En el artículo anterior hacía una introducción al concepto de ciberpotencias y mencionaba las capacidades que considero permiten estimar el nivel de potencia cibernética de los Estados en el marco de los objetivos nacionales de cada uno de ellos. Basándome en dichas capacidades dedicaré este post a llevar a cabo una evaluación de los principales actores estatales en el escenario del ciberespacio.

Antes de exponer las conclusiones más importantes de la evaluación debo reconocer sus limitaciones al encontrar varias dificultades, en su mayoría relacionadas con las características inherentes al ciberespacio, como por ejemplo la ubicuidad, el anonimato y la dificultad de atribución, el dinamismo y la capacidad de crecimiento rápido o la asimetría, así como otras derivadas de la propia naturaleza de los conflictos.

Además, para poder realizar una evaluación de este tipo es necesario disponer de un gran volumen de datos e información lo cual hoy en día es posible obtener de fuentes abiertas, en especial Internet, pero, a pesar de su magnitud, los datos obtenidos son incompletos pues en algunos casos el ciberpoder de los Estados se ejerce de forma encubierta o con cierta discreción, incluso utilizando la desinformación, afectando sensiblemente el estudio.

Por ello, para realizar el análisis expuesto a continuación no solamente he llevado a cabo una búsqueda orientada de información, sino que también he utilizado la procedente de los propios Estados y de diferentes documentos relevantes de organismos y entidades de solvencia que, si bien presentan enfoques diferentes, añaden valor a la evaluación.

Asimismo, dado que la exposición de todos los detalles de la evaluación alargaría demasiado este artículo, en lugar de mostrar todas las capacidades mencionadas anteriormente las he agrupado en una capacidad global añadiendo en un apartado separado, en el contexto de la crisis Rusia – Ucrania, las capacidades defensivas y ofensivas, incluida en esta última la ciberinteligencia.

Capacidades globales

Como he mencionado anteriormente en este apartado incluyo el conjunto de capacidades que permiten estimar el nivel de ciberpotencia de los Estados, excluyendo las defensivas y ofensivas que se exponen después.

Como es lógico, ningún país alcanza un máximo de capacidad en valores absolutos e incluso en casi ninguno de los documentos consultados se alcanza a superar el 60% de las capacidades mencionadas. Sin embargo, lo que si se observa es una coincidencia casi generalizada en considerar a los Estados Unidos como la ciberpotencia dominante con preponderancia y equilibrio en el desarrollo de casi todas las capacidades.

Esta preponderancia se justifica por el hecho de haber estado desarrollando sus capacidades cibernéticas desde finales del pasado siglo a lo que se une la unión y coordinación de todos los actores estatales y no estatales, la existencia de instituciones públicas y privadas, incluidas las educativas, que favorecen la innovación, el avanzado desarrollo tecnológico y una economía fuerte, constituyendo un eficaz y poderoso ecosistema cibernético.

En segundo lugar se encuentra China a cierta distancia por el momento debido a que anteriormente uno de sus principales objetivos fue su expansión como potencia económica mundial debilitando su desarrollo tecnológico con la consecuencia de haber sido muy dependiente de tecnologías y redes desarrolladas y operadas por entidades occidentales,

Pero una vez alcanzado un lugar económico preminente, China considera que el ciberespacio es crucial para seguir desarrollando su economía y desarrollar la próxima generación de tecnologías, como así se contempla en el 14° Plan Quinquenal (2021 – 2025) cuyo objetivo es que China se afiance como potencia mundial mediante un modelo de crecimiento sostenible e innovador que conduzca a la modernización de la economía en 2035 basándose entre otras medidas en la digitalización y la transformación tecnológica de la economía.

Como asimismo su base industrial y tecnológica está experimentando una rápida digitalización, todo ello permite anticipar que las diferencias con Estados Unidos se irán acortando a corto y medio plazo.

A continuación destaca el Reino Unido, donde, sobre la base de una estrecha colaboración entre el gobierno, las instituciones educativas y las entidades privadas, se están fortaleciendo las capacidades cibernéticas generales. A mayor distancia se encuentra Rusia, completando los diez primeros lugares los Países Bajos, Francia, Alemania, Canadá, Japón y Australia.

Capacidades defensivas

Aunque pueda parecer sorprendente existe un cierto consenso en considerar que este es uno de los pocos casos donde los Estados Unidos no ocupan el primer lugar de la clasificación al ser superados por el Reino Unido y también por otros Estados como por ejemplo Francia o los Países Bajos.

Esta posición preponderante del Reino Unido se debe a haber desarrollado un ecosistema nacional de ciberseguridad basado en un enfoque integral que agrupa al gobierno, el sector privado, la academia y los ciudadanos, cuyo esfuerzo se focaliza en el Centro Nacional de Ciberseguridad (NCSC) responsable de proteger los servicios críticos del Reino Unido de los ataques cibernéticos actuando como núcleo y referencia para el sector público en general, la industria, empresas y la cooperación público – privada en este ámbito.

Tampoco China ocupa un lugar destacado pues sus capacidades defensivas en materia de ciberseguridad y resiliencia están en su primera fase de desarrollo. Una de las causas de esta situación se debe a que en el ámbito de la seguridad cibernética China ha primado la seguridad de la información, incluida la censura, sobre la de los sistemas que la soportan.

Igualmente sorprende que Rusia no ocupe un lugar entre los diez primeros clasificados. A este respecto es preciso destacar que en sus documentos oficiales no se utiliza el término cibernético; este es el caso, por ejemplo, de la nueva Estrategia de Seguridad Nacional (2021) donde no aparece esta palabra cuando, sin embargo, en el documento se dedica toda una sección a la seguridad de la información, donde se afirma que las nuevas tecnologías de la información se utilizan cada vez más para interferir en los asuntos internos rusos, socavar su soberanía y violar la integridad territorial.

Capacidades ofensivas

En el contexto de este análisis se entienden como capacidades ofensivas aquellas destinadas a proyectar poder a través del ciberespacio. Este enfoque contempla un amplio abanico de actividades incluyendo la aplicación de la fuerza para la destrucción, daño, degradación, etc., de las capacidades ciber de un potencial adversario.

El análisis de las capacidades ofensivas es posiblemente el más complicado de elaborar pues al hecho de basarse en fuentes abiertas se une el secretismo habitual sobre este tipo de actividades y también la aparente oposición al uso de estas capacidades, por principios éticos y legales, particularmente en países occidentales donde en algunos casos existe prohibición expresa a su utilización.

Con objeto de disponer de más información a analizar en este apartado, he incluido en él las actividades de ciberinteligencia, en algunos casos de ciberespionaje, lo cual permite hacer una evaluación más completa al considerar que tal inteligencia se dedica a conocer al potencial adversario para actuar también ofensivamente.

Agrupando ambos tipos de capacidades (ofensiva y ciberinteligencia), de la evaluación se deduce que una vez más los Estados Unidos aparecen como líderes en este apartado al disponer de unas capacidades cibernéticas ofensivas más desarrolladas que los de cualquier otro país. Contribuyen a este liderazgo sus capacidades de ciberinteligencia representadas principalmente por agencias tales como la de Seguridad Nacional (NSA), la CIA y el FBI.

En su doctrina, muy desarrollada, se prevé el uso de tales capacidades ofensivas en una amplia gama de escenarios, como ya se ha podido evidenciar mostrado en algunos ataques donde se ha mostrado una determinación y alto nivel para realizar operaciones cibernéticas ofensivas.

También aquí destaca el Reino Unido que dispone de capacidades ofensivas para disuadir y atacar amenazas llegando incluso a utilizarlas en caso de conflicto de forma responsable y de acuerdo con el derecho; la propia doctrina militar británica recoge la ciberofensiva incluyendo su uso para obtener libertad de maniobra, proyectar potencia, efectos destructivos y como medida de disuasión.

En este apartado destaca el Cuartel General de Comunicaciones del Gobierno (GCHQ) la agencia de ciberinteligencia y seguridad nacional de la que forma parte el mencionado anteriormente Centro Nacional de Seguridad Cibernética (NCSC),

En cuanto a Rusia, la mencionada Estrategia de Seguridad Nacional (2021) incluye un conjunto de medidas para garantizar la seguridad de la información tales como desarrollar un sistema de prevención y respuesta frente a las amenazas en este ámbito, aumentar el segmento ruso de Internet, la prevención y minimización de los daños a la seguridad nacional asociados con la implementación de inteligencia técnica por parte de estados extranjeros y, de forma muy concreta, el desarrollo de «fuerzas y medios de confrontación de información». (sic)

Entre tales fuerzas y medios es posible estimar se incluyen las principales agencias de inteligencia rusas (Servicio Federal de Seguridad o FSB, Dirección Principal de Inteligencia de las Fuerzas Armadas o GU/GRU y Servicio de Inteligencia Exterior o SVR) y los denominados «hackers patrióticos», como el denominado APT 29, que no son oficialmente parte de la maquinaria estatal, pero se estima están vinculados al SVR y al FSB de la Federación de Rusia.

El caso de China sus actividades ofensivas, particularmente las de ciberinteligencia, han estado dirigidas especialmente a la obtención de información comercial, científica y técnica del exterior del país, así como de vigilancia y seguimiento interno, haciendo amplio uso de sus capacidades cibernéticas. Aunque posiblemente estas actividades, detectadas y atribuidas por las empresas de ciberseguridad y agencias de inteligencia occidentales, hayan sido de bajo nivel técnico, su elevado número y actividad permite deducir que se haya adquirido una considerable experiencia y por ello, en base a lo publicado en su doctrina, es probable que China también haya desarrollado capacidad cibernética para uso en operaciones.

Mención especial merece Israel que aparece entre los primeros lugares en este apartado, pero no así en el resto lo cual puede entenderse por la dificultad de evaluar las capacidades de un Estado enfrentado a amenazas de diferente tipo. Sin embargo, aunque en muchos estudios no se reconozca, es posible afirmar que Israel es una de las principales potencias cibernéticas del mundo. con un gran desarrollo e inversión en tecnología tanto para seguridad como para el crecimiento económico.

La Estrategia de ciberseguridad de Israel, dirigida y coordinada por Dirección Nacional de Cibernética de Israel (INCD), dependiente directamente del Primer Ministro, se basa en los principios de ventaja cualitativa y la autosuficiencia en defensa en cuyo marco se incluyen tanto acciones directas del Estado para hacer frente a amenazas cibernéticas como para promover y apoyar actividades de ciberseguridad colaborando con el sector privado y la academia.

Si consideramos factores como sus agencias de inteligencia, su actividad, experiencia y su alta tecnología, ampliamente expandida por diversos países occidentales mediante exportaciones, puede estimarse que Israel dispone de capacidad suficiente para llevar a cabo operaciones cibernéticas ofensivas de múltiples tipos.

Finalmente destacar que en este apartado aparece entre los primeros lugares España lo cual puede atribuirse a capacidades como tener una Estrategia Nacional de Ciberseguridad (2019) y organismos como el Centro Criptológico Nacional (CCN-CERT) del Centro Nacional de Inteligencia (CNI), el Instituto Nacional de Ciberseguridad de España (INCIBE), el Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC) y el Mando Conjunto de Ciberdefensa del Ministerio de Defensa, a lo que debe unirse la reconocida capacidad y profesionalidad de los diferentes entidades y organismo que asumen labores de ciberinteligencia.

Comparación entre capacidades y determinación

Como complemento a la evaluación sintetizada en los anteriores apartados, incluyo una comparación efectuada por el Belfer Center for Science and International Affairs de la Harvard Kennedy School.

La comparación se efectúa entre los identificados como grandes actores estatales, situándolos gráficamente de acuerdo con las capacidades necesarias y la determinación o voluntad de cada uno de ellos de alcanzar tales capacidades.

Dada la diversidad de países las capacidades pueden ser muy diferentes e incluso posiblemente alguno no se plantee alcanzar todas, como podría ser la adopción de medidas ofensivas. Sin embargo para establecer la comparación se han incluido todas las que se consideran necesarias para poder evaluar el nivel de ciberpotencia de los Estados.

Ciberpotencias; los grandes actores estatales: capacidades vs determinación
(elaboración propia derivada de Belfer Center for Science and International Affairs; Harvard Kennedy School)

Reflexión final

El ciberespacio se ha convertido en un nuevo escenario de conflictos con implicaciones geopolíticas que no pueden separarse de las clásicas de los espacios geográficos tradicionales presentando nuevos desafíos a enfrentar mediante un enfoque multiescalar.

En este escenario han surgido múltiples actores entre ellos algunos que alcanzan la categoría de ciberpotencias, al disponer de la capacidad de ejercer dominio en este espacio real y virtual con diferentes propósitos y ambiciones que obligan a considerar la ciberseguridad y la ciberdefensa como una cuestión geopolítica y una prioridad estratégica.