una campaña generalizada de APT 10 con sede en China
dirigida contra proveedores de servicios gestionados (MSP), en al menos catorce países
diferentes. Los MSP no son el objetivo final, sino que son sus clientes. La campaña
comienza con el phishing de caza para comprometer el MSP. Desde aquí, el atacante
obtiene credenciales legítimas para acceder a las redes de clientes de los MSP que se
alinean con el perfil de orientación de APT 10, que los investigadores afirman que se
ajusta al plan quinquenal actual de China para el crecimiento económico.

El 20 de diciembre de 2018, el Departamento de Justicia de los Estados Unidos (DoJ)

anunció que dos ciudadanos chinos, miembros del grupo de piratería APT 10, habían sido
acusados de participar en campañas informáticas de intrusión durante más de una década.
El anuncio menciona dos campañas particulares de APT 10: la campaña de robo de MSP
y la campaña de robo de tecnología. Aunque el DoJ no utiliza el término “Cloud Hopper”,
es evidente que la campaña de robo de MSP y Cloud Hopper son la misma campaña.

- Infraestructura crítica: Es improbable que China haga algo demasiado abierto o

dramático, lo que interferiría con su estrategia a largo plazo. Pero sería ingenuo pensar
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 43
Guerra Híbrida.

que no está haciendo nada. “Como mínimo, debemos esperar que China esté buscando
mapear, modelar y entender cómo atacar la infraestructura crítica de los Estados Unidos”
comenta Kurtz de TruSTAR. Por último, conviene destacar, que debido a que muchas de
las incursiones chinas han involucrado espionaje industrial o robo de propiedad
intelectual, China ha sido etiquetada como actor de operaciones cibernéticas para apoyar
el robo de propiedad intelectual, y sin embargo en muchos casos no ha sido así. Muchas
intrusiones se clasifican erróneamente como espionaje económico cuando en realidad son
mucho más (Townsend, 2019).

EEUU. El público en general sabe muy poco acerca de las capacidades de

ciberguerra de los Estados Unidos. El gobierno estadounidense no está
publicitando sus capacidades cibernéticas. Está siendo intencionalmente lo
más discreto posible. Pero lo poco que se sabe acerca de lo que Estados Unidos ha hecho
es muy impresionante. Mucho de lo que ha salido a la luz deriva de las filtraciones de
Edward Snowden. El Washington Post informó que en 2011 Estados Unidos “llevó a cabo
231 operaciones cibernéticas ofensivas”. Esto incluyó la colocación de implantes
encubiertos en más de 80.000 máquinas en todo el mundo (McKaughan, 2016).

Los documentos filtrados por Edward Snowden en 2013 arrojaron luz sobre una vasta
operación encubierta realizada por el equipo de Operaciones de Acceso a Medida
(Tailored Access Operation team, TAO) de la NSA, responsable de lo que el gobierno
denomina explotación de redes informáticas y ataques a redes informáticas. Ésos pueden
sonar similares, pero hay diferencias importantes entre ellos.

La explotación de la red de computadoras o CNE (Computer network exploitation) se

refiere a las operaciones de espionaje y reconocimiento. Éstas se realizan para robar datos
de un sistema o simplemente para obtener información sobre redes, para comprender
cómo funcionan y están configurados. Los ejemplos de CNE incluyen Flame, una
herramienta de espionaje masiva utilizada para recopilar información de Irán y otros
objetivos, y Regin, que se usó para piratear a la Comisión Europea y a Belgacom, una
empresa de telecomunicaciones parcialmente estatal de Bélgica. Las operaciones de
Regin se han atribuido, finalmente, a la agencia de espionaje del Reino Unido GCHQ.

Un catálogo de herramientas personalizadas de piratería de la NSA que se filtró en 2013

muestra las vastas capacidades disponibles para los piratas informáticos del TAO. Las
herramientas, con nombres como PICASSO, IRATEMONKEY, COTTONMOUTH y
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 44
Guerra Híbrida.

WATERWITCH, pueden subvertir firewalls, servidores y enrutadores, o hacerse pasar

por estaciones base GSM para interceptar llamadas de teléfonos móviles o desviar datos
de redes inalámbricas. También hay dispositivos de error que los piratas informáticos de
TAO colocan en ordenadores para desviar datos, a través de ondas de radio, a estaciones
de escucha, a veces ubicadas hasta ocho millas de distancia de la máquina de la víctima.

Si se piensa en la CNE como el Ocean´s Eleven ciber, la CNA se parece más a Jungla de
Cristal. Las operaciones de CNA están diseñadas para dañar, destruir o interrumpir los
sistemas informáticos, o realizar operaciones controladas por aparatos informáticos,
como el ataque de Stuxnet. Otra operación de la CNA atribuida a estados nacionales es el
ataque aéreo realizado por Israel en 2007 contra el sistema de defensa aérea de Siria. Ese
ataque, fue diseñado para evitar que el sistema automatizado de defensa aérea de Siria
detectara aviones de bombarderos volando para llevar a cabo un ataque aéreo contra el
complejo Al-Kibar, que se cree que es un reactor nuclear ilícito que Siria estaba
construyendo.

El hackeo de 2016 de las plantas de distribución de energía en Ucrania fue un CNA. La

piratería de Sony, atribuida a Corea del Norte, también se consideraría una operación de
la CNA, ya que los piratas informáticos no solo extrajeron los datos de la red de la
compañía, sino que también destruyeron los datos y los sistemas cuando salían por la
puerta.

Muchos ataques CNA comienzan como operaciones de la CNE, ya que los ataques
diseñados para causar destrucción a menudo requieren reconocimiento digital y
recopilación de inteligencia primero. Debido a que algunas herramientas pueden usarse
tanto para ataques CNE como CNA, puede ser difícil, para las víctimas que encuentran
este tipo de malware en sus máquinas, saber si la operación es una misión de espía o una
misión de ataque; al menos, es decir, hasta que sus sistemas sean destruidos (Zetter,
Hacker Lexicon: What Are CNE and CNA?, 2016).

Snowden alega que Estados Unidos atacó universidades chinas y compañías de telefonía
móvil para instalar hardware que crease un “acceso de puerta trasera” que podría activarse
en un momento posterior. La información de Snowden es similar a las acusaciones de la
empresa de seguridad rusa Kapersky Lab de que Estados Unidos es en realidad el grupo
de alto secreto “Equation group”. Un grupo desconocido de hackers que ha existido desde
los años 90 pero que solo fue descubierto por Kaperksky en 2015. Kapersky los considera
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 45
Guerra Híbrida.

“el actor de amenazas más avanzado que se haya visto” (Kaspersky Lab’s Global
Research and Analysis Team, 2015).

Aunque no llegue a los medios de comunicación al uso, Estados Unidos también está
realizando una ofensiva cibernética contra el Estado Islámico junto con ataques más
convencionales. La única razón por la que se tiene constancia de esa realidad es porque
el Subsecretario de Defensa, Robert Work, anunció que Estados Unidos lanzaba “bombas
cibernéticas” al ISIS (Starr, 2016). Esta fue la primera vez que el gobierno de los EEUU
admitió haber utilizado directamente los ataques cibernéticos contra un oponente.

El ejemplo más famoso de la ciber potencia de EEUU es la “Operación de los Juegos

Olímpicos” y el virus, más conocido que generó, llamado Stuxnet, al que hemos hecho
referencia a lo largo del trabajo. Fue diseñado por agencias de inteligencia
estadounidenses e israelíes, e introducido en Irán para interrumpir su programa nuclear.
El virus se introdujo físicamente en la Instalación de Enriquecimiento de Irán en Natanz.
Se desconoce cómo Stuxnet se propagó rápidamente a través del sistema, infectando
computadoras que controlaban las centrifugadoras responsables de enriquecer uranio.
Posteriormente, el virus se activó y destruyó más de mil centrifugadoras al afectar sus
ciclos de centrifugado y hacer que algunos explotaran. Esto retrasó el progreso iraní dos
años.

Desde entonces, los Estados Unidos han expandido rápidamente el Comando Cibernético
de los Estados Unidos (USCYBERCOM) y el Ejército de los Estados Unidos ha creado
una rama separada para la Guerra Cibernética. Es bastante fácil deducir, solo a partir de
esta información, que Estados Unidos ha aumentado radicalmente sus capacidades
cibernéticas desde 2011.

Otro indicador de la capacidad de EEUU es el ataque cibernético que se planeó respecto

a Irán en caso de que las conversaciones sobre el acuerdo nuclear fracasaran como último
recurso antes del conflicto armado. Los ataques conocidos como “Operación Nitro Zeus”
habrían paralizado las “defensas aéreas, sistemas de comunicaciones y partes cruciales de
su red eléctrica”. Esta ofensiva habría tenido el mismo impacto físico que un ataque
cinético en estas estructuras, pero sin el riesgo de poner personal estadounidense en
peligro. Este ataque habría sido uno de los más grandes y devastadores en la historia de
los ataques cibernéticos jamás realizados (McKaughan, 2016).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 46
Guerra Híbrida.

Israel. En 2014 Israel supuestamente atacó a la empresa de seguridad rusa

Kaspersky Lab para obtener información sobre sus investigaciones sobre
los ciberataques llevados a cabo por agentes estatales. También atacó sedes
europeas donde el Consejo de Seguridad de la ONU se reunió para negociar el programa
nuclear de Irán, obteniendo como resultado obtención de inteligencia.

Se sospecha que en 2012 lanzó el Wiper attack contra la Compañía Nacional de Petróleo
de Irán. El malware borró los datos del disco duro, luego borró los archivos del sistema,
lo que provocó que las máquinas se bloquearan y evitara que se reiniciaran.

Corea del Norte. En 2014 Sony Pictures Entertainment fue paralizado por
un ataque. Estados Unidos atribuyó la acción a Corea del Norte y aplicó
sanciones económicas contra el país y funcionarios específicos. Los
atacantes capturaron gigabytes de datos internos y comunicaciones, que luego publicaron
en línea.

En 2013 las computadoras en Corea del Sur fueron atacadas por una bomba lógica que
causó la eliminación de datos y evitó el reinicio. Corea del Sur culpó del ataque a Corea
del Norte, pero nunca ha presentado pruebas sólidas. Dos compañías de medios de
difusión y al menos tres bancos se vieron afectadas.

Irán. Irán presuntamente lanzó en 2012 un virus llamado Shamoon contra

las computadoras de la empresa petrolera estatal Saudi Aramco. Los
funcionarios estadounidenses culpan a Irán por el ataque, pero nunca han
presentado pruebas. Shamoon borró los datos de unas 30,000 máquinas y destruyó los
archivos del sistema, impidiendo los reinicios.

Asimismo, lanzó una serie de ataques de denegación de servicio contra bancos

estadounidenses. Aunque Izz ad-Din al-Qassam Cyber Fighters asumió la
responsabilidad, los funcionarios estadounidenses afirmaron que Irán estaba tomando
represalias por las sanciones de Stuxnet y de la ONU (Zetter, 2015).

Mapa de CyberWar: El Proyecto Cyber Vault del National Security Archive de la

Universidad George Washington representa en un mapa lo que podríamos denominar
parafraseando a Kipling, “el gran juego digital”. El proyecto se centra en los ciberataques
patrocinados por actores estatales y destaca, además de los mencionados, países como
Pakistán, Bangladesh, Alemania, Dinamarca, Chile, Canadá, Estonia, Francia, Japón,
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 47
Guerra Híbrida.

México, Arabia Saudí, Qatar, Vietnam, Emiratos Árabes, Turquía, Suiza, Siria, Corea del
Sur, Ucrania y organizaciones como Al Qaeda, Hamas, Hezbolla e ISIS (Archive, 2019).

Así como el Imperio Británico y la Rusia de los zares se disputaron el extenso territorio
entre Persia e India, así se disputan las diversas potencias el control sobre Internet, en este
otro gran juego de similar naturaleza. La idea utópica y libertaria de aquellos jóvenes
californianos, sobre la que se construyó Internet, choca hoy con una realidad muy distinta.
Un tablero geopolítico de competición en el que los Estados pugnan por todos los medios
por controlar y evitar que otros controlen. “

Vivimos bajo el síndrome del terrorismo yihadista, pero el último informe de

seguridad del responsable de seguridad nacional estadounidense, James Clapper,
considera las amenazas ciberespaciales potencialmente más dañinas que las
provenientes del autoproclamado Estado islámico en Raqa (Torreblanca, 2016).

1 CyberWar Map. The Cyber Vault Project (Archive, 2019)

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 48
Guerra Híbrida.

3.4.2. Amenaza Persistente Avanzada

APT es uno de los principales impulsores de la guerra cibernética. El término APT se usa
a menudo de diferentes maneras por los medios de comunicación, pero, para los fines de
este trabajo, significa ataques guiados por el Estado. Es el espionaje digital o el espionaje
en el mundo virtual. Algunas de las actividades APT más comúnmente referenciadas han
sido ya resaltadas al comienzo del capítulo (Titan Rain, Operation Buckshot Yankee,
Aurora, Stuxnet, Night Dragón, Informe APT 1).

3.4.3. Crimen organizado

Hay actividades de crimen organizado en Internet tan ampliamente difundidas en el

imaginario colectivo que ya casi podríamos adjetivarlas como meméticas (en el sentido
del término meme de Internet); sería el caso de las famosas cartas nigerianas. Estafas
diseñadas para robar identidades y acceso a las cuentas bancarias de las víctimas. Estas
estafas han existido mucho antes de Internet, pero se han convertido en mucho más fácil
de ejecutar a granel y con poco riesgo de represión por las fuerzas del orden, ya que los
perpetradores se encuentran por lo general en el extranjero. Otra estafa popular es la venta
de medicamentos falsos. Estafas similares se están empleando para que miembros de la
infraestructura de seguridad militar o nacional se vean involucrados en actividades que
no harían en el mundo real.

Una de las organizaciones criminales más conocidas se llama Russian Business Network
(RBN) también conocido como Russian Mob (Mafia Rusa) (hay que tener en cuenta que
no se trata de una única organización). Quien se gradúa en una universidad de uno de los
antiguos países del bloque de la Unión Soviética con un título en ciencias de la
informática, sabe que uno de los trabajos mejor pagados se consigue en el RBN. Allí se
trabaja a tiempo completo en tareas como construir exploits personalizados dirigidos a
instituciones financieras específicas, construir ejércitos de botnets, ejecutar redes de robo
de identidad, o en cualquiera de la docena de proyectos empresariales para organizaciones
como la RBN.

Estas organizaciones pueden tener personal en un país, utilizar sistemas situados en un

país diferente (durante un tiempo RBN estaba utilizando sistemas alojados en China) y
cometer delitos contra ciudadanos en un tercer país. Esto conlleva que la persecución de
dichos delitos sea una tarea muy compleja.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 49
Guerra Híbrida.

3.4.4. Insider o amenaza interna

Estas amenazas representan el 20% de la amenaza, pero podrían causar el 80% del daño
(estudios recientes de CIS y Verizon muestran que los números reales de personas con
información privilegiada están cerca del 50%).

La razón es que dichas personas conocen lo que es valioso en la red y, a menudo, tienen
acceso legítimo a ello. Las categorías básicas serían: empleados descontentos, motivados
financieramente (ladrones) y usuarios que involuntariamente causan daños.

3.4.5. Hacktivistas

Los hacktivistas pueden estar motivados por puntos de vista políticos, creencias
culturales/religiosas, orgullo nacional, o ideología terrorista.

El ejemplo más notable ha sido Anonymous. Hackers de todo el mundo se unieron para
atacar organizaciones demonizadas por dicho grupo. Atacaron la Iglesia de la
Cienciología bajo el nombre del proyecto Chanology en 2008 y comenzó a usar su marca
registrada: “Somos anónimos. Somos legión. Nosotros no perdonamos. No olvidamos.
Espéranos”.

Han atacado a MasterCard (por dejar de brindar soporte a WikiLeaks), a agencias de

cumplimiento de la ley (por llevar a cabo medidas que el grupo no aprueba), a partidos
políticos, a HBGary Federal (el por entonces Director Ejecutivo, Aaron Barr, tuvo que
renunciar tras los ataques que siguieron a su anuncio de que había realizado una lista, que
pensaba publicar, con los nombres de los piratas virtuales de Anonymous), a Sony (en
respuesta a una demanda presentada), a Bay Area Rapid Transit System (en respuesta a
su cierre de la cobertura de la torre de telefonía para evitar una manifestación ciudadana),
a páginas de pornografía y a un gran número de páginas gubernamentales en todo el
mundo. En 2013, el FBI detuvo a muchos de los líderes de Anonymous, pero el grupo
sigue activo y es de esperar que broten más grupos como éste.

3.4.6. Script Kiddies / Noobs

Son términos peyorativos acuñados para referirse a los hackers menos expertos. Son
aquellos que solo usan herramientas que se puede encontrar en Internet con poca
metodología o técnica.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 50
Guerra Híbrida.

Tienen motivaciones diversas para empezar a hackear. Podemos ver muchos ejemplos de
éstos en conferencias de hackers como DEFCON, ShmooCon o HOPE.

La amenaza para la seguridad que suponen y el problema que plantea al panorama de

guerra cibernética es la enorme cantidad de actividad que desarrollan. El viejo adagio “el
defensor tiene que hacerlo bien cada vez que el atacante solo tiene que hacerlo una vez”
se aplica aquí.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 51
Guerra Híbrida.

4. ANÁLISIS JURÍDICO
El uso creciente de las capacidades cibernéticas para lograr objetivos estratégicos está
superando el desarrollo de una comprensión compartida de las normas de
comportamiento, aumentando las posibilidades de errores de cálculo y malentendidos que
podrían conducir a una escalada involuntaria de las tensiones y operaciones (Clapper,
2013).

Del mismo modo que surgieron normas restrictivas para la tecnología emergente
relacionada con el poder aéreo a principios del siglo XX y para las armas nucleares a
mediados del siglo XX, comienzan a surgir normas restrictivas para las armas cibernéticas
propias de la nueva tecnología emergente. La actual carrera cibernética mundial y el uso
de estas nuevas armas de guerra, amenaza la estabilidad global.

A lo largo de la última década se ha evidenciado un marcado aumento en el patrocinio

estatal de ciberataques como se señalaba en el capítulo anterior. Este aumento marca un
cambio en la forma en que los Estados perciben y usan las armas cibernéticas, creando
una oportunidad para el conflicto donde previamente no existía. No obstante, el creciente
uso internacional de las armas cibernéticas está superando el desarrollo de normas
compartidas de comportamiento.

Si las normas cibernéticas restrictivas no se mantienen a la par, ¿dónde se ubican

actualmente y cómo evolucionarán en el futuro? El advenimiento de la guerra cibernética
plantea una serie de desafíos para los Estados. Algunos de estos desafíos también fueron
presentados por el advenimiento de anteriores armas de tecnología emergente, haciendo
que la teoría de la evolución de la norma para las armas de tecnología emergente sea
especialmente pertinente para la guerra cibernética (Mazanec, 2015).

Publicaba Brandon Valeriano en The Washington Post que los incidentes cibernéticos
anteriores se centraron en la adquisición de información, la infiltración de redes o ataques
de precisión para sabotear a la oposición. Lo que estamos viendo ahora son acciones
cibernéticas disruptivas, con el objetivo de dejar patente la capacidad de lograr la
interrupción de los sistemas y la demostración de la inestabilidad de los modelos
democráticos occidentales (Valeriano, 2017).

Además, como señalábamos en el capítulo anterior el mismo secretario general de la

ONU, reconociendo la existencia de episodios de guerra cibernética entre Estados,
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 52
Guerra Híbrida.

destaca que “lo peor es que no hay un esquema reglamentario para este tipo de guerra, no
está claro si la Convención de Ginebra o el Derecho Internacional pueden aplicarse en
estos casos”. Proclama la necesidad de un marco legal más concreto “para evitar riesgos
reales”. “Estamos totalmente desprotegidos de mecanismos regulatorios que garanticen
que ese nuevo tipo de guerra obedezca a aquel progresivo desarrollo de leyes de guerra,
que garantice un carácter más humano en aquello que es siempre una tragedia de
proporciones extraordinariamente dramáticas”. “Tenemos que unirnos todos, no solo los
Estados, para garantizar que Internet sea un factor de bien de la humanidad. Las normas
tradicionales, a través de Estados o convenciones internacionales, están hoy inadaptadas
a la nueva realidad porque son lentas” (Martín, 2018).

Varias normas candidatas para la guerra cibernética están comenzando a surgir a través
de la práctica estatal y los esfuerzos deliberados de cultivo de normas, a medida que más
estados y otros actores comienzan a lidiar con esta creciente amenaza, a través de un
número creciente de plataformas organizativas.

Estas normas tempranas a veces son mutuamente excluyentes y contradictorias, por ello
es preciso contar con un marco regulatorio global de ciberseguridad. Un marco
cohesionado en el que participen los diferentes actores; es decir, los múltiples gobiernos
y empresas, resolviendo así los problemas jurisdiccionales y geopolíticos a la hora de
hacer frente a las ciberamenazas y garantizando, por otro lado, el crecimiento económico.

Tal situación sigue siendo una utopía debido a tres aspectos inherentes del fenómeno. Por
un lado, se carece de fronteras físicas, con el consiguiente problema respecto a un tema
crucial en la génesis y ejecución del Derecho, como es el tema de la soberanía. Por otro
lado, el problema de atribución para poder imponer las consecuencias pertinentes. Por
último, el vertiginoso avance tecnológico que eleva al máximo exponente el hecho de que
la realidad jurídica va a la zaga de la realidad social.

En el presente capítulo nos vamos a plantear una serie de cuestiones para la mejor
aproximación a la compleja situación jurídica del tema que nos ocupa: ¿estamos ante una
situación de vacío normativo en el ciberespacio? ¿en su caso, es necesario atajar ese
silencio jurídico? ¿Qué opción parece más deseable para tal empresa, la heterorregulación
o la autorregulación? (Reguera, 2015).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 53
Guerra Híbrida.

4.1. Necesidad de un Derecho del Ciberespacio

Destaca Fernando Savater (2013), que: “entre los valores que las instituciones deben
proteger y equilibrar, destacan la libertad y la seguridad”. No obstante, existe un error de
base en la defensa de una libertad sin restricciones en las redes, puesto que en tal caso lo
que se proclama es el concepto de libertinaje, no de libertad. Locke decía sobre el
libertinaje “no se trata de una libertad sin límites sino del fin de la libertad porque se ha
llevado a la libertad fuera de todo orden y se ha producido una negación de sí misma”
(Regera, 2015)

Y es que existe un permanente conflicto entre libertad y seguridad. Afirma el comandante

Jesús Reguera (2015) que:

En primera instancia, ganar libertad en detrimento de la seguridad se podría considerar

reaccionario y, sin embargo, ganar seguridad en detrimento de la libertad, podría ser
catalogado como de dictatorial. El conflicto existe y es ahí hacia donde hay que
dirigirse para tratar de resolver el problema, con la intención de encontrar un equilibrio.

Y es que del mismo modo que con el surgimiento de los primeros vehículos no se
contempló la necesidad de dotarse de normas para regular esa realidad, la situación
presente de tráfico rodado o de tráfico en las redes, hace evidente la necesidad de códigos
de circulación o de actuación. Destaca la inexistencia de un marco legal internacional al
estilo de la Convención de Naciones Unidas sobre el Derecho del Mar. Un Derecho del
Ciberespacio que supere ese tratamiento sectorial y coyuntural, dotando de un
planteamiento holístico y coherente.

Afirma Robles que “el ciberespacio impone, también, la necesidad de abordar ciertos
cambios en los modelos de organización interna e internacional”. Hay que tener presente
que la realidad del ciberespacio supone tanto una nueva arena de coexistencia social como
un nuevo ámbito de la seguridad internacional. Nuevas e intensas formas de interacción
intrapersonal y nuevas e intensas estrategias de uso de fuerza y del conflicto armado
(Robles, 2016).

Es por otro lado un escenario estratégico y un bien público y global. La sociedad

internacional no está abordando el tema en su verdadera complejidad, entendiendo su
naturaleza transversal y la capacidad de alterar los demás entornos con sus efectos.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 54
Guerra Híbrida.

No obstante, hasta que el mundo jurídico se sitúe a la altura de tales desafíos, lo que debe
de quedar claro es que el recurso a la ciberguerra por parte de los actores gubernamentales
debe de hacerse “desde el respeto al ius ad bellum y del ius in bello” (Regera, 2015).

Roberto Gil Navalón, jefe de la unidad SEGINFOPER, INS y DOC (Área de Seguridad
de la Información (SDGTIC)), destaca una serie de puntos que demandan tratamiento
normativo:

Establecer hasta qué nivel el uso del ciberespacio es un derecho y cómo debe ser
protegido. Determinar hasta dónde el Estado puede intervenir en nuestras acciones en
el ciberespacio. Coordinar las acciones legales que, a consecuencia de actos en el
ciberespacio, afecten a varias jurisdicciones. Congeniar en el ciberespacio el derecho
a la intimidad con la necesaria identificación de los delincuentes y la obtención de la
evidencia del delito. Determinar qué nuevos delitos pueden existir que sean exclusivos
de acciones en el ciberespacio. Acordar las limitaciones al posible uso del ciberespacio
en los conflictos bélicos (Gil, 2012).

Nos preguntábamos si deberíamos optar por la autorregulación o la heterorregulación,

tras asumir como crucial el afrontar normativamente la ciber realidad: De Miguel
Asensio, abogando por la primera vía afirma que “el ciberespacio constituye en cierto
sentido una zona independiente transnacional y ajena a jurisdicciones y territorios
estatales” (Asensio, 2000). No obstante, una sociedad autorregulada no deja de ser una
utopía, del mismo modo que lo sería una cibersociedad regulada por los propios usuarios.
Es, por ello, necesario una instancia independiente que regule y garantice los derechos y
libertades de los ciudadanos. Y puesto que este dominio supera las fronteras físicas,
amalgamando diferentes culturas y percepciones éticas y morales, demanda así pues
principios internacionales de norma mínima.

En ausencia de normas firmemente establecidas que rigen la guerra cibernética, los

Estados van probando lentamente los límites de lo que la comunidad internacional
considera un comportamiento aceptable en el ciberespacio, lo que nos deja un escenario
realmente peligroso.

4.2. Leyes cibernéticas internacionales emergentes

La teoría de la evolución de la norma indica que es más probable que la norma emerja
cuando participan actores clave, específicamente los “emprendedores normativos”
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 55
Guerra Híbrida.

(Mazanec, 2015), con plataformas organizativas y Estados clave que actúan como líderes
normativos.

Los dos organismos intergubernamentales principales y las plataformas organizativas (y

subplataformas) que se utilizan actualmente para promover normas emergentes para la
ciberguerra son la ONU y la OTAN.

Existen otros esfuerzos multilaterales clave para fomentar el desarrollo de normas

cibernéticas, como la Conferencia de Londres sobre el ciberespacio (y conferencias
posteriores) y los talleres académicos sobre normas ciber.

Los esfuerzos en la ONU han sido dirigidos principalmente por Rusia, y los esfuerzos
dentro de la OTAN han sido liderados por Estados Unidos.

En el ámbito de la ONU, fue en la Primera Comisión de la Asamblea General,

denominada “Comité de Desarme y Seguridad Internacional”, cuando se puso el foco en
la ciberguerra, así como en varios órganos subsidiarios y organismos especializados, en
particular la Unión Internacional de Telecomunicaciones (UIT) del Instituto de
Investigaciones de Desarme de la ONU (UNIDIR) y el Grupo de Trabajo de
Implementación contra el Terrorismo (CTITF). Hubo algún movimiento a principios de
la década de 1990, pero el enfoque serio en la ciberguerra comenzó en 1998, cuando los
representantes rusos presentaron una resolución en la Primera Comisión titulada
“Desarrollos en el campo de la información y las telecomunicaciones en el contexto de la
seguridad”, que iniciaría el proceso para establecer un “control de armas cibernéticas”
similar a otros acuerdos de control de armas como la Convención de Armas Químicas
(CWC). La Segunda Comisión de la ONU y el Consejo Económico y Social, examinaron
otros aspectos de la ciberseguridad como el cibercrimen y el ciberespionaje (Carr, 2011).

La propuesta rusa está diseñada para llevar a una prohibición de los ciberataques
ofensivos, control de las armas, así como la prohibición del terrorismo cibernético. No
obstante, la mayoría de observadores lo interpretan, por un lado, como un intento de Rusia
de restringir la superioridad de EEUU evitando su dominio cibernético, y por otro, como
parte de un discurso políticamente desestabilizador y represivo de la movilización social
en Internet, especialmente las revoluciones de color y los grupos proderechos humanos y
de disidentes, en lugar de una voluntad real de represión de los ciberataques (Maurer,
2011).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 56
Guerra Híbrida.

Estados Unidos ha liderado con frecuencia la oposición a esta propuesta debido a la

preocupación de que el tratado propuesto sería impracticable e inaplicable ya que
infringiría derechos garantizados por EEUU, libertades civiles y la libertad de expresión.

Estos esfuerzos normativos de la ONU, liderados principalmente por Rusia, pero también
ahora con una participación significativa de los EEUU, Alemania y otros, han ayudado a
establecer varias plataformas para el debate y han fomentado el surgimiento de varias
normas para la actividad ciber. En relación con la ciberguerra, ha habido tres normas
candidatas clave:

- la prohibición de las ciberarmas,

- la prohibición del primer uso de las armas cibernéticas y
- la obligación de evitar que se produzcan en su territorio ciberataques por parte de
actores no estatales.

Sin embargo, estas normas candidatas de restricción aún están comenzado a emerger y a
ganar apoyo. La defensa en su nombre puede ser una mera postura diplomática basada en
la práctica contemporánea de la ciberguerra; práctica que, sin embargo, no ha mostrado
tales restricciones. Además, los esfuerzos se complican por la falta de acuerdo sobre
términos y conceptos clave, por ejemplo, si la propaganda y la guerra de información son
parte de la guerra cibernética.

La OTAN también ha servido como un cuerpo intergubernamental principal y una

plataforma organizativa para promover normas emergentes. Tras los principales
ciberataques a Estonia (miembro de la OTAN) en 2007 y a Georgia (un aspirante a
miembro de la OTAN). En 2008, la OTAN comenzó a centrarse seriamente en la amenaza
de la ciberguerra (Ackerman, 2012). En 2008, la OTAN estableció el Centro de
Excelencia de Cooperación en Defensa Cibernética de la OTAN (OTAN CCD COE). El
OTAN CCD COE se encuentra en Tallin, Estonia (el epicentro del ciberataque de 2007)
y está patrocinado por once miembros de la OTAN. Se centra en mejorar la defensa
cibernética de la OTAN a través de la investigación, la educación y la consultoría.

En 2012, la organización publicó el Manual del Marco Nacional de Seguridad Cibernética

para ayudar a las naciones miembros a desarrollar mejor las políticas nacionales de
defensa cibernética.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 57
Guerra Híbrida.

El compromiso de la OTAN de abordar la ciberguerra se extiende más allá de este centro

de excelencia. En noviembre de 2010, la OTAN adoptó un nuevo concepto estratégico,
que reconocía que la ciberguerra “puede alcanzar un umbral que amenaza la prosperidad,
la seguridad y la estabilidad nacional y euroatlántica” (Heads of State and Government at
the NATO, 2010).

En general, la OTAN, liderada por los Estados Unidos, ha abordado la ciberguerra desde
una perspectiva que busca aplicar la Ley de Conflicto Armado (LOAC) existente a los
ciberataques en lugar de buscar restricciones más amplias y nuevas como las propuestas
por Rusia en la ONU. La actividad más importante de la OTAN en este sentido fue el
desarrollo del Manual de Tallin sobre el Derecho Internacional aplicable a la ciberguerra
(International Group of Experts, 2013)

El Manual de Tallin, que no refleja la opinión oficial de la OTAN, sino la opinión personal
de los autores (un “grupo internacional de expertos”), fue patrocinado por el CCD COE
de la OTAN y tres organizaciones que actúan como observadores: la OTAN, el Comando
Cibernético (CYBERCOM) y el Comité Internacional de la Cruz Roja.

El Tallin Manual representa no sólo la visión de consenso de estos participantes afiliados

a la OTAN sino también las principales posiciones del gobierno de los EEUU que
especificó en 2011 en la “Estrategia Internacional para El ciberespacio” que “las normas
internacionales existentes que guían el comportamiento del Estado, en tiempos de paz y
conflicto, también se aplican en el ciberespacio” (The White House, 2011). Por tanto,
dichas posturas defienden que la LOAC es adecuada y aplicable a la guerra cibernética y
rechazan la posición rusa de que la ciberguerra requiera normas y acuerdos
internacionales nuevos y distintos.

Además de las Naciones Unidas y la OTAN, las naciones individuales se han convertido
en creadores y líderes de normas y en la organización de foros multilaterales ad hoc para
discutir normas para la ciberguerra.

Un número creciente de actores clave están involucrados en este proceso de desarrollo de

normas, lo que aumenta la probabilidad de que la emergencia de la norma alcance un
punto de inflexión, como lo predice la teoría de la evolución de la norma (Mazanec, 2015).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 58
Guerra Híbrida.

13 Normas emergentes (Mazanec, 2015)

Si bien este creciente consenso para varias normas es una señal de progreso, aún quedan
muchos desafíos. El Coronel Afek, ex defensor general militar israelí, destacó algunos de
estos desafíos cuando dijo que la comunidad internacional se enfrenta a un “período
complejo y desafiante en el que podemos esperar una carrera cibernética de armamentos
con la participación de entidades estatales y no estatales, y una batalla masiva entre
Oriente y Occidente sobre el carácter del futuro régimen legal” (Cohen, 2014).

4.3. Leyes cibernéticas internacionales vigentes

El primer instrumento parcial sobre la materia es la Convención del Consejo de Europa

sobre Cibercrimen de 2001, conocida como Convención de Budapest. Es el primer tratado
internacional sobre delitos cometidos a través de Internet y otras redes informáticas,
además de incorporar medidas y procedimientos para la inspección de redes y la
interceptación de datos. Es el único tratado internacional vinculante hasta la fecha y
“constituye para muchos expertos la prueba de la seriedad del compromiso de los países
en su lucha contra el cibercrimen” (Enríquez, 2012).

En la Conferencia de Praga de 2002, se lanzó el proyecto de lograr un programa global

de coordinación de la ciberdefensa. Por otro lado, el impulso que se ha tratado de dar a la
sociedad de la información por parte de la ONU se ha traducido en las Cumbres
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 59
Guerra Híbrida.

Mundiales de la Sociedad de la Información (CMSI) (UIT, 2003-2005). La Cumbre de

Ginebra de 2003 adopta la “Declaración de Principios para Construir la Sociedad de la
Información: un desafío global para el nuevo milenio” y el Plan de Acción de Ginebra.
La Cumbre de Túnez en 2005 desemboca en el Compromiso de Túnez y en la Agenda de
Túnez para la Sociedad de la Información. En Ginebra se adopta también la Agenda de
Solidaridad Digital, que tiene por objeto fijar las condiciones necesarias para movilizar
los recursos humanos, financieros y tecnológicos que permitan incluir a todos los
individuos en la Sociedad de la Información mediante una estrecha cooperación nacional,
regional e internacional entre todas las partes interesadas.

Afirma Margarita Robles (2016) que:

Sin soslayar el valor de estas aportaciones, es indudable que la contribución esencial

de la ONU en materia de ciberseguridad ha de ser impulsar la formación del consenso
entre sus Estados miembros en relación con el mantenimiento de la paz y la seguridad
internacional. Pero por el momento, parece ser un objetivo difícilmente alcanzable.

Así pues, en el ámbito de la ONU no se han logrado consensuar iniciativas más allá de
aproximaciones sectoriales y existe un debate en curso dentro de las comunidades
académicas e internacional respecto a una cuestión crucial: si los ciberataques constituyen
uso de la fuerza y son actos de agresión bajo la Resolución de la ONU 3314: Definición
de Agresión (Consejo de Seguridad de las Naciones Unidas, 1974).

La Resolución de la Asamblea General de la ONU utilizada para definir la agresión y el

uso fuerza, Resolución 3314, fue redactada en 1974 antes de la llegada de Internet y la
computadora integrada. Por ello, evidentemente, el lenguaje utilizado en esta Resolución
no incorpora las armas cibernéticas. No obstante; Cameron H. sostiene que los
ciberataques son actos de agresión que violan la resolución 3314 en espíritu, pese a no
hacerlo por motivos obvios en su lenguaje explícito (Bell, 2018). Esta falta de claridad
lingüística y la ausencia de explícita inclusión del ciberataque en la definición de agresión
ha generado un cierto vacío normativo.

Una resolución adicional según la cual estos ataques pueden entenderse como una
violación del derecho internacional, es la Resolución 2625, la “Declaración sobre los
principios de derecho internacional relativas a las relaciones de amistad y cooperación
entre los Estados de conformidad con la Carta de las Naciones Unidas” (Asamblea
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 60
Guerra Híbrida.

General de Naciones Unidas, 1970). Dicha Resolución, describe la conducta aceptable de

los Estados miembros en sus interacciones.

Ambas resoluciones, pese a las carencias comentadas, se vienen utilizando para mostrar
que los ciberataques son violaciones claras del derecho internacional; sin embargo, la
falta de un componente cibernético explícito en la definición de agresión, como decimos,
ha creado un área gris, que algunos estados pueden considerar el pretexto perfecto para
la permisividad en el uso de que armas cibernéticas. De este modo los Estados pueden
actuar de manera hostil sin que sus acciones sean etiquetadas como actos de agresión,
mientras que los Estados que han sido sometidos a tales ataques no encuentran el respaldo
para ser capaces de responder sin temor a juicios o represalias por parte de la comunidad
internacional hasta que las organizaciones internacionales, como la ONU, desarrollen y
promulguen nuevas definiciones y leyes específicas para regular la guerra cibernética y
el derecho de represalia o compensación de los estados afectados.

La Resolución sobre “Definición de agresión” enumera siete escenarios generales que son
considerados actos de agresión, tales como el bombardeo de ciudades, la invasión de
territorio por las fuerzas armadas o el bloqueo de puertos. Con cada escenario implicando
fuerza armada o acción física de un Estado. La naturaleza física de esta resolución ha
llevado a muchos a concluir que los ciberataques no reúnen los requisitos físicos
enumerados en la Resolución, ni constituyen una fuerza armada en virtud de Resolución
3314. Lo que conduce a la reflexión siguiente: el derecho internacional debe cumplir con
la realidad; no pretender retorcer la realidad para que encaje en conceptualizaciones que
ya no se ajusta a la misma.

Por lo tanto, para resolver cualquier confusión con la Resolución 3314, debería de
añadirse a la definición de agresión un componente de guerra cibernética. Esto permitiría
a los Estados actuar con seguridad cuando fuesen dañados por las armas cibernéticas, y
estabilizaría el entorno actualmente inestable en el que opera la Comunidad Internacional

El sistema legal internacional actual se basa en principios que se forman a través de la

práctica habitual por los Estados. Una práctica consuetudinaria, en el sentido legal
internacional, según J.L. Brierly, “significa algo más que mero hábito o uso; es un uso
sentido por aquellos que lo siguen, entendiéndolo como obligatorio. Debe haber presente
un sentimiento de que, si el uso es transgredido, alguna forma de sanción probablemente,
o por lo menos debería, caer en el transgresor” (Brierly, 1963).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 61
Guerra Híbrida.

Tras identificarse una práctica como costumbre y aceptarse por parte de los Estados
miembros de Naciones Unidas, es redactado en el derecho internacional escrito a través
de tratados o resoluciones de la ONU. Podemos acudir al ejemplo del Derecho del mar,
respecto del cual reinaba una costumbre internacional de libre circulación en alta mar,
recogida en el Tratado de 1958, reformado en 1982. No obstante, por la novedad del
dominio objeto de estudio, no existen normas consuetudinarias.

Sin embargo, es importante entender que el derecho internacional no funciona como el

derecho interno. En el derecho internacional no se garantiza, aunque se espera que deriven
consecuencias por violar sus dictados. Por otra parte, los Estados deben consentir el estar
sujetos a un derecho internacional.

Lo dicho nos conduce de nuevo a lo arriba afirmado, la respuesta parece venir de la mano
de unas normas internacionales de derecho mínimo. Según J.L. Brierly, el derecho
internacional no está destinado a proporcionar soluciones concretas a problemas
específicos, más bien está destinado a crear estructuras para comprender las conductas y
las acciones estatales, y proporcionar un marco para la respuesta (Brierly, 1963).

La elaboración del derecho internacional es un proceso lento porque conlleva la necesidad

de consenso entre los Estados antes de la aceptación de una práctica general como ley, lo
que hace que el proceso sea poco adecuado para responder rápidamente al desbocado
desarrollo tecnológico como el ciberespacio.

Existiendo regulación internacional respecto a Internet y a tecnología informática, ésta se

ha mantenido en gran medida centrada en lo relativo a derecho comercial internacional y
derecho de marcas.

Si bien existen leyes y prácticas sólidas con respecto al uso privado e individual de
Internet, prácticamente no hay precedentes o costumbre normativa aceptada para abordar
el uso estatal de Internet como arma. La relativa naturaleza sin precedentes de la
ciberguerra y la posterior falta de costumbres o prácticas internacionales sobre el tema ha
permitido a los Estados, “llenar el vacío con sus opiniones sobre cómo se aplica el derecho
internacional en esta área” (Bell, 2018), como se ha explicado en el apartado anterior.

La complejidad del tema va más allá, y es que muchos estados creen que el derecho
internacional existente puede aplicarse al ciberespacio, lo que dificulta la creación de una
nueva ley internacional sobre este nuevo dominio. Por no hablar de las diferentes líneas
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 62
Guerra Híbrida.

discursivas en las políticas que protagonizan EEUU, China y Rusia. La defensa de la

libertad y accesibilidad frente a los que se reclaman su control como parcela de su
soberanía (Robles, 2016)

Este vacío en costumbres y prácticas internacionales ha permitido que Estados como

Rusia y Estados Unidos realicen ciberoperaciones, que amenazan la estabilidad mundial
y regional, sin consecuencias definidas.

4.4. Caso práctico: Rusia 2016 elección de los Estados Unidos

Un ejemplo del uso de ciberarmas en la guerra híbrida es el intento ruso de influir en las
elecciones de 2016 en los Estados Unidos y exacerbar las divisiones entre los ciudadanos
de los Estados Unidos.

Se ha alegado que los actores estatales rusos realizaron ciberataques para acceder a
servidores de correos electrónicos propiedad del Comité Nacional Demócrata (DNC) y
posteriormente publicaron información dañina en un intento de perturbar el proceso
democrático de los Estados Unidos. Igualmente se afirma que numerosos ciudadanos
civiles rusos llevaron a cabo una campaña coordinada que incluía el robo de identidad y
uso extensivo de plataformas de redes sociales para sembrar divisiones y exacerbar
tensiones entre los ciudadanos de los Estados Unidos en temas candentes como la
inmigración.

El Director Nacional de Inteligencia de Estados Unidos (DNI) realizó un informe titulado

“Evaluación de las actividades e intenciones rusas en las recientes elecciones de EEUU:
El proceso analítico y la atribución de incidentes cibernéticos”, que deja clara la postura
de las comunidades de inteligencia de Estados Unidos de atribuir al gobierno ruso la
cibercampaña para influir en la elección presidencial de los Estados Unidos de 2016
(Thielman, 2016).

Estos ataques al sistema democrático de EEUU son precisamente eso, ataques realizados
por un Estado a otro.

- Bajo la Resolución 2625 de “Relaciones Amistosas”:

Si la evidencia discutida en el informe del DNI se toma como hecho probado, este ataque
es sin duda una violación del derecho internacional en virtud de la Resolución 2625.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 63
Guerra Híbrida.

Además, esta campaña tuvo como objetivo interrumpir la unidad nacional, influir
directamente en el proceso político de los Estados Unidos y perjudicar la independencia
política de los Estados Unidos. Lo que supone claramente violaciones de la Resolución
2625, que establece que, “... cualquier intento dirigido a la interrupción parcial o total de
la unidad nacional ... o de su independencia política es incompatible con los propósitos y
principios de la Carta”.

- En virtud de la Resolución 3314 sobre “Agresión”:

El derecho internacional actual podría sostener que era potencialmente un ataque estatal
a una empresa privada, la DNC, sin daño económico o de las infraestructuras nacionales,
por lo tanto, no cumple con la definición de un acto de agresión. Alternativamente, se
podría argumentar que eran ciudadanos rusos conduciendo de forma privada esta guerra
de información, colocando así el caso fuera de la jurisdicción del sistema jurídico
internacional. Además, pese a que estos ciberataques estaban destinados a influir en la
independencia política de un Estado, no cumplen claramente el umbral de “un acto de
agresión” en virtud del artículo 3 de la Resolución 3314, debido a que no se utilizó la
fuerza armada.

Este ataque representa una falla del sistema legal internacional para mantener y proteger
la estabilidad, puesto que, al no cumplir con la definición legal internacional de agresión,
los EEUU tienen opciones justificables muy limitadas para responder en virtud del
derecho internacional.

- Respuesta:

Como respuesta a estos ataques, Estados Unidos impuso sanciones que apuntan en gran
medida a individuos y a entidades particulares en lugar de al propio gobierno ruso debido
a la dificultad de atribuir los ataques. Sin embargo, dos organizaciones gubernamentales
fueron sancionadas en esta acción, el Servicio de Seguridad Federal Ruso y el GRU,
principal agencia de inteligencia militar de Rusia.

Cuando se compara con las respuestas llevadas a cabo tras otros ciberataques anteriores,
esta respuesta puede parecer más completa y proactiva. Sin embargo, sigue siendo
preocupante que un ciberataque de esta magnitud, con atribución directa a un gobierno
extranjero, solo garantiza sanciones limitadas.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 64
Guerra Híbrida.

4.5. El derecho a responder de los Estados

Dada la evolución de las armas cibernéticas como herramientas de guerra, así como de
coerción política y el fracaso de la definición de agresión de la Resolución para abordar
adecuadamente esta nueva arma, está claro que estos ataques continuarán ocurriendo.

No obstante, la soberanía en el derecho internacional es un principio esencial, tanto desde

un punto de vista nacional como internacional, por lo que los estados soberanos tienen el
derecho natural de responder enérgicamente si sienten que han sido atacados.

Anél Ferreira-Snyman (2007) señala que la soberanía del Estado, generalmente aceptada
como un principio fundamental del derecho internacional, sostiene tres normas:

Primero, que todos los Estados soberanos, independientemente de su tamaño, tienen

los mismos derechos. En segundo lugar, que el territorio, la integridad y la
independencia política de todos los Estados soberanos es inviolable. En tercer lugar,
la intervención en los asuntos internos de los Estados soberanos no está permitido.

Usando el principio de soberanía, un Estado puede tomar represalias cuando sea

amenazado o dañado por otro Estado, sin consentimiento o acuerdo de la comunidad
internacional. De hecho, este concepto está consagrado en el Artículo 51 de la Carta de
la ONU, que explícitamente reconoce el derecho de legítima defensa individual o
colectiva (United Nations, 1945).

Por otra parte, J.L. Brierly sostiene que, si falla el derecho internacional para proteger a
un Estado víctima, o dar a esa víctima una vía legal para la reparación, “es probable que
el Estado lesionado, si es lo suficientemente fuerte, busque por otros medios la reparación
de la que la ley no puede proveerle”, por lo que no tener un elemento cibernético en la
definición de agresión de la ONU amenaza la estabilidad internacional. Es ampliamente
aceptado que los Estados pueden responder a amenazas o ataques de cualquier manera
que elijan, incluido ataques armados convencionales, con la única restricción de la
proporcionalidad y las leyes de guerra (Bederman, 2001).

Estados como Irán fueron limitados en su respuesta debido a la ambigüedad de la

Resolución 3314 sobre ciberataques. Debido al riesgo de ser etiquetado como agresor si
respondía con medios convencionales, Irán optó por responder con sus propios
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 65
Guerra Híbrida.

ciberataques. Esta respuesta tiene el potencial de crear una serie de asaltos cada vez más
perjudiciales entre dos Estados.

Como parte de la discusión sobre el derecho de los Estados a responder a los ataques, hay
debate sobre si un ciberataque constituye una violación de la integridad territorial del
Estado. La idea de las fronteras definidas y la defensa de la integridad territorial forma
parte de la defensa de la soberanía de un Estado. Algunos estudiosos sostienen que los
ciberataques no cumplen el umbral para ser considerados violaciones del territorio de un
Estado, y por lo tanto no son actos de guerra (May, 2015). Sin embargo, debe entenderse
que, si un Estado decidiese que un ciberataque constituye una violación de su integridad
territorial, podrían responder con un ataque militar convencional.

Los Estados víctimas tienen un derecho inherente a la legítima defensa protegida por la
Carta, y en el ejercicio de ese derecho, los Estados no tienen ninguna obligación legal
para obtener la aprobación de la ONU o de cualquier otro organismo internacional. La
capacidad del Estado para actuar de manera unilateral cuando responde a amenazas o
agresiones de otro Estado es innegable.

Además, bajo la Doctrina de Efectos, los Estados víctimas tienen automáticamente

jurisdicción sobre un ciberataque si ese ataque inflige costos económicos. La Doctrina de
Efectos “permite el ejercicio de jurisdicción sobre las actividades extraterritoriales de los
extranjeros que producen efectos dentro del territorio”. Bajo esta doctrina, los Estados
pueden ejercer su jurisdicción sobre actores estatales legalmente responsable de
ciberataques que les causaron daños económicos (Lowe, 1989).

Por ejemplo, en el caso estonio, un banco reportó un millón de dólares en daños y

perjuicios. Si el gobierno estonio pudiera rastrear el ataque a un individuo que opera en
Rusia, ese individuo estaría sujeto a la Ley de Estonia por sus acciones.

4.6. Conclusión.

Mientras los Estados crean que la guerra cibernética no es un acto de agresión,

continuarán usando estas armas, poniendo en peligro la estabilidad global. Hemos visto
que, si bien la guerra cibernética ciertamente viola la Resolución 2625 sobre “Relaciones
Amistosas”, no cumple con la definición de agresión según la Resolución 3314.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 66
Guerra Híbrida.

Esta brecha del derecho internacional ha creado un entorno global inestable en la que los
Estados están inmersos en una, cada vez más perjudicial, escalada de ciberataques de unos
contra otros, y coloca a los estados víctimas en inciertos escenarios de legalidad jurídica
en materia de represalias.

La inclusión de la guerra cibernética y su definición en la Resolución 3314, artículo 3,

sería de utilidad para evitar el uso de estas armas desestabilizadoras en el futuro. Sin
embargo, hasta que no exista dicho marco dentro del sistema legal internacional, los
Estados deberían mantener el derecho de responder a los ciberataques por cualquier
medio razonable a su disposición. Estas opciones deben incluir el uso de armas
convencionales si el ataque cibernético causa daños a las economías estatales,
infraestructura o instituciones políticas.

Por otra parte, es imperativo un diálogo sólido e inmediato entre la comunidad

internacional para hacer frente a la falta de comprensión de la ciberguerra, para definir
mejor lo que constituye un acto de guerra en esta nueva dimensión y cómo los Estados
deben responder a tales ataques. Sin esta conversación y la inclusión de la ciberguerra en
la Resolución 3314, los ciberataques continuarán, incrementándose así el potencial escalo
hacia la guerra convencional y la inestabilidad global actual.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 67
Guerra Híbrida.

5. IMPLICACIONES PARA LA SEGURIDAD NACIONAL

5.1. Ciberseguridad y gestión del riesgo

Es imperativo comenzar este apartado señalando que, desde una concepción del realismo
ofensivo de John Mearsheimer (Mearsheimer, 2013), el sistema internacional es
fundamentalmente anárquico y sometido a las dinámicas creadas por los Estados en su
búsqueda sistemática de su propio interés, definido como poder. Además, no conocen con
certeza las intenciones de los otros Estados por lo que los errores de interpretación y la
incertidumbre son una realidad.

En capítulos anteriores, se trataba de exponer la evolución del uso de la violencia por el

ser humano para dirimir sus conflictos y saciar su ambición. Pues bien, del mismo modo,
el concepto de seguridad ha sufrido una transformación cuantitativa y cualitativa.

Si en un principio las acciones derivadas de una contienda afectaban a la seguridad en

cuanto al territorio de una nación o sociedad, posteriormente se fue ampliando a sus
instituciones, infraestructuras críticas, llegando al peligro de la supervivencia de los
ciudadanos en supuestos de Guerra Total. Así pues, la categoría jurídica del concepto
seguridad, deja de limitarse a conceptos clásicos de paz pública y orden público,
seguridad interior y seguridad exterior.

La Seguridad Nacional se define según la Doctrina del Ejército de Tierra del año 2003
como “el Estado deseado por una sociedad, en la que pueda desarrollarse y prosperar libre
de amenazas”. “La defensa es la adopción práctica de medidas conducentes a mantener
la seguridad deseada” (Feliu L. , 2012). Otra definición extendida es la de Arnord Wolfers
ampliada por Charles-Philippe David: “La seguridad se manifiesta por la ausencia, tanto
de amenazas militares como no militares que pueden introducir cuestionamiento de los
valores centrales que quiere promover o preservar una persona, una comunidad y que
suponen un riesgo de utilizar la fuerza” (Baldwin, 1997).

Los Estados cuentan con capacidades de lo más dispares para garantizar su Seguridad
Nacional. Desde el cuerpo normativo, la diplomacia, las medidas económicas, la política
y como última ratio, el uso de la fuerza. Enfocándonos en tales medios podemos entender
que la Defensa Nacional, que comprendería todas las acciones civiles y militares
destinadas a garantizar la Seguridad Nacional, engloba la Defensa Militar. “La Seguridad
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 68
Guerra Híbrida.

Nacional debe garantizarse pues en todos y desde todos los ámbitos o espacios
estratégicos que cada país tiende a dominar o controlar” (Feliu, 2012).

No obstante, llegados al punto de análisis de la situación en el que nos encontramos,

podemos entender que la Defensa no puede preverse únicamente considerando la
Seguridad Nacional, sino también la Seguridad Nacional de los considerados aliados. Y
es aquí donde encontramos un nuevo escollo. La existencia de cosmovisiones en cuanto
al concepto de ciberseguridad. Siguiendo a Sánchez de Rojas, conviven tres
cosmovisiones: la ciberliberal ofensiva que supone la conceptualización de EEUU, la
ciberliberal defensiva de la mano de la Unión Europea y la cibernacionalista-aislacionista
propia de los aliados en la materia Rusia y China (Robles, 2016).

Por otro lado, hay que ir más allá, puesto que la realidad en la que nos encontramos,
resumida en el concepto de revolución 4.0, hace necesario en el momento actual redefinir
el concepto de ciberseguridad por otro más comprehensivo, el de Seguridad Digital, con
el fin de recoger elementos derivados de la transformación digital que no son asumidos
por las IT tradicionales. Nos referimos a la conjunción de las tecnologías de operaciones
(OT) con las de la información (IT) en lo que se conoce como Internet of Things (IoT), o
también, el Internet de todo (Lima, 2019), “la fusión de la ciberseguridad de los sistemas
de información y redes (OT) que interconectan los distintos elementos de producción en
planta y de los sistemas de información corporativos (IT) presenta nuevos desafíos para
la seguridad industrial” (Alonso, 2019).

14 Evolución de la transformación digital (Olías, 2019)

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 69
Guerra Híbrida.

Ulrich Beck decía hace más de veinticinco años que vivimos en la sociedad del riesgo
(Beck, 2019). Hoy más que nunca podemos abrazar dicha máxima, ya que en la sociedad
de la información se ha asumido la idea de que la de que la seguridad total no existe y
como afirma Sánchez de Rojas, “la ciberseguridad va relacionada inherentemente al
riesgo” (Gómez J. A., 2013). A lo que podemos responder con un informe publicado por
la OCDE y titulado “Reducción del riesgo sistémico en ciberseguridad”. En él se recoge
la cooperación internacional como una de las claves para reducir los riesgos de
ciberseguridad (Brown, 2011). Además de esta necesaria cooperación dada la incapacidad
de hacer frente a esta realidad por actor alguno en solitario, “el ciberespacio implica un
modelo diferente de sociedad en el que se cuestionan desde los paradigmas clásicos sobre
seguridad y defensa, hasta los mecanismos de defensa de los derechos y libertades
fundamentales” (Robles, 2016).

Cuando se habla de la llamada “Sociedad de la Información” o de la “Sociedad en Red”

de Manuel Castells, el imaginario colectivo se ciñe a visualizar el paradigma que vino a
sustituir la sociedad industrial. No obstante, esta era informacional ya dibuja su propio
devenir, patentiza su propia evolución y permite que hablemos de su propio ayer. Jason
Healey divide la historia del conflicto cibernético en tres fases: “realización” en la década
de 1980, “despegue” de 1998 a 2003 y “militarización” desde 2003 hasta el presente
(Mazanec, 2015).

Hasta fechas recientes:

La ciberseguridad respondía a la exigencia de tutelar la información (Information

Security), lo que determinaba un enfoque legislativo destinado a sancionar los accesos,
usos, revelaciones, o daños ilícitos no autorizados. Sin embargo, en la actualidad, la
evolución conduce hacia la gestión de riesgos del ciberespacio (Information
Assurance) en la que los riesgos para la seguridad se encuentran vinculados al uso,
procesamiento, almacenamiento y transmisión de información o datos, y los sistemas
y procesos utilizados” (González J. L., 2010).

Además, el nuevo concepto de Seguridad Digital que hay que abrazar, demanda aplicar
la gestión de riesgos a todos los elementos que hasta ahora quedaban fuera de la
ciberseguridad: Seguridad Digital = Transformación Digital x Gestión del Riesgo Digital
(Lima, 2019).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 70
Guerra Híbrida.

5.2. Infraestructuras críticas

Algunos analistas, políticos y académicos argumentan que la guerra cibernética

representa una gran amenaza cuando se atacan infraestructuras críticas y advierten sobre
un “ciber Pearl Harbor” o “ciber 9/11” (Mazanec, 2015). Los principales responsables de
la toma de decisiones, como el Secretario de Defensa de los Estados Unidos, Leon
Panetta, se han alineado con los defensores del impacto y la gravedad de la amenaza de
la ciberguerra. Panetta advirtió en octubre de 2012 que “una nación agresora o un grupo
extremista podría usar este tipo de ciberarmas para controlar dispositivos de red o
conmutadores de infraestructuras críticas”. Podrían descarrilar trenes de pasajeros, o
incluso más peligroso, descarrilar trenes de pasajeros cargados con químicos letales.
Podrían contaminar el suministro de agua en las principales ciudades o apagar la red
eléctrica en grandes partes del país (Shanker, 2012).

En Occidente, los ataques cibernéticos de Rusia hasta ahora han estado al servicio de sus
operaciones de desinformación: datos robados utilizados para avergonzar a individuos,
hacer una narrativa, desacreditar instituciones y valores democráticos y sembrar la
discordia social. Éste fue el patrón que siguieron los operadores rusos en Estados Unidos,
Francia, España y Alemania durante sus procesos electorales de 2016-17. Hackear
cuentas de correo electrónico de individuos o campañas, filtrar esa información robada a
través de un proxy (principalmente WikiLeaks) y luego desplegar un ejército de agentes
de desinformación (bots, trolls, medios controlados por el estado) para difundir y
amplificar una narrativa políticamente dañina. La interferencia cae por debajo del umbral
de “ataques cibernéticos de consecuencias significativas” de los que pudiesen derivar
“pérdida de vidas, destrucción significativa de propiedad o impacto significativo en
intereses de seguridad nacional” (The Secretary of Defense, 2015). Por esta razón, los
gobiernos occidentales, objetivos de la guerra de información impulsada en el
ciberespacio, no han sabido responder de manera decisiva y visible (Polyakova, 2018).

En Occidente, la pesadilla de los ataques cibernéticos que paralizan los sistemas de

infraestructura crítica (redes eléctricas, hospitales, sistemas financieros, transporte) aún
tiene el sonido de ciencia ficción para el ciudadano común. Pero en el este de Europa,
este escenario de pesadilla es una realidad, y una señal de lo que es muy probable que
ocurra en Europa y en otros lugares. Como laboratorio de actividades rusas, Ucrania ha
visto un aumento significativo en los ataques a sus sistemas de IC desde la revolución de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 71
Guerra Híbrida.

Maidan en 2013. Una gran cantidad de malware, ataques de denegación de servicio y

campañas de phishing bombardearon los entornos de las infraestructuras críticas de
Ucrania a diario. En diciembre de 2015, un ataque sofisticado y bien planificado contra
la red eléctrica de Ucrania se dirigió a los centros de distribución de energía y dejó a
230.000 residentes sin electricidad el día antes de Navidad. Los atacantes pudieron anular
el acceso de los operadores al sistema y también desactivar los generadores de copia de
seguridad. Gracias a los interruptores manuales de la era soviética, el apagón duró solo
unas pocas horas y, por lo tanto, pasó casi desapercibido en Occidente.

El gobierno ucraniano atribuyó los ataques al grupo ruso de Amenaza Persistente

Avanzada, APT, “Sandworm”. Y el mismo malware usado por este grupo que causó el
apagón en Ucrania, el malware llamado “BlackEnergy”, ha sido detectado en las
empresas de servicios eléctricos en los Estados Unidos. Es el peor ataque conocido en un
sistema de una infraestructura crítica, y los sistemas de Ucrania, defendidos por una
combinación de cortafuegos, acceso segmentado, autenticación de dos factores y
controles manuales, eran más seguros en el momento del ataque que los de los Estados
Unidos (Greenberg, 2017).

Los ataques que se llevan a cabo sobre Ucrania y otros países de Europa del Este no
siempre son fáciles de contener. En junio de 2017, el llamado virus “NotPetya”, que se
originó en un ataque dirigido a los sistemas contables de Ucrania, se propagó a 64 países
y afectó a las principales compañías internacionales, operadores logísticos, agencias
gubernamentales, proveedores de telecomunicaciones e instituciones financieras. El
nombre, NotPetya, se refería a la naturaleza disfrazada del ataque; apareció como un
ataque de ransomware lanzado previamente, Petya, pero, de hecho, fue diseñado para
destruir y eliminar sistemas de información en Ucrania. En efecto, NotPetya era una
forma cibernética de “maskirovka” (engaño táctico) utilizada en operaciones militares
soviéticas para engañar a los adversarios sobre la verdadera fuente e intención de un
ataque. En febrero de 2018, la administración de EEUU atribuyó NotPetya al ejército
ruso.

La experiencia de Ucrania con la piratería electoral en Rusia también debería compeler a

la acción. Las máquinas de votación electrónica ampliamente utilizadas tienen una
seguridad débil y un software lleno de lagunas fácilmente explotables. En la conferencia
Defcon de 2017 para hackers, los asistentes tuvieron la tarea de irrumpir en una gama de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 72
Guerra Híbrida.

máquinas de votación estadounidenses, ya fuese encontrando vulnerabilidades forzando

el acceso físico en las máquinas u obteniendo acceso de forma remota. Los piratas
informáticos lo hicieron en menos de dos horas (Darrow, 2017). Los participantes
lograron romper todos los equipos al final de la reunión.

Un ataque masivo a las infraestructuras críticas en Europa occidental y los Estados Unidos
es inevitable. Probablemente seguirá un patrón similar al ataque de ransomware
WannaCry, de mayo de 2017, que paralizó a los hospitales en Europa occidental al
explotar una vulnerabilidad en Microsoft Windows. El exploit fue originalmente
identificado por la NSA y posteriormente se filtró. The Shadow Brokers, un grupo de
hackers, publicó la información de la filtración de la Agencia de Seguridad Nacional
(NSA) que contiene la información sobre la vulnerabilidad de abril de 2017. Estados
Unidos identificó a Corea del Norte como responsable del ataque de WannaCry en el
otoño de 2017 (Bossert, 2017). WannaCry presenta un claro vector de amenaza: los
actores maliciosos (Rusia, China, Corea del Norte, etc.) piratean las herramientas de las
agencias de inteligencia occidentales y las publican, lo que permite que otros actores
maliciosos de todo el mundo ataquen infraestructuras críticas. Y Occidente parece estar
mal equipado para disuadir y responder a semejante evento (Hennessey, 2017), como se
ha puesto de manifiesto en el capítulo 4.

El Plan Nacional de Protección de Infraestructuras Críticas las define como:

Instalaciones, redes, servicios, equipos físicos y de tecnología de la información cuya

interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el
bienestar económico de los ciudadanos o en el eficaz funcionamiento de las
instituciones del Estado y de las AAPP (Ley 8/2011, de 29 de abril, por la que se
establecen medidas para la protección de las infraestructuras críticas).

Definición acorde con la Directiva europea: 2008/114/CE del 8 de diciembre de 2008, la

cual subraya la importancia de “la identificación y designación de infraestructuras críticas
europeas y la evaluación de la necesidad de mejorar su protección” (Consejo de la Unión
Europea, 2008).

Se definen doce sectores estratégicos: los servicios básicos que gestiona la

Administración así como sus instalaciones, redes de información, los bienes considerados
Patrimonio Nacional, las propiedades y centros del Ministerio de Defensa, la Industria
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 73
Guerra Híbrida.

Química y Nuclear, los servicios de emergencia, embalses, canalizaciones de agua, las

Centrales y Redes de Energía, Aviación, Tecnologías de la Información y las
Comunicaciones (TIC), el sistema sanitario, Transportes, el sistema legal, Alimentación,
y el Sistema Financiero y Tributario. “Cada una de las áreas diferenciadas dentro de la
actividad laboral, económica y productiva que proporciona un servicio esencial o que
garantiza el ejercicio de la autoridad del Estado o de la seguridad del país” (Ley 8/2011,
de 29 de abril, por la que se establecen medidas para la protección de las infraestructuras
críticas, 2011). Francisco J. Vanaclocha, catedrático de la universidad Carlos III y director
del Curso Superior de Director de Seguridad, hace la estimación de que España cuenta
con 400 IC, de las cuales 12 instalaciones se sitúan en sectores estratégicos. Si alguno de
estos no estuviera disponible, aunque fuese por un breve período de tiempo el impacto
sería masivo afectando al desarrollo de las actividades esenciales de la sociedad (La
información, 2017).

No sorprende así que se acuñen términos como los de “armas de disrupción masiva”,
empleados por la periodista y especialista en ciberseguridad Perlroth. En 2017 publicaba
en el NYT un artículo cuyo titular rezaba “Decenas de países reportan haber sufrido un
ciberataque masivo”. Seguía el artículo exponiendo cómo el extenso ataque, llevado a
cabo por el grupo Shadow Brokers, había conmocionado a los expertos en ciberseguridad
evidenciando la vulnerabilidad de las redes y la facilidad de afectar servicios esenciales
como el National Heath Service británico, además de hospitales y empresas de
telecomunicaciones en varias partes de Europa, Rusia, Asia, Turquía y Japón, así como a
Telefónica en España (Perlroth, 2017). La pérdida de la fe en la seguridad de la aviación
después de los ataques del 9/11 tuvo graves impactos económicos. La pérdida de
confianza en la integridad de nuestros sistemas e infraestructuras críticas también debe
ser un valor a proteger. En EEUU el concepto de IC incluye además determinados
monumentos que de ser atacados y vulnerados afectaría a la moral ciudadana.

Según Agustín Solís, director de Sistemas de Seguridad de Thales España:

Aunque nunca se puede estar tranquilo y siempre se puede mejorar, hay un consenso
de que en España –que en el pasado se vio amenazada por el terrorismo– las
infraestructuras criticas están bastante bien preparadas frente a amenazas físicas. No
es el caso contra los ataques cibernéticos que, por distintas razones, son la gran área
de mejora para la protección de este tipo de instalaciones” (THALES, 2018).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 74
Guerra Híbrida.

Los activos de las corporaciones como cuentas de correo electrónico, secretos

comerciales, registros financieros, las políticas, propuestas y decisiones organizativas,
tienen un valor primordial para la competencia. Dependiendo de la naturaleza de la
información, Estados, organizaciones criminales, hacktivistas e insiders pueden estar tras
diferentes partes de la empresa.

Datos personales como registros de salud e información financiera (cuentas bancarias y

de tarjetas de crédito) son objetivos de alto valor para las compañías de seguros,
delincuentes y objetivos de espionaje. Si alguien tiene en el punto de mira a un miembro
de alto rango del ejército de los EEUU, rastrear todo lo que haya disponible en Internet
sobre la persona, sería el primer paso. Los llamados nativos digitales ponen cada vez más
y más información personal en la web. Lo que nos lleva a dos grandes temas: robo de
identidad e ingeniería social. En la noticia del NYT comentada más arriba, se explicaba
que malware fue circulado por correo electrónico con un archivo cifrado y comprimido
que, al ser descargado por algún empleado de las organizaciones diana, permitía la
infiltración de los archivos de todos los sistemas” (Perlroth, 2017).

La infraestructura de TI es un objetivo por dos razones. Los hackers pueden querer usar
la infraestructura para ellos mismos (es decir, crear una red de bots) o quieren saber qué
sistemas operativos (es decir, Windows/OS X) y qué dispositivos de red (es decir, VoIP,
aplicaciones y dispositivos específicos de Cisco) están disponibles para permitirles
encontrar vulnerabilidades.

Los servicios básicos ofrecidos por los Estados se sustentan en infraestructuras

gestionadas en su mayoría por el sector privado. La Ley 8/2011 configura el sistema de
protección de las IC, integrado por:

Diferentes agentes con responsabilidad en el correcto funcionamiento de los servicios

esenciales. Incluye, por tanto, diferentes departamentos ministeriales, en particular el
Ministerio del Interior, a través de la Secretaría de Estado de Seguridad y del Centro
Nacional de Protección de Infraestructuras Críticas (CNPIC), adscrito a ésta, así como
Administraciones Públicas (nacionales, regionales o locales), Fuerzas y Cuerpos de
Seguridad del Estado, comisiones y grupos de trabajo. A la lista anterior se añaden los
denominados operadores críticos, es decir, todas aquellas empresas y organismos que
gestionan al menos una IC. Sobre ellos recae, entre otras, la responsabilidad de definir
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 75
Guerra Híbrida.

los oportunos planes de seguridad para proteger adecuadamente los activos de las IC
bajo su control (Pastor, 2013).

Tal cantidad de agentes de naturaleza pública y privada implicados en el sistema hace

necesario el fomento de la colaboración público-privada. Por otro lado, no se puede
ignorar la interrelación entre las diferentes infraestructuras y la interdependencia entre los
servicios de forma que un ataque a uno puede comprometer el funcionamiento de otros
servicios produciendo una reacción en cadena. A estas debilidades hay que añadir la
dependencia tecnológica. Se ha procedido a la automatización y al control remoto de
procesos industriales. “Esta presencia de redes y equipamientos TIC utilizados para la
gestión y la operación de los procesos industriales es lo que se conoce como
ciberdependencia de las IC” (Paul Cornish, 2011), “concepto que describe la posibilidad
de que una perturbación de los activos cibernéticos que soportan a las IC tenga
importantes impactos negativos en el funcionamiento de éstas, así como en la provisión
de los respectivos servicios esenciales que soportan” (Jason Kopylec, 2007).

Así pues, la ciberdependencia expresa la exposición de las infraestructuras y servicios

esenciales a los avatares del ciberespacio.

Las TIC de las IC fueron diseñadas en su origen primando los criterios de

funcionalidad, pero se han visto sometidas a importantes alteraciones en su concepto
de operación, de modo que se han introducido cambios en las tecnologías,
arquitecturas y entornos de trabajo que han ido más allá de los requisitos de seguridad
para los que habían sido diseñadas originalmente. Seguramente, el cambio más
importante ha sido el de interconectar las TIC de las IC con redes abiertas, como
Internet, para ganar en interoperabilidad y reducir costes, lo que ha supuesto un gran
impacto en su seguridad (Pastor, 2013).

5.3. Respuestas a las ciberamenazas

En el primer apartado del presente capítulo hemos hablado del riesgo como consustancial
a la era informacional. Pero ¿qué es el riesgo sino un constructo que evoluciona y que en
su dinamismo demanda herramientas para su gestión proactiva? Sánchez de Rojas
encuentra tales herramientas en la información y en la formación, o desde otra
perspectiva, en el conocimiento y la comunicación (Rojas, 2013).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 76
Guerra Híbrida.

5.3.1. Principales actividades de ciberdefensa en el ámbito de la OTAN

La OTAN le ha tomado el pulso a la situación a raíz del Concepto Estratégico de 2010.

Ese año nace la ESCD (Emerging Security Challenges Division), División de Desafíos
Emergentes, reconociendo la ciberdefensa como parte central de la misión de garantizar
la defensa colectiva. Los aliados también hicieron un compromiso de defensa cibernética
en julio de 2016 para mejorar sus defensas cibernéticas, como cuestión prioritaria. Desde
entonces, casi todos los aliados han mejorado sus defensas cibernéticas (NATO, 2018).
Además, desde el 12 de febrero de 2019 los ciberdefensores de la Alianza tienen una
nueva comunidad donde pueden intercambiar información, compartir las mejores
prácticas y trabajar juntos en un área de trabajo cifrada con prestaciones seguras de video,
voz, chat y recopilación de información (NATO, 2019). Dicha cibercomunidad ha sido
auspiciada por la Agencia de Comunicaciones e Información de la OTAN (NCIA),
agencia que se proclama como líder en tecnología y en el ámbito ciber y que se atribuye
como misión el dirigir el esfuerzo digital de la OTAN (NATO, 2012). Los equipos de
respuesta a emergencias informáticas de cinco países ya están conectados a la red
comercial protegida de la OTAN: Bélgica, Francia, Países Bajos, Reino Unido y Estados
Unidos. El acceso a la red se extenderá a las 29 naciones más adelante este año.

El lanzamiento de la comunidad de ciberdefensores es el primer paso hacia la creación de

un centro de información para los aliados, denominado Centro de colaboración de
seguridad cibernética. Esta iniciativa fue anunciada el año pasado por el secretario general
de la OTAN, Jens Stoltenberg, quien dijo que uno de los roles clave de la OTAN en el
ciberespacio es “actuar como un centro de intercambio de información, capacitación y
experiencia”.

Para hacer frente al riesgo, se debe diseñar procesos que, en primer lugar, detecten,
analicen, monitoricen y cuantifiquen la amenaza. En segundo lugar, estrategias que
prevengan, minimicen y respondan ante tales amenazas. El DoD de EEUU define el ya
tan oído “Computer Network Defence” (CND) como “acciones tomadas para proteger,
monitorear, analizar, detectar y responder a actividades no autorizadas dentro de los
sistemas de información y redes de computadoras del Departamento de Defensa”. Este
concepto en su sentido más amplio envuelve los dos componentes de los que hemos
hablado a lo largo del trabajo, el denominado Computer Network Exploitation (CNE) y
el Computer Network Attack (CNA). A su vez hay que señalar que tales conceptos se
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 77
Guerra Híbrida.

asientan en el de Computer Network Operation (CNO), término que tiene su aplicación

tanto en el ámbito militar como en el civil debido al empleo de las mismas tácticas y
equipamiento. En tercer lugar, es interesante la evaluación de las capacidades de gestión
y respuesta ante estos nuevos retos, así como el entrenamiento de los que han de
constituirse en ciberdefensores y entre ellos la PN. Desde la OTAN se avanza en dicha
dirección. El principal ejercicio de defensa cibernética de la OTAN, Cyber Coalition, uno
de los más grandes del mundo, se inaguró el 27 de noviembre de 2018 en Tartu, Estonia.
El ejercicio pone a prueba y capacita a los defensores cibernéticos de toda la Alianza en
su capacidad para defender a la OTAN y las redes nacionales. Ahora en su undécimo año,
Cyber Coalition cuenta con alrededor de 700 participantes de Aliados, socios, la industria
y el mundo académico. Las ciberamenazas son cada vez más frecuentes, complejas y
destructivas. Un ciberataque contra un Aliado puede afectarnos a todos. Es por eso que el
fortalecimiento de la defensa cibernética es una de las principales prioridades, y los
ejercicios como la Coalición Cibernética son esenciales para desarrollarla con un nuevo
Centro de Operaciones del Ciberespacio y la capacidad de aprovechar las capacidades
cibernéticas de los Aliados en las misiones y operaciones de la OTAN. Todos estos pasos
ayudarán a que la OTAN sea tan fuerte en el ciberespacio como en tierra, mar y aire
(NATO, 2018).

5.3.2. Estrategias regionales

En EEUU se crea en 2009 US Cyber Command (CYBERCOM) por el Departamento de

Defensa y en 2011 queda publicada su Estrategia en materia de ciberdefensa y
ciberguerra.

En el ámbito europeo, se aprobó en 2003 la Estrategia Europea de Seguridad (UE, 2009).

En 2004 se creó la Agencia Europea de Seguridad de las Redes y de la Información
(ENISA), la cual respaldó el primer ejercicio transeuropeo de Seguridad Informática, el
“Cyber Europe 2010”. En 2013 se aprobó la Estrategia de Ciberseguridad de la Unión
Europea, documento que se complementa con la Directiva NIS, Directiva UE 2016/1148
del Parlamente Europeo y del Consejo relativa a las medidas destinadas a garantizar un
elevado nivel común de seguridad de las redes y sistemas de información de la Unión. La
transposición al ordenamiento jurídico español la ha realizado el Real Decreto-Ley
12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (CCN-
CERT, 2018). En 2017 la Comisión aprobó la CyberSecurity Act y pretende empoderar
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 78
Guerra Híbrida.

a ENISA como Agencia Europea de Ciberseguridad (Colom, ENISA: el reto de

convertirse en la Agencia Europea de Ciberseguridad, 2019). En el seno de ENISA se
elaboró una Guía de Buenas Prácticas en Estrategias Nacionales de Ciberseguridad, tras
lo cual países como Reino Unido han procedido a publicar sus propias Estrategias. Del
mismo modo que lo han hecho diversos Estados de la Organización de Estados
Americanos (OEA) como Colombia. Tal escenario evidenció la necesidad de diseñar una
Estrategia de Ciberseguridad Nacional integrada en la Estrategia de Seguridad Nacional
(Presidencia del Gobierno, 2017). El documento se aprueba en 2013 dejando definido un
marco de coordinación de la política de seguridad, los principios, objetivos y líneas de
acción, así como la estructura orgánica del sistema (Presidencia del Gobierno, 2013).

5.3.3. Estrategia española

El marco institucional se basa en la coordinación de una serie de actores:

2 Consejo Nacional de Ciberseguridad (Presidencia del Gobierno, 2017)

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 79
Guerra Híbrida.

El Consejo Nacional de Ciberseguridad (CNCS), presidido por el Secretario de Estado Director del
Centro Nacional de Inteligencia (CNI) y Director del Centro Criptológico Nacional (CCN),
configurándose como órgano de apoyo al Consejo de Seguridad Nacional y se diseña una estructura
centralizada y bien definida en la que queda definido por un lado las autoridades competentes y los
CSIRT (Computer Security Incident Response Team) de referencia y por otra parte, la cooperación
púbico-privada

El INCIBE: Instituto Nacional de Ciberseguridad. Dependiente del Ministerio de Economía y

Empresa. Tiene como misión el desarrollo de la ciberseguridad y la confianza digital de los Centro Nacional de Protección
ciudadanos, la red académica y la investigación y las empresas españolas. El CERTSI (CERT de Infraestructuras y
de Seguridad e Industria) es el centro de respuesta, análisis, diseño de medidas preventivas y Ciberseguridad (CNPIC).
de ciberresiliencia del INCIBE. El CCN-CERT que es la Capacidad de Respuesta a incidentes
de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Cuyo ámbito se circunscribe a
Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT las infraestructuras críticas y
Gubernamental Nacional español(CCN-CERT, 2018), le compete el Sector Público local,
autonómico y local. operadores críticos

Mando Conjunto de Ciberdefensa. Es el Brigada Central de Investigación

órgano de la estructura operativa, Tecnológica, que actúa como Centro de
Departamento de Seguridad subordinado al Jefe de Estado Mayor de la Prevención y Respuesta E-Crime de la
Nacional (DSN). Es el órgano Defensa (JEMAD), con competencia en las Policía Nacional. Es la Unidad encargada de
asesor del presidente del Gobierno redes y sistemas de información y la investigación y persecución de las
telecomunicaciones de las FFAA, así como actividades delictivas relacionadas con las
en materia de Seguridad Nacional. las que le encomienden y afecten a la TIC y el ciberdelito de ámbito nacional e
Defensa Nacional. internacional .

15 Actores de la ciberseguridad (elaboración propia)

16 Actores en la Ciberseguridad Nacional (Presidencia del Gobierno, 2017)

Es destacable que España se configura como el primer país de la UE que diseña una Guía
Nacional de Notificación y Gestión de Ciberincidentes, elaborado por el Ministerio del
Interior a través del CNPIC. Proporciona las directrices para reportar incidentes, los
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 80
Guerra Híbrida.

cuales clasifica en 38 tipos, y un marco único de notificación, mediante una ventanilla

única (CNCS, 2019).

3 Flujograma del sistema de ventanilla única

5.4. ¿Cuál es el objeto directo de la protección?

De la definición de CND dada por el Departamento de Defensa de EEUU, comentada

más arriba, se deduce que dicha defensa incluirá acciones tanto de CNE y CNA
(conceptos ya reseñados). Para tratar la cuestión de la respuesta a los ciberataques, es útil
detenernos a examinar qué es lo que estamos defendiendo. En un sentido muy general,
nos preocupa la protección de la información de una forma u otra (Winterfeld, 2013).

La información sensible, a los ojos del público en general, a menudo se clasifica como
Información Personal, conocido como Personally Identifiable Information (PII) o por
ejemplo, Información Médica del Paciente, Protected Healthcare Information (PHI), e
incluye nombres, direcciones, números de seguridad social, registros médicos, registros
financieros y una multitud de información similar. La obtención de dicha información
puede llevar a una variedad de actividades fraudulentas, comúnmente reunidas bajo el
término general de robo de identidad. Dichas actividades pueden abarcar desde cuentas
de crédito que se abren con credenciales robadas, hasta el robo de fondos de cuentas
bancarias.

En el mundo del ejército y del gobierno, la información de naturaleza sensible que se

expone puede tener consecuencias mucho mayores que la mera pérdida financiera. La
información se clasifica en Unclassified (U), Unclassified For Official Use Only (U //
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 81
Guerra Híbrida.

FOUO), Confidential (C), Secret (S) y Top Secret (TS). También puede haber espacios
especiales por encima de TS. Se les conoce como Información Sensible, Sensitive
Compartmented Information (SCI) o Programa de Acceso Especial, Special Access
Programm (SAP). La información manejada a nivel estatal puede incluir planes
operativos, planes bélicos, movimientos de tropas, especificaciones técnicas para armas
o sistemas de recolección de inteligencia, identidades de agentes encubiertos y cualquier
otro elemento crítico para el funcionamiento del gobierno, FFAA y FFCCS. Cuando se
accede a dicha información de manera no autorizada, se pueden perder vidas a gran escala
y el equilibrio de poder se puede cambiar significativamente. No se puede obviar
asimismo que debe preocupar la agregación de datos (compilación de información tomada
de base de datos, con el objetivo de preparar conjuntos de datos combinados para el
procesamiento de datos), ya que los documentos clasificados a bajo nivel cuando se
combinan pueden producir información que debería estar en un nivel más alto de
confidencialidad.

5.4.1. Confidencialidad, Integridad y disponibilidad

Las medidas que se adoptan en aras a proteger nuestros activos de información se pueden
describir en términos de la tríada clásica de confidencialidad, integridad y disponibilidad.

No obstante, existe una alternativa menos conocida,

denominada como el Hexad de Parker (Parkerian
hexad) desarrollada por Donn Parker, que divide los
mismos conceptos generales en las categorías de
confidencialidad, posesión, integridad, autenticidad,
disponibilidad y utilidad, permitiendo una discusión
4 CIA triad (Winterfeld, 2013) más detallada de los conceptos de seguridad
relevantes en una situación dada.

La confidencialidad se refiere a asegurar que los datos quedan fuera del alcance de
aquellos no autorizados para su acceso. La integridad de los datos se refiere a evitar
modificaciones no autorizadas a datos o funciones del sistema. La disponibilidad de datos
se refiere a poder acceder a ellos cuando sea necesario.

Estos principios básicos rigen la forma en que se manejan los datos que nos conciernen.
Esto a menudo significa controles de acceso y cifrado para proporcionar tales
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 82
Guerra Híbrida.

protecciones. Al aplicar estas medidas, debemos considerar tanto los datos en reposo
como los datos en movimiento. Dependiendo de dónde se encuentren los datos en un
momento dado, es posible que debamos usar diferentes controles de seguridad o
diferentes métodos dentro de un control dado. Podemos ver los efectos de las fallas de
confidencialidad con las grandes violaciones de PII que parecen ocurrir con demasiada
frecuencia en los últimos tiempos. Como la violación de datos de más de 3.000 millones
de cuentas de Yahoo en 2013. Podemos usar el cifrado para ayudar a proporcionar
integridad haciendo que los datos sean difíciles de manipular con éxito sin la autorización
adecuada. En particular, los hashes o los resúmenes de mensajes, como MD5 y SHA1, se
utilizan a menudo para garantizar que los mensajes o archivos no se hayan alterado del
original al crear una huella digital de los datos originales que pueden ser rastreados en el
tiempo. Las fallas en la integridad pueden tener efectos graves si no somos conscientes
de que han ocurrido, ya que los datos en forma de comunicaciones o archivos pueden
modificarse libremente para revertir su significado o para alterar el resultado de las
decisiones basadas en los datos en cuestión. La disponibilidad de datos simplemente
significa que podemos acceder a ellos cuando necesitamos hacerlo. Asegurar la
disponibilidad significa que debemos ser resilientes frente a los ataques que podrían dañar
o eliminar nuestros datos o negarnos el acceso a ellos atacando el entorno en el que se
encuentran. También significa que debemos tener un entorno lo suficientemente sólido
para hacer frente a las interrupciones del sistema, los problemas de comunicación, los
problemas de alimentación y cualquier número de problemas que puedan impedirnos
acceder a nuestros datos. La disponibilidad a menudo se logra mediante el uso de copias
de seguridad para nuestros datos y nuestros entornos.

5.4.2. Autenticación, autorización y auditoría

Los principios más importantes que se ofrecen de manera preventiva para tratar de
materializar la seguridad de los datos son la autenticación, la autorización y la auditoría.
Lo que se conoce comúnmente como AAA. Estos son los medios a través de los cuales
podemos controlar y rastrear cómo se accede a nuestros datos, y por quién, lo que nos
permite aplicar las políticas que hemos creado para mantener la seguridad de los datos.

La autenticación es el medio por el cual verificamos la identidad de un individuo o sistema

contra un conjunto de credenciales presentadas. Una implementación muy común de un
esquema de autenticación es la combinación de inicio de sesión y contraseña. En este caso
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 83
Guerra Híbrida.

particular, el nombre de inicio de sesión del usuario es la identidad presentada, y se

verifica contra una forma almacenada de la contraseña que el usuario ha dado. Una
implementación común de la autenticación utilizada por el Departamento de Defensa de
EEUU es la Tarjeta de Acceso Común, Common Access Card (CAC). El CAC tiene áreas
de almacenamiento que se pueden usar para almacenar credenciales, como un certificado,
y también se puede usar con formas de autenticación adicionales, como un Número de
Identificación Personal (PIN). Lo que en España se ha implementado como los
certificados electrónicos del DNI 3.0. Otros tokens basados en hardware ahora también
son de uso común, uno de los más conocidos es el RSA SecurID. Una de las claves
principales para el futuro de la autenticación es el uso de identificadores biométricos, tales
como huellas digitales, reconocimiento del iris, IRIS (Iris Recognition Immigration
System), y otras herramientas basadas en atributos físicos. Dichos identificadores son
ubicuos, portátiles y difíciles de falsificar; por tanto, sistemas de autenticación diseñados
adecuadamente. Una vez autenticada una identidad, podemos verificar qué actividades
puede realizar esa identidad en particular, lo que se conoce como autorización. La
auditoría ofrece la capacidad de controlar qué actividades se han llevado a cabo en un
sistema determinado o en un entorno. Si bien la autenticación y la autorización permite
controlar y establecer límites en el acceso de los usuarios a los activos, también se debe
mantener un registro de lo que estas personas autorizadas han hecho. Esto permite
equilibrar adecuadamente las cargas del sistema y de la red, así como monitorear las
actividades autorizadas pero inapropiadas o no deseadas.

5.4.3. Conciencia y formación cibernética.

Hemos hecho mención a cómo Sánchez de Rojas destaca el conocimiento y la formación

como herramientas para hacer frente a las amenazas. Información, conciencia y formación
del eslabón más débil de la cadena de vulnerabilidades cibernéticas, las personas (Rojas,
2013). Con la mayoría del resto de problemas de seguridad, se puede aplicar un parche,
cambiar una configuración o instalar una infraestructura de seguridad adicional para
solucionar el problema. Con la gente, lamentablemente no se puede hacer esto.

Las personas pueden ser perezosas, descuidadas o simplemente cometer errores no

intencionados, menoscabando las medidas de seguridad cuidadosamente planificadas
desde el interior y dejando la puerta abierta al ataque. Si bien se puede intentar aplicar
medidas técnicas para evitar que se lleve a cabo una actividad dañina, y se puede crear
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 84
Guerra Híbrida.

políticas que indiquen claramente el comportamiento correcto e incorrecto, tales medidas

no servirán de nada si no se imbuye en las personas una dosis de conciencia con respecto
a los problemas de seguridad, y se les capacita en comportamientos adecuados que les
mantengan, tanto a ellos como a la organización en la que operan, en el mejor nivel de
seguridad posible.

El concepto de Security Awareness, conciencia de seguridad, puede no ser un constructo

evidente para aquellos que carecen de una cierta familiaridad con los conceptos básicos.
Bruce Schneier (2008) afirmó que:

La seguridad requiere una mentalidad particular. Los profesionales de la seguridad, al

menos los buenos, ven el mundo de manera diferente. No pueden entrar a una tienda
sin darse cuenta de cómo podrían robar. No pueden usar un ordenador sin saber sobre
estas vulnerabilidades de seguridad. No pueden dejar de intentar averiguar cómo votar
dos veces. Simplemente no pueden evitarlo.

Esta mentalidad consciente de la seguridad no sólo es crucial para los profesionales de la

seguridad, los administradores de sistemas, los ingenieros de redes y otros empleados en
los campos técnicos, sino que también es importante para los secretarios, médicos y
maestros, soldados, desempleados, es decir, cualquier persona que mande información
que de alguna manera podría considerarse importante o sensible. Evaluar qué datos
pueden o no ser sensibles, y en qué situaciones se debe tomar consciencia de las
implicaciones de seguridad de nuestras acciones es una función de conciencia de
seguridad, y también debe enseñarse.

Para ilustrar las consecuencias de tales fallas tanto de juicio como de mentalidad, solo
necesitamos observar las brechas de seguridad diarias que aparecen en los medios de
comunicación. Si bien se pueden implementar medidas técnicas de seguridad para ayudar
a prevenir este tipo de eventos, mientras se siga fallando en el aspecto de la conciencia de
seguridad, continuaremos teniendo estos problemas. Cuando se intenta enseñar estos
conceptos a los usuarios, el punto principal es simple: intente pensar como un atacante.
En cualquier situación dada, ya sea un correo electrónico de suplantación de identidad
(phishing), un ataque de ingeniería social, una violación de la política o la mayoría de los
problemas con los que se pueda uno enfrentar, dicha máxima generalmente nos mantendrá
dentro de los parámetros de seguridad.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 85
Guerra Híbrida.

La capacitación debe dar como resultado que los cambios en la actitud y el

comportamiento sean efectivos. Al impartir capacitación a los miembros más técnicos de
una organización, como administradores de sistemas, ingenieros de redes,
desarrolladores, personal de seguridad y demás, aunque sea importante seguir los
principios básicos de un programa de capacitación en seguridad, es necesario componer
capacitación adicional para abordar los aspectos específicos de dichas categorías de
especialización.

Para los administradores de sistemas e ingenieros de redes se tendrá que abordar la

seguridad de los sistemas operativos y la infraestructura de red, para los desarrolladores
será necesario tratar las normas y prácticas de codificación seguras, y para el personal de
seguridad es necesario que tomen conciencia de las prácticas de seguridad de la
organización, tanto interna como externa.

5.5. Defensa contra los ciberataques

Cuando se defienden ciberataques, muchos de los pasos que se van a realizar son de
naturaleza proactiva e implican el fortalecimiento de los entornos y el seguimiento de las
actividades que se llevan a cabo en ellos.

Ésta es una declaración fácil de hacer, y es relativamente simple de lograr en un entorno

de red de tamaño pequeño o mediano, como lo que se puede encontrar en una empresa o
corporación. Cuando se trata de realizar tales actividades en un entorno más grande,
cuando se opera a escala global, ésta se convierte en una posibilidad considerablemente
más difícil.

En la actualidad se están desarrollando estrategias en un intento por monitorear y abordar

los ataques cibernéticos a gran escala, pero aún está en fase embrionaria. Actualmente,
gran parte del esfuerzo que se está realizando en la CND es en las áreas de políticas
públicas y su cumplimiento, particularmente en los círculos gubernamentales.

En julio de 2012, el presidente Obama firmó una orden ejecutiva que muchos dicen que
constituye, entre otras cosas, el interruptor de Internet discutido durante mucho tiempo
para los Estados Unidos. Ante la amenaza de un ataque a una infraestructura crítica, se
dice que una medida de este tipo pudiese ser preferible a la potencial destrucción y pérdida
de vidas humanas que puede derivarse de un ataque a un sistema SCADA (Supervisory
Control and Data Acquisition) y los entornos que controlan. No obstante, no es una
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 86
Guerra Híbrida.

solución ideal y probablemente sería extremadamente difícil de llevar a cabo. Así pues,
aunque no es necesariamente un plan confiable, este es un buen indicador del estado
actual de toda la CND.

5.5.1. Política y cumplimiento

Una de las claves principales para el éxito de la defensa recae en el área de la política de
seguridad. A través del uso de políticas, podemos establecer las expectativas para aquellos
que desarrollan y utilizan los entornos que esperamos mantengan seguros. La política de
seguridad define el comportamiento de nuestros usuarios, la configuración de nuestro
software, sistemas y redes, y otros innumerables elementos. En última instancia, nuestras
políticas de seguridad definen lo que queremos decir exactamente cuando decimos que
algo es seguro. Además, es importante tener en cuenta que la política implementada sin
la autoridad adecuada para hacerla cumplir es completamente inútil y, a menudo, se
ignora. Además de la adecuación a lo largo de la política, hemos tenido que asegurarnos
de que la política se sigue, esto se hace a través de instancias que obliguen al
cumplimiento.

5.5.2. Detección y prevención de intrusiones

La detección y la prevención de intrusiones a escala nacional es una perspectiva difícil.

En la actualidad, las redes que conforman Internet no están segmentadas a lo largo de las
fronteras nacionales, en su mayor parte. Además, contamos con una amplia variedad de
medios que se pueden usar para transportar comunicaciones de red, incluidos: cables de
cobre y fibra óptica, comunicaciones por satélite, redes inalámbricas diseñadas
específicamente para este fin, paquetes Radio, y un sin número de otros medios. Esta falta
de segmentación de la red a lo largo de las fronteras físicas y la amplia variedad de
métodos de comunicación hacen de IDS/IPS (Intrusion Detection Systems/Intrusion
Prevention System) una posibilidad técnicamente difícil de implementar.

Existen dos estrategias principales para lograr la detección y/o prevención de intrusiones
en esta escala; podemos estructurar redes para proporcionar un número limitado de
conexiones fuera del área que deseamos proteger y monitorear, o implementar IDS / IPS
distribuidos de forma masiva; cualquiera de los métodos tiene sus problemas inherentes.
Reestructurar nuestras redes para proporcionar solo unos pocos puntos de choque es sin
duda la ruta más limpia a tomar, y puede ser viable cuando se crean nuevas redes, pero es
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 87
Guerra Híbrida.

probable que sea prohibitivo para las redes existentes. Del mismo modo, es probable que
el IDS / IPS distribuido de forma masiva, aunque tenga la ventaja de no requerir que
modifiquemos nuestras redes, pierda parte del tráfico que entra y sale de dichas redes. En
cualquier caso, en la actualidad, es probable que la realización de tales operaciones resulte
difícil en una variedad de formas.

5.5.3. Evaluación de vulnerabilidad y pruebas de penetración

La evaluación de vulnerabilidades y las pruebas de penetración son dos de las

herramientas principales de CND. Estos métodos nos permiten descubrir las debilidades
en nuestros sistemas y redes que les permiten a los atacantes realizar reconocimientos y
vigilancia, obtener asistencia u otros ataques. La evaluación de vulnerabilidades y las
pruebas de penetración son solo algunos aspectos de algo que se llama Red Team
Assessment. Red teaming es utilizado tanto por el gobierno como por entidades
comerciales por igual. La evaluación de vulnerabilidad nos permite, en general, utilizar
herramientas de escaneo, para descubrir vulnerabilidades en la superficie de nuestros
sistemas. Por lo general, dichas evaluaciones involucran todo el proceso de registro de
datos de su sistema y el análisis de las vulnerabilidades en cada una. Si bien esto puede
exponer algunos de los medios de entrada que pueden usar los atacantes, no es una imagen
completa de cómo nuestros sistemas podrían ser vulnerables. Para obtener una imagen
más completa de los agujeros en nuestros sistemas, debemos ser mucho más exhaustivos
en nuestros esfuerzos y realizar pruebas de penetración.

La prueba de penetración, cuando se realiza de manera apropiada, puede ser muy

importante para reflejar las actividades de un atacante que intenta comprometer nuestro
medio. La prueba de penetración se puede realizar desde una perspectiva de caja blanca,
en la que se nos proporciona información sobre el entorno a atacar, o se puede hacer desde
una perspectiva de caja negra, en la que no tenemos información adicional que
normalmente tendría un atacante. Se pueden presentar muchos argumentos a favor de
cada enfoque, pero en general las pruebas de caja blanca son menos costosas y las pruebas
de caja negra representan más de cerca un ataque externo.

También podemos desear considerar elementos adicionales en nuestros esfuerzos de

pruebas de penetración, como la ingeniería social. Uno de los peligros en la planificación
y en la confianza en los resultados de la penetración Las pruebas son para asegurar que
las pruebas no se vean obstaculizadas hasta el punto de no ser útiles. Si aplicamos
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 88
Guerra Híbrida.

restricciones a nuestras pruebas de penetración para que no se permita que afecte a ataques
específicos, entornos o incluso el sistema legal, entonces ya no estamos logrando el
objetivo de utilizar los mismos métodos que utilizarán los posibles atacantes. Dichas
restricciones son demasiado comunes en los escenarios de prueba de penetración y no
solo pueden inutilizar nuestros esfuerzos, sino que también pueden proporcionarnos una
falsa sensación de seguridad.

5.5.4. Planificación de la recuperación de desastres

La planificación de recuperación ante desastres (DRP), como medida defensiva, puede

permitirnos resistir o recuperarnos de los ataques, interrupciones y desastres que no
pudimos prevenir directamente. Dichas medidas se logran habitualmente mediante el uso
de copias de seguridad de nuestros datos y mediante el uso de diversos grados de sistemas
e infraestructura redundantes.

5.5.5. Defensa en profundidad

Uno de los principios más importantes de una

estrategia defensiva exitosa es la defensa en
profundidad. La defensa en profundidad
propone un enfoque de seguridad en capas.

En particular, puede usar defensas en el nivel

de red, el nivel del servidor, el nivel de la
aplicación y el nivel de datos. Podríamos
5 Defensa en profundidad (Winterfeld, 2013) tener, como ejemplo, firewalls e IDS / IPS a
nivel de red, firewalls de software y herramientas antimalware a nivel de host, controles
de acceso a nivel de aplicación y cifrado a nivel de datos. Además, la capacitación sobre
concienciación del usuario sobre seguridad, así como las capas de seguridad física como
el control de acceso con distintivo, los puntos de control y las guardas, podrían integrarse
fácilmente en nuestras capas de seguridad. En el centro de todas estas capas de defensa
se encuentra nuestra información crítica.

Las capas y las medidas de seguridad en cada capa pueden variar según el entorno en
cuestión, pero los principios básicos seguirán siendo los mismos (Winterfeld, 2013).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 89
Guerra Híbrida.

6. EXIGENCIAS PARA LAS FFCCSE. EL PAPEL DE LA POLICÍA

NACIONAL
6.1. Necesidad de un cambio de paradigma

Incluso para organizaciones, empresas y gobiernos, un ciberataque no deja de ser

personal. En su esencia, consiste en el despojo a estos establecimientos y empleados que
son atacados, de sus identidades, propiedad intelectual, privacidad, reputación y activos
monetarios. ¿Y no son dichas actividades, conductas tipificadas en el Código Penal cuya
violación nos impele a responder como PN? Ya no es suficiente con un Plan Estratégico
que tenga como visión la lucha contra el ciberdelito. Es necesario comprender el escenario
de Guerra Total en el que nos hallamos, que involucra a personas, empresas,
administraciones, instituciones y gobiernos.

Estamos siendo testigos de una carrera armamentística cibernética. Según el Informe de

amenazas cibernéticas de SonicWall, los ataques de ransomware han crecido un 11%; los
ataques a aplicaciones web lo han hecho un 56 %; y los de internet de las cosas se
dispararon un 217,5% en 2018 (Conner, 2019).

Y pese a que, en este conflicto híbrido, se explotan las debilidades del mundo estratificado
y westfaliano, por el mundo anárquico de los actores excluidos de dicho sistema, al final,
las víctimas son siempre humanas. Ya sea como directores de grandes empresas,
propietarios de negocios que han sido extorsionados, o simplemente un único contacto
inocente en un volcado de datos masivo en la dark web.

Como ha quedado retratado a lo largo del trabajo, se puede hablar de una realidad bajo la
dinámica de “dos mundos de la política” (Rosenau, 1990), dos fuerzas centrífugas con
concepciones contrapuestas respecto a la forma de hacer política, intereses contrapuestos
y narrativas fagocitadoras. En este sistema, el recurso a la guerra para lidiar con los pulsos
internacionales también presenta su dinámica contradictoria entre, por un lado, las
potencias emergentes, Estados fallidos, Estados antioccidentales, etc., donde prolifera
este recurso en sus manifestaciones convencionales y no convencionales; y por otro, el
mundo occidental.

Nuestra sociedad occidental ha dejado de concebir el uso de la fuerza como forma de

hacer política, incluso rechaza la amenaza del empleo de la fuerza para defender los
intereses o la soberanía nacional (Colom, La revolución militar posindustrial, 2014).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 90
Guerra Híbrida.

El escrutinio público condena el enfrentamiento armado y pone de manifiesto la

incapacidad de los ejércitos posindustriales de resolver el conflicto de forma satisfactoria
(Kaldor, 1998).

La crisis del modelo militar contemporáneo que ha conducido a un nuevo paradigma vía
la Revolución en los Asuntos Militares (Colom, 2013) no pretende ser analizado por el
presente trabajo; no obstante, evidencia los cambios sociopolíticos de la sociedad
posmoderna, que reducen la capacidad de maniobra de gobiernos cada vez más sujetos al
control público. La opinión y escrutinio público doméstico, el temor a los daños
colaterales de las operaciones militares, a las propias bajas, la obsesión por los efectos
electorales y políticos del empleo de las Fuerzas Armadas presiona para relegar a “los
ejércitos a labores humanitarias y gestión de crisis” (Colom, 2014).

Por otro lado, el sometimiento a unos usos y costumbres de la guerra restrictivos y

anacrónicos, la exigencia de restringir su alcance, impacto y duración, la renuencia a
usar fuerzas terrestres en operaciones o la necesidad de emplear la fuerza de manera
limitada y restrictiva son otros elementos que pueden ser explotados por los actores
que se enfrentan contra un ejército occidental (Colom, 2019, pág. 13).

Es por todo ello que la gestión de las nuevas amenazas en el contexto de la Guerra Híbrida
ha dejado de ser monopolio del Ministerio de Defensa. El Ministerio del Interior ha de
asumir su papel en el tablero de la Seguridad Global, haciendo uso de las Fuerzas y
Cuerpos de Seguridad del Estado e invirtiendo recursos en la capacitación para la
ciberguerra de lo que son las instituciones mejor valoradas por los ciudadanos españoles
(Lucas-Torres, 2019).

Así pues, en atención al “objetivo

global” de la Estrategia Nacional de
Ciberseguridad, que impone el
“lograr que España haga un uso
seguro de los Sistemas de
Información y Telecomunicaciones,
fortaleciendo las capacidades de
prevención, defensa, detección, y
respuesta a los ciberataques”
17 Valoración de las principales Instituciones (Lucas-
Torres, 2019) (Presidencia del Gobierno, 2013),
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 91
Guerra Híbrida.

hay que potenciar el papel de las FFCCSE y de la Secretaría de Estado de Seguridad en

el Consejo de Seguridad Nacional. Desarrollar instrucciones de prevención y detección
de incidentes de ciberseguridad y potenciar las capacidades de inteligencia para ejercer la
respuesta oportuna, legítima y proporcionada en el ciberespacio ante amenazas o
agresiones que puedan afectar a la Defensa Nacional, como marca la Estrategia de
Ciberseguridad Nacional, en el ámbito de la Policía Nacional sin ceñirnos únicamente al
ámbito de las IC.

Asimismo, destaca la ECS como otra de las líneas de acción, el “fortalecer la cooperación
policial internacional y fomentar la colaboración ciudadana, articulando los instrumentos
de intercambio y transmisión de información de interés policial”.

Del mismo modo, la Policía Nacional debe entender la necesidad de abrazar el imperativo
que recoge la ECS de desarrollar la captación de talento en su sistema de ingreso y ascenso
al cuerpo y la investigación avanzada en su plan de formación, capacitación en
ciberseguridad en cooperación con Universidades y centros especializados. Por último,
se debe impulsar sistemas, modelos, técnicas y tácticas para el análisis y detección de las
ciberamenazas (Presidencia del Gobierno, 2013).

6.2. Sistemas, modelos, técnicas y tácticas para el análisis y detección de las

ciberamenazas a desarrollar por la Policía Nacional

“Information and Intelligence” is the “Fire and Maneuver” of the 21st Century. Mayor
General Michael Flynn (Bautista, 2018).

Tener la capacidad de recopilar información sobre un adversario ha sido un objetivo en

el arte de la guerra durante siglos. Para entender cómo aplicar la Inteligencia en nuestras
operaciones como fuerzas de seguridad, debemos entender qué es la Inteligencia.

El Comisario de la Comisaría General de la Información, D. Ángel Marcos Montes, daba

comienzo a una conferencia en la ENP, transmitiendo a los futuros Inspectores de la
Promoción XXXI que “a diferencia de los cuerpos policiales de otros países que no
pueden serlo, la Policía Nacional es Servicio de Inteligencia. Desde el área de
Información se hacen Operaciones de Inteligencia”.

La Inteligencia no es otra cosa que el conjunto de actividades encaminadas a satisfacer

las necesidades de conocimiento del jefe, superiores y del gobierno, relativas al entorno
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 92
Guerra Híbrida.

operativo y enemigo, necesarias para: identificar amenazas/oportunidades, planeamiento,

conducción de operaciones y apoyar la toma de decisiones. Dentro de esta disciplina se
desarrolla la ciberinteligencia, que consiste en la adquisición de conocimiento sobre un
escenario, sus condiciones y capacidades, para determinar las posibles acciones de
explotación de sus vulnerabilidades críticas inherentes. La misma utiliza múltiples
disciplinas de seguridad de la información (inteligencia de amenazas, administración de
vulnerabilidades, administración de configuración de seguridad, respuesta a incidentes,
etc.) y conjuntos de herramientas para recopilar información sobre la red a través de
monitoreo e informes para permitir que los tomadores de decisiones en todos los niveles
prioricen la mitigación de riesgos (Bautista, 2018).

Podemos distinguir distintos tipos de Inteligencia:

- HUMINT, human intelligence: obtención de información a través de fuentes

humanas: espionajes, interrogatorios, seguimientos y vigilancias.
- IMINT, image intelligence: información técnica, geográfica y derivados de la
interpretación o análisis de imágenes y materiales colaterales: fotos de reconocimiento
aéreo, imágenes satelitales.
- SIGINT, signals intelligence.
- COMINT, communications intelligence.
- ELINT, electronic intelligence.
- TECHINT, technical intelligence
- MEDINT, medical intelligence
- OSINT, open source intelligence: una de las principales herramientas, puesto que
casi el 70% de la información de un servicio de inteligencia proviene de fuentes abiertas
(Rodriguez, 2019). El dominio de esta herramienta por parte de la Policía Nacional es una
ventaja estratégica carente de peligros si se implementa correctamente y es relativamente
rápida. La comunidad de inteligencia israelí diferencia como disciplina dentro de OSINT,
la búsqueda en fuentes abiertas de Internet, “Web Intelligence” (WEBINT) y dividen la
estrategia en cuatro fases: Plantearse la pregunta correcta (elegir el objetivo e
identificarlo), planificación de la obtención, recolección y análisis. En la fase final se
fusiona la información, se emplea herramientas analíticas (nivel de riesgo/indicadores)
para diseñar hipótesis o escenarios alternativos y se definen los pasos futuros.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 93
Guerra Híbrida.

El ciclo de inteligencia español consta de cuatro fases (dirección, obtención, elaboración

y difusión) y se basa en los estudios de Sherman Kent (Ibáñez, 2019), diseñado como
“proceso” tras la IIGM. Es por ello que debemos adaptarnos a un ciclo de inteligencia
moderno, basado en el trabajo en “red” y colaborativo. El analista dirige el proceso, ofrece
un producto final y se retroalimenta vía una suma de feedbacks, más que basarse en una
dinámica jerarquizada, por lo que la estructura de la Policía Nacional se ajusta más a las
exigencias del tipo de análisis moderno que las FFAA. Prevenir y reaccionar a los ataques
en el ciberespacio implica un complejo y cambiante entorno de factores, que requieren
una arquitectura flexible para análisis avanzados, consultas y visualización de grafos
(Noel, 2015).

El objetivo ha de ser la evaluación de la amenaza y la vulnerabilidad para implementar

posteriormente las operaciones defensivas o represivas necesarias. Y dado que el
escenario en el que se ha de operar es del tipo de redes complejas, la PN ha de
especializarse en procesos de análisis de redes y en técnicas de la teoría de grafos para
cuantificar la vulnerabilidad, resiliencia, robustez o fallos y predisposición al ataque. Las
técnicas de la teoría de grafos permiten simular escenarios reales, representarlos y
analizarlos (Goulter, 1989). Asimismo, son herramientas necesarias en la metodología de
la investigación del ciberataque las siguientes:

ANÁLISIS DE VIRTUALIZA
OBTENCIÓN SEGURIDAD ANÁLISIS CAPTURAS
METADATOS CIÓN
• Maltego • FOCA • Truecrypt • ACH softwarw • [Link] • Vmware
• Plugins • Exiftools • Keepass2 • Gephy [Link]/es/ • VirtualBox
navegador • NodeXL
• Tinfoleaks • Elastic Stack
• Thehardvester

18 Herramientas de ciberinteligencia (elaboración propia)

Como recursos web, resultan de consulta obligada y una referencia en lo que respecta a
la obtención: [Link] y [Link]

Una herramienta destacable para el análisis, la visualización y la gestión del conocimiento

de la guerra cibernética es CyGraph. Dicha herramienta reúne datos y eventos aislados en
una imagen global continua para el apoyo a la toma de decisiones y el conocimiento de
la situación. Por lo que convierte la información de ciberseguridad en conocimiento. Da
prioridad a las vulnerabilidades expuestas, asignadas a amenazas potenciales, en el
contexto de activos de misión crítica. Frente a los ataques reales, correlaciona las alertas
de intrusión con las rutas de vulnerabilidad conocidas y sugiere las mejores líneas de
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 94
Guerra Híbrida.

acción para responder a los ataques. Para los análisis forenses posteriores al ataque,
muestra rutas vulnerables que justifican una inspección más profunda (Noel, 2015).

Un enfoque integral para el análisis de los impactos de los ciberataques lo constituye

AMICA (Analyzing Mission Impacts of Cyber Actions). AMICA combina el modelado
de procesos, la simulación de eventos discretos, modelado de dependencia basado en
grafos y visualizaciones dinámicas. Lo que constituye una novedosa convergencia de dos
líneas de investigación: el proceso de modelado/simulación y la teoría de grafos en el
tratamiento de los ciberataques. AMICA captura los flujos de procesos para las tareas de
la misión, así como las tácticas, técnicas y procedimientos (TTP) del atacante y defensor.
Los grafos de dependencia de la vulnerabilidad asignan rutas de ataque a la red, y los
grafos de dependencia de la misión definen la jerarquía de los requisitos de la misión de
alto a bajo nivel asignados a los activos cibernéticos. A través de la simulación del modelo
integrado resultante, se cuantifica los impactos en términos de medidas basadas en la
misión, para varios escenarios de misión y amenaza. La visualización dinámica de las
ejecuciones de simulación proporciona una comprensión más profunda de la dinámica de
la guerra cibernética, para el conocimiento de la situación en el contexto de conflictos
simulados. Los modelos de proceso AMICA son probabilísticos y ejecutables, apoyado
por la simulación de eventos discretos y el análisis estocástico de Monte Carlo. Mediante
la simulación de misiones y cibermodelos, podemos evaluar cuantitativamente el impacto
de los ciberataques. El análisis de Monte Carlo proporciona distribuciones en múltiples
ejecuciones de simulación, para limitar la incertidumbre en los resultados. Para el
modelado y simulación de procesos, se
aplica el Business Process Modeling
Notation (BPMN) estándar de la
industria implementada en una
herramienta comercial, iGrafx, que
proporciona visualizaciones animadas
de ejecuciones de simulación, que
muestran los cambios en el estado
ambiental durante la interacción de la
ciberguerra (Steven Noel, 2015).
6 Ciberataque representado con grafos (Noel, 2015)
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 95
Guerra Híbrida.

7. CONCLUSIONES
7.1. Respuesta a la hipótesis planteada

Abríamos la reflexión que da cuerpo al presente trabajo, haciendo referencia a una de las
obras de Fukuyama, “El fin de la Historia”, para remarcar lo lejos que está nuestro
escenario geopolítico de ese “fin de la guerra” que se preconizaba tras el agotamiento de
la guerra fría.

Otras obras sí que se ajustan a la realidad que hemos perfilado a lo largo de los diferentes
capítulos, “Un mundo feliz” de Aldous Huxley o “1984” de George Orwell. Puesto que,
retomando las subpreguntas planteadas, ¿son las definiciones tradicionales sobre el
concepto de guerra aplicable a lo que está pasando en Internet en el presente? Ya podemos
responder diciendo que la world wide web (WWW) se ha convertido ahora en un wild
wide west, una ciudad sin ley, que se emplea para implementar acciones de Guerra
Híbrida, en la que se ha difuminado los límites entre la guerra y la paz, dibujando una
sempiterna “zona gris”. Los conflictos no se dirimen ya en los campos de batalla y el
nuevo paradigma supera al de Guerra Total y Guerra Asimétrica. Los actores estatales y
no estatales buscan derrotar a sus oponentes sin recurrir a la actividad militar directa,
extensa o sostenida. Se recurre a operaciones de información, psicológicas y operaciones
de desestabilización política. Todo ello mientras somos testigos de una carrera
armamentística cibernética y de una escalada de tensiones en el denominado ya quinto
dominio, el ciberespacio.

Las ciberamenazas suponen el mayor riesgo para la seguridad global, siendo España en
2018 el tercer país que más ciberataques ha recibido (Libertad Digital, 2018). Así pues,
los conceptos tradicionales no se ajustan a la nueva realidad, la Guerra Híbrida va a
requerir por tanto un nuevo tipo de respuestas igualmente híbridas.

Y en todo este escenario los ciudadanos son los más vulnerables. Nuestros derechos y
libertades se ven mermados con los sistemas de cibervigilancia global, con los sistemas
de rastreo de las empresas convirtiéndonos nosotros en meros productos, no en vano se
dice que los datos son “la nueva materia prima del siglo XXI” y, volviendo a Orwell, con
ese “Ministerio de la Verdad” que supone las redes sociales con el control que ejercen
sobre la información que consumimos y, con ello, sobre la influencia a la que somos
sometidos (Gómez Á. , 2019).
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 96
Guerra Híbrida.

Cuando se ataca a organizaciones, empresas y gobiernos, el ciberataque no deja de estar

dirigido a las personas, sus identidades, su privacidad, reputación, propiedad intelectual,
industrial y otros activos tangibles e intangibles. Todo ello configura conductas
tipificadas en el CP frente a las que la Policía Nacional tiene la obligación de actuar. Lo
que nos conduce a la siguiente pregunta que nos planteábamos ¿la perspectiva militar
sigue siendo la adecuada para enfrentarnos al nuevo statu quo? En la sociedad
posmoderna en la que el escrutinio público condena el enfrentamiento armado y el temor
político a los efectos electorales que puedan derivarse de operaciones militares ha
conducido a una situación de crisis del modelo militar (Colom, 2013). Es por ello que la
gestión de las amenazas en el contexto de la Guerra Híbrida debe ser asumida por el
Ministerio del Interior en la institución que le corresponde por ámbito competencial, la
Policía Nacional. La ciberguerra es una guerra que se libra en las ciudades, que es el
verdadero campo de batalla, así como en las infraestructuras críticas y los servicios
esenciales. Por ello, la Policía Nacional ha de asumir la responsabilidad que le es propia
en el tablero de Seguridad Global. Lo que se está hackeando es la propia persona.

Con el terrorismo se empezó a vivir una realidad de “guerra entre la gente” o en los
espacios públicos, la ciberguerra se desarrolla ahora dentro de cada uno de nosotros.
Afirma Ángel Gómez de Ágreda, representante español en el Centro de Excelencia de
Cooperación en Ciberseguridad de la OTAN que “no van a venir a matarte (aunque queda
poco también para que eso se pueda hacer por medios informáticos), pero lo que van a
hacer es venir a cambiar la forma que tienes de pensar” (Rengel, 2019).

Hemos hablado de la necesidad de asumir un nuevo concepto de seguridad global, de

seguridad digital y por ello, de la improcedencia de considerar la ciberdefensa como un
ámbito aislado. Las nuevas amenazas del ciberespacio desafían la seguridad trasatlántica,
los valores democráticos y todo el sistema internacional. Se ha destacado asimismo la
complejidad de la atribución de los ataques, de asociar una identidad digital a una
identidad criminal, e incluso la dificultad de calificar un ciberataque como acto bélico,
ciberespionaje o ciberterrorismo, por lo que la decisión sobre qué instancia nacional debe
ser la competente para la prevención y la represión deja de ser obvio. La nueva realidad
híbrida de riesgos y amenazas compele a reestructurar las instancias de Defensa,
entendiendo ésta en sentido holístico: defensa civil, defensa militar, la protección de las
IC y la gestión de crisis.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 97
Guerra Híbrida.

Analistas del sector gubernamental y agentes del mundo militar y policial de EEUU y de
la UE llevan décadas constatando cómo el mundo criminal se estructura como la sociedad
en red de la que habla Manuel Castells, del mismo modo que los nuevos riesgos y
amenazas. Desde la óptica estática del pasado resultaba difícil tratar con terroristas,
delincuentes y fanáticos asociados con milicias y movimientos extremistas, en gran parte
debido a que estos antagonistas se estaban organizando en redes extensas, sueltas, “sin
líderes”. Es por ello que conceptos de netwar y counternetwar deben de tomarse en
consideración, porque tienen el potencial para motivar a los agentes de las fuerzas de
seguridad, especialmente a la PN por ser el cuerpo más preparado estructuralmente a nivel
grupos de investigación y con experiencia en la lucha contra el cibercrimen, a construir
sus propias redes, así como jerarquías híbridas, para tratar con las organizaciones en red,
doctrinas y estrategias de sus adversarios en la era de la información (Ronfeldt, 2001).

Hemos analizado la situación de ciberguerra desde un punto de vista jurídico, destacando

la necesidad de incrementar el esfuerzo normativo a nivel internacional. Para que un
elemento disuasivo sea efectivo, el adversario debe comprender las consecuencias de
llevar a cabo una acción ofensiva y asumir la credibilidad y la capacidad de la otra parte
para imponer las consecuencias. El gobierno de Obama, por ejemplo, no tuvo una
estrategia de respuesta claramente definida para la interferencia de Rusia en las elecciones
presidenciales de 2016. Finalmente, en los últimos meses de su presidencia, Obama firmó
una orden ejecutiva que impone sanciones cibernéticas a Rusia, expulsó a 35 diplomáticos
rusos de los Estados Unidos y cerró dos complejos diplomáticos rusos (Croft, 2017). Estas
acciones no fueron acordes con la escala del ataque ruso. En su primer año, la
administración de Trump tampoco desarrolló una estrategia integral, mientras que el
presidente continuó cuestionando el alcance de las actividades rusas. Es probable que el
gobierno ruso tampoco supiera qué esperar en respuesta a la desinformación y las
operaciones cibernéticas que llevó a cabo. Moscú estaba probando la resolución de los
Estados Unidos para responder. La debilidad de la respuesta de los Estados Unidos sin
duda ha sido una lección útil para otros estados, China, Irán, Corea del Norte, que buscan
socavar las sociedades occidentales. Como primer paso, los gobiernos occidentales deben
desarrollar una estrategia de disuasión contra la guerra política con consecuencias
claramente definidas para acciones ofensivas específicas.

No obstante, una respuesta democrática a la guerra contra Occidente es posible. Tal

respuesta debe tomar forma en las siguientes líneas de esfuerzo:
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 98
Guerra Híbrida.

1. Intercambio de información: Las empresas tecnológicas deberían cooperar

voluntariamente con las agencias del sector público, en particular con la comunidad de
inteligencia, para establecer un sistema de alerta temprana cuando se detectan actividades
de desinformación en sus sistemas. Con ese fin, los gobiernos nacionales, la UE y la
OTAN deben establecer un interlocutor designado dentro de las agencias de inteligencia
como el punto de contacto para recibir y distribuir dicha información, según corresponda.
En nuestro caso, debe asumir dicha responsabilidad la PN, como agencia de inteligencia
en palabras del Comisario D. Ángel Marcos Montes y como competente en materia de las
IC.
2. Responder en el ámbito de la narrativa: trabajar en la capacidad de influencia en
el ciberespacio, en una narrativa propia, con las plataformas que cuenta la Policía
Nacional, desde sus diversas cuentas en redes sociales. Contrarrestar las distorsiones de
las percepciones y de la desinformación desde las campañas y labor de Participación
Ciudadana.
3. Colaboración internacional, interministerial y cooperación público-privada: La
política, para contrarrestar y disuadir las amenazas futuras debe ser transatlántica en su
alcance, orientada hacia el futuro e inherentemente colaborativa. En el cibercrimen, se
encuentra a menudo las evidencias fuera de España y su acceso depende de la cooperación
del país en cuestión. Requiere un enfoque que implique a la sociedad, los gobiernos, las
instituciones multilaterales, la sociedad civil, el sector privado y los ciudadanos
individuales. Para lograr agilizar la respuesta es necesaria la integración interministerial,
de procedimientos, de capacidad y de estructuras. Un enfoque de múltiples partes
interesadas, en el que los individuos, los gobiernos, las organizaciones de la sociedad civil
y las empresas privadas desempeñan su papel, es una fortaleza, no una debilidad, de las
democracias. En definitiva, se necesita implementar una Defensa Híbrida.
4. Mejorar la seguridad y transparencia de la información mediante estándares de
periodismo, códigos deontológicos, así como la comunicación estratégica.
5. Cultura digital: Es esencial imponer la ciberseguridad en todo el ecosistema de la
empresa, la administración y el ciudadano, así como una política estatal en
ciberconcienciación y cibereducación, por un lado, para crear una conciencia de
ciberseguridad a todos los niveles y por otro, para identificar talentos.
6. Invertir en investigación y formación: En todos los ámbitos, empezando desde la
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 99
Guerra Híbrida.

escuela, se debe cambiar la

mentalidad para incluir la
ciberseguridad en la formación
reglada. En las universidades,
empresas, desempleados, se
debe educar en el
mantenimiento de entornos
cibernéticos seguros. Se debe
7 Porcentaje de especialistas en TIC (Presidencia del Gobierno, asimismo potenciar una base
2018)
tecnológica e industrial nacional de ciberseguridad mediante programas I+D+I que nos
permita disminuir nuestra dependencia de determinadas tecnologías claves, como el tema
de cifrado e IA, mediante el impulso de un mercado nacional de ciberseguridad. Todo
ello teniendo como base la colaboración público-privada y como referencia la ciudad
israelí de Beersheba. Una ciudad surgida en el desierto en torno a la ciberseguridad donde
trabajan estrechamente el gobierno, la universidad y más de 40 empresas nacionales e
internacionales (Renaudie, 2016). En el campo que nos ocupa, en la ENP se está
canalizando los recursos y esfuerzos en esa dirección, con la implantación de seminarios
de ciberinteligencia dentro de un plan formativo avalado por ANECA y la organización
del I Congreso de Seguridad Digital y Ciberinteligencia. No obstante, se debe luchar
contra la fuga de talentos de la PN al sector privado. El éxito del hub mundial en
ciberseguridad que supone la ciudad de Beerseba se basa en su preparado capital humano.
7. Potenciar las capacidades de inteligencia sobre la triada de la prevención,
detección y resiliencia. La PN cuenta con los recursos y el talento para especializarse en
inteligencia analítica y predictiva, en las técnicas de análisis de redes complejas, de
análisis de grafos, de patrones de comportamiento y todas las disciplinas de inteligencia,
especialmente la OSINT, para pensar como lo hace el atacante y adelantarse a sus jugadas.
De nuevo podemos poner la vista en Israel donde en su principal unidad de inteligencia,
la unidad 8.200, sus integrantes reciben dos años de formación en programación,
seguridad informática y criptografía (Oficina Económica y Comercial de España en Tel
Aviv, 2018). Se deben diseñar planes de adiestramiento para el manejo de las
herramientas comentadas, así como implementar cyberejercicios donde se empleen redes
simuladas en entornos de virtualización. No se puede ignorar que el Congreso está
pidiendo un “ejército de civiles” para luchar contra ciberataques (Sierra, 2019), que la
policía británica pretende predecir la producción de un delito mediante métodos
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 100
Guerra Híbrida.

estadísticos y la inteligencia artificial, a través de un sistema llamado National Data

Analytics Solution (NDAS) y que el análisis de sistemas de redes complejas ha
demostrado su gran potencial, como demuestra el resultado del experimento de la
predicción de la pandemia de la gripe aviar. La predicción proyectada fue prácticamente
calcada a la real, al implementar herramientas cuantitativas para evaluar la interacción
entre la estructura de la red y los procesos dinámicos internos y su impacto en los fallos
que se producen. Analizando si los fallos siguen leyes reproducibles, se pueden
cuantificar e incluso predecir su ocurrencia utilizando las herramientas de análisis de
redes.

8 Pandemia real vs predicción proyectada

7.2. Nuevas líneas de investigación

A lo largo del desarrollo del presente trabajo, ha resultado de alto interés para futura líneas
de investigación las siguientes materias:

- Los problemas de seguridad derivados de áreas con potencial de disrupción, las

armas de energía dirigidas mediante láser de alta potencia, los sistemas
autónomos, la robótica y la bioingeniería, la nanotecnología, los sistemas
portátiles de generación de energía.
- Retos de la futura ECN a la que habrá que añadir a los objetivos enfocados en la
ciberseguridad IT, la digitalización de la industria, la seguridad industrial
operativa (OT), los dispositivos conectados (IoT), la inteligencia artificial y la
computación cuántica (Alonso, 2019).
- Como tema jurídico, la existencia o no de una cibersoberanía y cómo se extrapola
el principio de neutralidad al ciberespacio.
- El concepto de Seguridad Digital frente al de ciberseguridad.
- La idea de Cyber-reserve o ciberejército de civiles: qué es, qué modelo sería
deseable y si es oportuna su implementación en momentos de crisis.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 101
Guerra Híbrida.

8. LISTADO DE ABREVIATURAS Y SIGLAS

IIGM Segunda Guerra Mundial

AAA Autenticación, Autorización y Auditoría

AMICA Analyzing Mission Impacts of Cyber Actions

ANECA Agencia Nacional de Evaluación de la Calidad y Acreditación

APT Amenaza Persistente Avanzada

BPMN Business Process Modeling Notation

CAC Common Access Card

CEO Chief Executive Officer

CAN Computer Network Attack

CND Computer Network Defence”

CNE Computer Network Exploitation

CNO Computer Network Operation

COMINT Communications Intelligence.

CP Código Penal

CYBERCOM US Cyber Command

DMZ Zona desmilitarizada

DNC Comité Nacional Demócrata

DNI Director Nacional de Inteligencia de Estados Unidos

DoD Departamento de Defensa de EEUU

DoJ Departamento de Justicia de los Estados Unidos

ECN Estrategia de Ciberseguridad Nacional

EEUU Estados Unidos

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 102
Guerra Híbrida.

ELINT Electronic Intelligence.

ENISA Agencia Europea de Seguridad de las Redes y de la Información

ENP Escuela Nacional de Policía

EPL Ejército Popular de Liberación chino

ESCD Emerging Security Challenges Division

FFAA Fuerzas Armadas

FFCCSE Fuerzas y Cuerpos de Seguridad del Estado

GRU Servicio de Inteligencia Militar ruso

GSM Global System for Mobile communucations

HUMINT Human Intelligence

IA Inteligencia Artificial

IC Infraestructuras Críticas

I+D+I Investigación, desarrollo e innovación

IDS/IPS Intrusion Detection Systems/Intrusion Prevention System

IMINT Image Intelligence

IoT Internet of Things

IP Protocolo de Internet

IRIS Iris Recognition Immigration System

IT Information Technology

LOAC Ley de Conflicto Armado

MEDINT Medical Intelligence

MSS Ministerio de Seguridad del Estado chino

NCIA Agencia de Comunicaciones e Información de la OTAN

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 103
Guerra Híbrida.

NDAS National Data Analytics Solution

NYT New York Times

OCDE Organización para la Cooperación y Desarrollo Económico

OSINT Open Source Intelligence

OT Operational Technology

OTAN Organización del Tratado del Atlántico Norte

PHI Protected Healthcare Information

PII Personally Identifiable Information

PN Policía Nacional

SCADA Supervisory Control and Data Acquisition

SIGINT Signals Intelligence.

TECHINT Technical Intelligence

TIC Tecnologías de la Información y las Comunicaciones

TTP Tácticas, Técnicas y Procedimientos

UE Unión Europea

URL Uniform Resource Locator

URSS Unión de Repúblicas Socialistas Soviéticas

WEBINT Web Intelligence

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 104
Guerra Híbrida.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 105
Guerra Híbrida.

9. AUTORIZACIÓN PARA USO DOCENTE

“El autor del presente Trabajo Fin de Máster, autoriza a la Escuela Nacional de
Policía su uso con fines docentes”

mayo de 2019

Firma

Fdo.: Mayo María GRAU DOMÉNECH

(El alumno es conocedor de que la elaboración del presente trabajo debe ajustarse a lo establecido
en la Guía para la elaboración de los Trabajos de Fin de Master y demás instrucciones impartidas
por la Escuela Nacional de Policía al respecto)
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 106
Guerra Híbrida.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 107
Guerra Híbrida.

[Link]ÍA
U.S. Office of the Director of National Intelligence. (6 de enero de 2017). “Background
to ‘Assessing Russian activities and intentions in recent U.S. elections’: The
analytic process and cyber incident attribution. Obtenido de
[Link]

(09 de marzo de 2014). Obtenido de

[Link]

Ackerman, S. (2 de enero de 2012). NATO Doesn't Yet Know How To Protect Its
Networks. Obtenido de WIRED: [Link]

Alina Polyakova, M. L. (noviembre de 2016). The Kremlin’s Trojan horses. Obtenido de

Atlantic Council: [Link]
trojan-horses

Alonso, J. (15 de enero de 2019). Hacia la fusión entre la ciberseguridad industrial y los
sistemas de información corporativos. Obtenido de Real Instituto Elcano ARI
6/2019:
[Link]
OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari6-2019-lecuit-hacia-fusion-
entre-ciberseguridad-industrial-y-sistemas-informacion-
corporativos?utm_source=CIBERelcano&utm_medium=email&utm

Alonso, J. (18 de febrero de 2019). La revisión de la Estrategia de Ciberseguridad

Nacional: una visión desde el sector privado. Obtenido de real Instituto Elcano:
[Link]
OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari18-2019-alonsolecuit-
revision-estrategia-ciberseguridad-nacional-vision-sector-privado

Archive, N. S. (2019). CyberWar Map. Obtenido de

[Link]

Asamblea General de Naciones Unidas. (24 de octubre de 1970). Resolución 2625 (XXV),
de 24 de octubre de 1970, que contiene la declaración relativa a los principios de
Derecho Internacional referentes a las relaciones de amistad y a la cooperación
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 108
Guerra Híbrida.

entre los Estados. Obtenido de [Link]

xxv-de-la-asamblea-general-de-naciones-unidas-de-24-de-octubre-de-1970-que-
contiene-la-declaracion-relativa-a-los-principios-de-derecho-internacional-
referentes-a-las-relaciones-de/

Asensio, P. d. (2000). Derecho Privado de Interne. Madrid: Civitas.

Aznar, F. (14 de marzo de 2018). Repensando la guerra asimétrica. Obtenido de Instituto

Español de Estudios Estratégicos:
[Link]
2018_Guerra_Asimetrica_FAFM.pdf

Baldwin, D. (1997). The concept of security. Review of International Studies, 5-26.

Baqués, J. (2015). El papel de Rusia en el conflicto de Ucrania: la guerra híbrida de las

grandes potencias. Revista de Estudios en Seguridad Internacional, 41-60.

Baqués, J. (octubre de 2018). La versión china de la zona gris. Grupo de Estudios de

Seguridad Internacional, 557-564. Obtenido de Grupo de Estudios de Seguridad
Internacional.

Bautista, W. (2018). Practical Cyber Intelligence. Birmingham: Packt Publishing Ltd.

Beck, U. (2019). La sociedad del riesgo. Barcelona: Planeta.

Bederman, D. (2001). International Law Frameworks. New York: Foundation Press.

Bell, C. H. (2018). Cyber Warfare and International Law: The Need for Clarity. Obtenido
de Cyber Warfare and International Law: [Link]
[Link]/[Link]/dist/b/55/files/2018/05/SPRING-2018-BELL-
[Link]

Bensahel, D. B. (19 de junio de 2018). War in the Fourth Industrial Revolution. Obtenido
de War on the Rocks: [Link]
industrial-revolution/

Bloomberg. (9 de noviembre de 2018). Symantec CEO Sees China's Cyber Warfare

Increasing. Obtenido de Bloomberg Technology:
[Link]
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 109
Guerra Híbrida.

[Link]?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xl
LmNvbS8&guce_referrer_sig=AQAAAGqvrZX3RUcvs1mQPrhr0R_EHf0Tia5
r1fU-
iu2euo71v1sH9O2pCDUueQFGDjBSZZaPQYjCuZfxuuzzMo1x_aXpVT9gxKb
3

Bossert, T. P. (18 de diciembre de 2017). It’s Official: North Korea Is Behind WannaCry.
Obtenido de Thw Wall Street Journal: [Link]
north-korea-is-behind-wannacry-1513642537

Brierly, J. L. (1963). The Law of Nations: An Introduction to the International Law of

Peace. Oxford: OUP Oxford.

Brown, P. S. (14 de enero de 2011). Reducing Systemic Cybersecurity Risk. Obtenido de

OECD/IFP Project on "Future Global Shocks":
[Link]

Brzezinski, Z. (1997). The Grand Chessboard. Washington D.C.: BasicBooks.

Caro, M. J. (2011). Alcance y ámbito de la Seguridad Nacional en el ciberespacio.

Cuadernos de Estrategia, vol. 149, 49-81.

Carr, J. (2011). Inside Cyber Warfare: Mapping the Cyber Underworld . CA: O'Reilly
Media.

CCN-CERT. (2018). Aproximación española a la Ciberseguridad. Madrid: Gobierno de

España, CCN.

CCN-CERT. (mayo de 2018). Ciberamenazas y Tendencias. Obtenido de CCN-CERT

IA-09/18: [Link]
publicos/2835-ccn-cert-ia-09-18-ciberamenzas-y-tendencias-edicion-2018-
1/[Link]

CCN-CERT. (2018). Ciberamenazas y tendencias 2018. Obtenido de [Link]

[Link]/informes/informes-ccn-cert-publicos/2856-ccn-cert-ia-09-18-
ciberamenazas-y-tendencias-2018-resumen-ejecutivo-2018/[Link]
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 110
Guerra Híbrida.

Cimpanu, C. (11 de febrero de 2019). Russia to disconnect from the internet as part of a
planned test. Obtenido de ZDNet: [Link]
disconnect-from-the-internet-as-part-of-a-planned-test/

Clapper, J. R. (12 de marzo de 2013). Worldwide Threat Assessment of the US

Intelligence Community. Obtenido de Statement for the Record :
[Link]
0SFR%20for%20SSCI%2012%20Mar%[Link]

Clayton, M. (17 de junio de 2014). Ukraine election narrowly avoided wanton destruction
from hackers. Obtenido de Christian Science Monitor:
[Link]
narrowly-avoided-wanton-destruction-from-hackers

CNCS. (9 de enero de 2019). Guía Nacional de Notificación y gestión de ciberincidentes.

Obtenido de
[Link]
+de+Notificaci%C3%B3n+y+Gesti%C3%B3n+de+[Link]/196760
87-0253-4c58-bbb0-2fc58a5fd63b

Cohen, G. (20 de enero de 2014). Israeli Expert Seeks Ethics Code for Cyber Warfare .
Obtenido de Haaretz: [Link]
ethics-code-1.5313312

Colom, G. (2013). Cambio y continuidad en el pensamiento estratégico estadounidense

desde el final de la Guerra Fría. Revista de Ciencia Política 33, n° 3, 675-692.

Colom, G. (2014). La revolución militar posindustrial. Revista de Estudios Sociales, No.

50, 113-126.

Colom, G. (marzo de 2019). ENISA: el reto de convertirse en la Agencia Europea de

Ciberseguridad. Obtenido de Thiber Digest núm. 7: [Link]
content/uploads/2019/03/Numero_07_Marzo_Optimizado.pdf

Colom, G. (2019). La amenaza híbrida: mitos, leyendas y realidades. Instituto Español de

Estudios Estratégicos, 1-14.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 111
Guerra Híbrida.

Conner, B. (2019). SonicWall. Obtenido de Unmasking the threats that target global
enterprises, governments & SMBs: [Link]
threat-report-lp/

Consejo de la Unión Europea. (8 de diciembre de 2008). Directiva 2008/114/CE.

Consejo de Seguridad de las Naciones Unidas. (14 de diciembre de 1974). Resolución de

la ONU 3314 (XXIX) de la Asamblea General. Obtenido de
[Link]

Croft, E. B. (31 de julio de 2017). Putin contraataca a [Link]. con sanciones a sus
diplomáticos en Rusia. Obtenido de CNN:
[Link]
sanciones-a-sus-diplomaticos-en-rusia/

Crosston, M. (2012). El mundo de ha vuelto ciberloco: cómo el “debilitamiento

mutuamente asegurado” es la mayor esperanza para la disuasión cibernética. Air
& space power. Vol. XXIII, Nº 3., 24-35.

Darrow, B. (31 de julio de 2017). How Hackers Broke Into U.S. Voting Machines in Less
Than 2 Hours. Obtenido de Fortune: [Link]
hackers-us-voting-machines/

Demers, J. (12 de diciembre de 2018). China’s Non-Traditional Espionage Against the

United States: The Threat and Potential Policy Responses. Obtenido de Comittee
on the Judiciary United States Senate:
[Link]
18%20Demers%[Link]

Enríquez, C. (2012). Estrategias internacionales para el ciberespacio. Monografías del

CESEDEN, Vol. 126, 71-115.

Espona, R. d. (10 de mayo de 2018). Guerra híbrida y capacidades estratégicas de la

OTAN: aportaciones de Lituania, Letonia y Estonia. Obtenido de Instituto de
Estudios estratégicos:
[Link]
2018_GuerraHibrida_OTAN_Lit-Est-Let_RafaelJEspona.pdf
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 112
Guerra Híbrida.

Euro, C. (29 de abril de 2013). Corrupción y ciberwar en la red (I). Obtenido de OHIBE
Blog de Política Global: [Link]

Feliu, L. (2012). La ciberseguridad y la ciberdefensa. Monografías del CESEDEN,

vol.126, 35-70.

Feliu, L. (2012). La ciberseguridad y la ciberdefensa. Monografías del CESEDEN, vol.

126, 35-70.

Ferreira-Snyman, A. (2007). Sovereignty and the changing nature of Public International

Law: Towards World Law? The Comparative and International Law Journal of
Southern Africa Vol. 4, No. 3, 406-407.

Fojón, E. (27 de febrero de 2005). Vigencia y limitaciones de la guerra de cuarta

generación. Obtenido de Real Instituto Elcano :
[Link]
64/Itemid,5/

Foster, G. (4 de abril de 2019). The National Defense Strategy Is No Strategy. Obtenido

de Defense One: [Link]
strategy-no-strategy/156068/

Ghoreishi, O. (14 de septiembre de 2018). The Risks of China’s Huawei to Canada.

Obtenido de The Epoch Times: [Link]
chinas-huawei-to-canada_2661441.html

Gil, R. (2012). El Vacío Legal del Ciberespacio. Revista de Aeronáutica y Astronautica

Nº. 817, 849-851.

Gómez, Á. (2019). Mundo Orwell: Manual de supervivencia para un mundo

hiperconectado. Barcelona: Ariel.

Gómez, J. A. (2013). Necesidad de una conciencia nacional de ciberseguridad. La

ciberdefensa: un reto prioritario. Monografía 137. Escuela de Altos Estudios de la
Defensa, 307-331. Obtenido de [Link]
[Link]
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 113
Guerra Híbrida.

González, J. L. (2010). Estrategias legales frente a las ciberamenazas. En Ciberseguridad.

Retos y amenazas a la seguridad nacional en el ciberespacio. Cuadernos de
Estrategia, Nº 149, 85-127.

González, M. (27 de marzo de 2019). Una “potencia extranjera” atacó los ordenadores
de Defensa. Obtenido de El País:
[Link]

Goulter, P. J. (1989). Optimization of Redundancy in Water Distribution Networks Using

Graph Theoretic Principles. Engineering Optimization, Vol. 15, No. 1, 71-82.

Greenberg, A. (20 de junio de 2017). How An Entire Nation Became Russia's Test Lab
for Cyberwar. Obtenido de WIRED: [Link]
hackers-attack-ukraine/

Hack2secure. (28 de marzo de 2018). Obtenido de

[Link]

Hashtag campaign: #MacronLeaks. (6 de mayo de 2017). Obtenido de

[Link]

Heads of State and Government at the NATO. (20 de noviembre de 2010). Active
Engagement, Modern Defence: Strategic Concept for the Defence and Security of
the Members of the North Atlantic Treaty Organisation. Obtenido de
[Link]

Hennessey, S. (diciembre de 2017). Deterring Cyberattacks. Obtenido de Foreinf Affairs:

[Link]
cyberattacks

Hidalgo, T. (2013). Guerra total, guerra asimétrica, ciberguerra. Necesidad de una

conciencia nacional de ciberseguridad. La ciberdefensa: un reto prioritario.
Núm. 137, 35-69.

Ibáñez, G. (25 de febrero de 2019). Sherman Kent: El padre del análisis en Inteligencia
Estratégica. Obtenido de Consultoría Empresarial. Planificación y Protección
Financiera: [Link]
la-inteligencia-estrategica/#
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 114
Guerra Híbrida.

International Group of Experts. (2013). Tallinn Manual. Obtenido de

[Link]

Izquierdo, I. (3 de diciembre de 2007). Guerra irrestricta: nuevo concepto en un mundo

globalizado. Obtenido de [Link]:
[Link]

Jason Kopylec, A. D. (2007). Visualizing Cascading Failures in Critical Cyber

Infrastructures. Obtenido de International Federation for Information Processing,
vol. 253: [Link]

Jordán, J. (30 de noviembre de 2018). El conflicto internacional en la zona gris: una

propuesta teórica desde la perspectiva del realismo ofensivo. Obtenido de Revista
Española de Ciencia Política núm. 48:
[Link]

Kaldor, M. (1998). New and Old Wars: Organized Violence ina Global Era. Cambrige:
Polity Press.

Kaspersky Lab’s Global Research and Analysis Team. (17 de febrero de 2015). Equation
Group: The Crown Creator of Cyber-Espionage. Obtenido de Kaspersky Lab:
[Link]
crown-creator-of-cyber-espionage

La información. (26 de noviembre de 2017). España tiene 400 infraestructuras críticas

susceptibles de sufrir atentados. Obtenido de La Información:
[Link]
400-infraestructuras-criticas-susceptibles-de-sufrir-
atentados_OXmHHRXGfisFqO0jJrD9P5/

Ley 8/2011, de 29 de abril, por la que se establecen medidas para la protección de las
infraestructuras críticas. (29 de abril de 2011). Boletín Oficial del Estado, núm.
102. España.

Libertad Digital. (8 de junio de 2018). España ha sido el tercer país que más ciberataques
recibe. Obtenido de Libertad Digital:
[Link]
tercer-pais-que-mas-ciberataques-recibe-1276620178/
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 115
Guerra Híbrida.

Lima, G. D. (12 de marzo de 2019). Digital Security en la nueva era de transformación

digital . Obtenido de Real Instituto Elcano :
[Link]
OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari32-2019-dantonio-
oliasdelimapancorbo-digital-security-en-la-nueva-era-de-transformacion-digital

López-Jacoiste, E. (marzo de 2015). Las guerras híbridas y a la luz del derecho

internacional. Obtenido de Instituto Estañol de Estudios Estratégicos:
[Link]
2015_GuerrasHibridas_DchoInternac_LopezJacoiste.pdf

Lowe, V. (1989). International Law and the Effects Doctrine in the European Court of
Justice. The Cambridge Law Review Vol. 48, Issue 1 , 9-11.

Lucas-Torres, C. (4 de enero de 2019). El Español. Obtenido de El Español:

[Link]
ejercito-instituciones-valoradas-podemos/365714320_0.html

Luengo, M. (28 de enero de 2018). Cibercrimen. Ciberguerra. Ciberespionaje. Nadie

está a salvo en Internet. Obtenido de El País:
[Link]

Maquiavelo, N. (2012). El Príncipe. Barcelona: Austral.

Marsal, J. (mayo de 2015). Tecnologías disruptivas y sus efectos sobre la seguridad.

Obtenido de Instituto Español de Estudios Estratégicos:
[Link]
2015_Tecnologias_Disruptivas_EfectosSeguridad.pdf

Martín, J. (19 de febrero de 2018). El País. Obtenido de El secretario general de la ONU

dice que hay "ciberguerra entre Estados":
[Link]
l

Maurer, T. (septiembre de 2011). Cyber norm emergence at the United Nations. Obtenido
de Science, Technology, and Public Policy Program:
[Link]
[Link]
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 116
Guerra Híbrida.

May, L. (2015). The Nature of War and the Idea of “Cyberwar". En C. F. Jens Ohlin,
Cyberwar: Law and Ethics for Virtual Conflicts (págs. 3-15). Oxford: Oxford
University Press.

Mazanec, B. M. (2015). The Evolution of Cyber War. Nebraska: University of Nebraska.

Mazzeti, M. (24 de marzo de 2019). El nuevo campo de batalla: cibermercenarios que

espían para cualquier gobierno. Obtenido de The New York Times:
[Link]

McKaughan, C. (22 de diciembre de 2016). No, the United States is not Losing the “Cyber
War”. Obtenido de The Pensive Post: [Link]
states-is-not-losing-the-cyber-war-fb3520a6387d

Mearsheimer, J. (2013). The tragedy of great power politics. Nueva Yok: Norton.

Michael Green, K. H. (2017). Countering coercion in maritime asia. The theory and
practice of gray zone deterrence. Washington D.C: Center for Strategic and
International Studies.

Miller, Z. J. (19 de julio de 2018). Trump dice que le advirtió a Putin sobre entrometerse
. Obtenido de Associated Press: [Link]
mx/noticias/mundo/trump-dice-que-le-advirti%C3%B3-a-putin-sobre-
entrometerse/ar-AAAhw7S

Morales, S. (23 de noviembre de 2017). El futuro de la naturaleza de los conflictos

armados. Obtenido de Instituto Español de Estudios Estratégicos:
[Link]
2017_Futuro_ConflictosArmados_SamuelMorales.pdf

Münkler, H. (31 de marzo de 2003). Las guerras del siglo XXI. Obtenido de Revista
Internacional de la Cruz Roja:
[Link]

NATO. (1 de julio de 2012). The NATO Communications and Information Agency:

Leading NATO´s Digital Endeavour. Obtenido de NATO Communications and
Information Agency : [Link]
[Link]
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 117
Guerra Híbrida.

NATO. (27 de noviembre de 2018). Cyber Coalition helps prepare NATO for today’s
threats. Obtenido de North Atlantic Treaty Organization:
[Link]

NATO. (16 de julio de 2018). Cyber defence. Obtenido de North Atlantic Treaty
Organization: [Link]

NATO. (12 de febrero de 2019). New NATO hub will gather the Alliance's cyber
defenders. Obtenido de North Atlantic Treaty Organization:
[Link]

Noel, S. (15 de octubre de 2015). CyGraph: Cybersecurity Situational Awareness That’s

More Scalable, Flexible & Comprehensive. Obtenido de Neo4j Blog :
[Link]

Obama, B. (19 de julio de 2012). Taking the Cyberattack Threat Seriously. Obtenido de
Wall Streat Journal:
[Link]
650

Oficina Económica y Comercial de España en Tel Aviv. (2018). Inversión Estrarégica en

el sector de la Ciberseguridad: el caso israelí. Información Comercial Española
Nº. 3096, 3-13.

Olías, G. D. (12 de marzo de 2019). Digital Security en la nueva era de transformación

digital . Obtenido de Real Instituto Elcano:
[Link]
OBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari32-2019-dantonio-
oliasdelimapancorbo-digital-security-en-la-nueva-era-de-transformacion-
digital?utm_source=CIBERelcano&utm_medium=email&ut

Pardo, J. (10 de enero de 2018). Xi Jinping y Putin, dos liderazgos que retan el orden
occidental. Obtenido de Instituto Español de Estudios Estratégicos:
[Link]
2018_Putin_XiJinping_JMPSGO.pdf

Pastor, O. (2013). La conciencia de ciberseguridad en las empresas . Monografía 137.

Escuela de Altos Estudios de la Defensa, 185-246.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 118
Guerra Híbrida.

Paul Cornish, D. L. (septiembre de 2011). Cyber Security of the UK’s Critical National
Infrastructure. Obtenido de The Royal Institute of International Affairs: Cyber
Security and the UK’s Critical National Infrastructure

Pérez, C. (23 de abril de 2014). Anécdotas y curiosidades jurídicas. Iustopia. Obtenido

de La prohibición de la perfidia: [Link]
[Link]

Pérez, I. (29 de abril de 2015). We live security. Obtenido de

[Link]
scripting-sitios-web/

Perlroth, D. B. (12 de mayo de 2017). Decenas de países reportan haber sufrido un

ciberataque masivo. Obtenido de The New York Times:
[Link]
sufrido-un-ciberataque-masivo/

Polyakova, A. &. (2018). The future of political warfare: Russia, the west, and the coming
age of global digital competition. The New Geopolitics.

Presidencia del Gobierno. (2013). Estrategia de Ciberseguridad Nacional.

Presidencia del Gobierno. (2013). Estrategia de Ciberseguridad Nacional. Madrid:

Imprenta del Boletín Oficial del Estado.

Presidencia del Gobierno. (2017). Estrategia de Seguridad Nacional. Madrid: Imprenta

del Boletín.

Presidencia del Gobierno. (2018). Informe Anual de Seguridad Nacional. Madrid:

Gobierno de España.

Priestap, B. (12 de diciembre de 2018). China’s Non-Traditional Espionage Against the

United States: The Threat and Potential Policy Responses. Obtenido de Statement
Before the Senate Judiciary Committee Washington, D.C.:
[Link]
the-united-states
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 119
Guerra Híbrida.

Prieto, R. (abril de 2013). Guerra cibernética: Aspectos Organizativos. Obtenido de

XXXIII Curso de Defensa Nacional: [Link]
[Link]

Quintana, Y. (2018). Ciberseguridad, una cuestión de Estados . Política Exterior, Vol. 32,
Nº 185, 50-57.

Ramírez, A. (mayo de 2012). Doctrina de Empleo de las Fuerzas Terrestres. Obtenido

de Ejército de Tierra Español nº854:
[Link]
ejercito/2012/R_Ejercito_854.pdf

Reguera, J. (18 de marzo de 2015). Aspectos legales en el ciberespacio. La ciberguerra

y el Derecho Internacional Humanitario. Obtenido de Grupo de Estudios en
Seguridad Internacional:
[Link]
ciberespacio-la-ciberguerra-y-el-derecho-internacional-humanitario#_ftnref21

Reguera, J. (18 de marzo de 2015). Aspectos legales en el ciberespacio. La ciberguerra

y el Derecho Internacional Humanitario. Obtenido de Grupo de Estudios en
Seguridad Internacional :
[Link]
ciberespacio-la-ciberguerra-y-el-derecho-internacional-humanitario#_ftnref21

Renaudie, J.-L. (30 de enero de 2016). Israel´s cyber sector blooms in the desert.
Obtenido de The Times of Israel: [Link]
sector-blooms-in-the-desert/

Rengel, C. (14 de abril de 2019). Se está hackeando directamente a los usuarios, tirando
de egos y apetitos. Obtenido de HUFFPOST:
[Link]
privacidad_es_5ca34872e4b03e061e3a3ce6

Robles, M. (21 de enero de 2016). El ciberespacio: presupuestos para su ordenación

jurídico internacional. Obtenido de Revista chilena de derecho y ciencia política:
[Link]
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 120
Guerra Híbrida.

Rodriguez, j. (5 de anbril de 2019). Formación en Inteligencia by I+ L Inteligencia y

Liderazgo. Madrid.

Rojas, E. S. (2013). Conclusiones de una conciencia de ciberseguridad y ciberdefensa.

Necesidad de una conciencia nacional de ciberseguridad. La ciberdefensa:
un reto prioritario. Monografías 137, 307-330.

Ronfeldt, J. A. (2001). Networks and Netwars: The Future of Terror, Crime, and
Militancy. Santa Mónica: RAND Corporation.

Rosenau, J. N. (1990). Turbulence in world politics: A theory of change and continuity.

Princeton: Princeton University Press.

Rovira, R. (2017). Yo, Trump. Barcelona: Random House Grupo Editorial.

Russell, W. (2014). The return of geopolitics: the revenge of the revisionist powers.
Foreign Affairs, 69-79.

Savater, F. (2013). La ética ante los dilemas de la globalización. XXVI Curso de Verano
de la Universidad Complutense: Ciberseguridad. Retos y amenazas a la
seguridad nacional en el ciberespacio. Madrid.

Schneider, B. (20 de marzo de 2008). Inside the Twisted Mind of the Security
Professional. Obtenido de WIRED:
[Link]

Shakarian, P. (2012). Stuxnet: Revolución de ciberguerra en los asuntos militares. Air &
space power. Vol. XXIII, Nº 3, 50-60.

Shanker, E. B. (11 de octubre de 2012). Panetta Warns of Dire Threat of Cyberattack on

U.S. Obtenido de The New York Times:
[Link]
[Link]

Sierra, M. (11 de marzo de 2019). El Congreso pide un 'ejército de civiles' para luchar
contra ciberataques. Obtenido de Vozpopuli:
[Link]
Espana-ciberataques_0_1225078153.html
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 121
Guerra Híbrida.

Starr, R. B. (14 de abril de 2016). Top Pentagon official: 'Right now it sucks' to be ISIS.
Obtenido de CNN: [Link]
cyber-bombs-isis-sucks/[Link]

Steven Noel, J. L. (2015). Analyzing Mission Impacts of Cyber Action (AMICA). IST-
128 Workshop on Cyber Attack Detection, Forensis and Attribution for
Assessment of Mission Impact, 80-86.

THALES. (15 de febrero de 2018). Como se protegen las infraestructuras críticas.

Obtenido de THALES: [Link]
se-protegen-las-infraestructuras-criticas

The Editorial Board. (07 de mayo de 2013). China and Cyberwar. Obtenido de The New
York Times: [Link]
[Link]

The Secretary of Defense. (abril de 2015). The DoD cyber strategy. Obtenido de
[Link]
strategy/final_2015_dod_cyber_strategy_for_web.pdf

The White House. (mayo de 2011). International Strategy for Cyberspace. Obtenido de
Prosperity, Security, and Openess in a Networked World:
[Link]
_strategy_for_cyberspace.pdf

Thielman, S. A. (8 de octubre de 2016). US officially accuses Russia of hacking DNC and

interfering with election . Obtenido de The Guardian:
[Link]
interfering-presidential-election

Torreblanca, J. I. (1 de mayo de 2016). El nuevo gran juego digital. Obtenido de El País:

[Link]

Townsend, K. (07 de enero de 2019). The United States and China - A Different Kind of
Cyberwar. Obtenido de Security Week: [Link]
states-and-china-different-kind-cyberwar
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 122
Guerra Híbrida.

UE, S. G. (2009). Estrategia Europea de Seguridad. Luxemburgo: Oficina de

Publicaciones de la Unión Europea.

UIT. (2003-2005). Cumbre Mundial sobre la Sociedad de la Información. Obtenido de

[Link]

UIT-T. (abril de 2008). Recomendación UIT-T X.1205 (04/2008). Serie X: Redes de

datos, comunicaciones de sistemas abiertos y seguridad. Obtenido de Serie X:
Redes de datos, comunicaciones de sistemas abiertos y seguridad.

United Nations. (26 de junio de 1945). United Nations: Article 51, Chapter VII: Actions
with respect to threats to the peace, breaches of peace, and acts of aggression.
Obtenido de [Link]

Valeriano, B. (13 de julio de 2017). Cyberwarfare has taken a new turn. Yes, it’s time to
worry. Obtenido de The Washington Post:
[Link]
warfare-has-taken-a-new-turn-yes-its-time-to-worry/?utm_term=.ff79a37655de

Ventura, D. (07 de febrero de 2017). Ciberguerra: la lucha de las grandes potencias por
controlar internet. Obtenido de Huffingtonpost:
[Link]
hackers_n_14248228.html

Veracode. (s.f.). Obtenido de [Link]

Winterfeld, J. A. (2013). Cyber Warfare: Techniques, Tactics and Tools for Security
Practitioners. Waltham: Elsevier.

Young, M. (2010). National Cyber Doctrine: The Missing Link in the Application of
American Cyber Power. Journal of National Security Law and Policy 4, no. 1,
173-196.

Zetter, K. (1 de enero de 2015). We're at Cyberwar: A Global Guide to Nation-State

Digital Attacks. Obtenido de WIRED:
[Link]
attacks/
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 123
Guerra Híbrida.

Zetter, K. (7 de junio de 2016). Hacker Lexicon: What Are CNE and CNA? Obtenido de
Wired: [Link]
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 124
Guerra Híbrida.
Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 125
Guerra Híbrida.

11.ÍNDICE DE ILUSTRACIONES Y TABLAS

11.1. Ilustraciones

1 CyberWar Map. The Cyber Vault Project (Archive, 2019) ........................................ 47

2 Consejo Nacional de Ciberseguridad (Presidencia del Gobierno, 2017) .................... 78

3 Flujograma del sistema de ventanilla única ................................................................. 80

4 CIA triad (Winterfeld, 2013) ....................................................................................... 81

5 Defensa en profundidad (Winterfeld, 2013) ................................................................ 88

6 Ciberataque representado con grafos (Noel, 2015) ..................................................... 94

7 Porcentaje de especialistas en TIC (Presidencia del Gobierno, 2018) ........................ 99

8 Pandemia real vs predicción proyectada ................................................................... 100

11.2. Tablas

1 Incidentes gestionados por el CCN-CERT 2012-2018.................................................. 5

2 Tipología de incidentes en 2018 .................................................................................... 5

3 Acciones y respuestas en la Zona Gris ........................................................................ 20

4 Normas emergentes ..................................................................................................... 58

5 Evolución de la transformación digital ........................................................................ 68

6 Actores de la ciberseguridad (elaboración propia) ...................................................... 79

7 Actores en la Ciberseguridad Nacional (Presidencia del Gobierno, 2017) ................. 79

8 Valoración de las principales Instituciones (Lucas-Torres, 2019) .............................. 90

9 Herramientas de ciberinteligencia (elaboración propia) .............................................. 93

Riesgos y amenazas en el ciberespacio: el papel de la Policía Nacional en el contexto de la 126
Guerra Híbrida.