III Jornadas de Ciberdefensa del Mando Conjunto de Ciberdefensa
Operaciones Militares en el ciberespacio
22 al 24 de mayo de 2018. Kinépolis Madrid (Ciudad de la Imagen)
www.jornadasciberdefensa.es   |   #JornadasCD18   |   #MandoCiberdefensa
Legal
PANEL: Marco jurídico de las acciones de respuesta
Miércoles, 23 de mayo de 2018   -   10:00 - 11:00
Las diapositivas de las presentaciones realizadas por cada ponente pueden descargarse debajo, junto a su biografía. Las respuestas a las preguntas realizadas están en cada vídeo, al final, excepto las respondidas personalmente a posteriori, por falta de tiempo, que pueden consultarse aquí .
Participan:
Moderador
Enrique Cubeiro Cabello
Capitán de Navío, Jefe de Operaciones del Mando Conjunto de Ciberdefensa (MCCD)

El Capitán de Navío Enrique Cubeiro nació en Madrid, ingresó en la Armada en el año 1981 y fue promovido a su empleo actual en julio del 2013.

A lo largo de su carrera, ha ocupado diversos destinos en la estructura de la Armada, destacando entre ellos el mando de los buques "Bergantín", "Serviola" y "Patiño"; ha participado en numerosas operaciones, entre las que destacan la operación Sharp Guard para el embargo a la antigua Yugoslavia, Active Endeavour de la OTAN para prevenir el movimiento de terroristas y de armas de destrucción masiva en el Mediterráneo, y, más recientemente, la Operación Atalanta de la Unión Europea para la lucha contra la piratería en el Océano Índico. Durante su mando del buque Patiño en esta última operación, se produjo el apresamiento de los primeros piratas juzgados y condenados en España por el delito de piratería. Cuenta con más de 2000 días de mar.

Es Especialista en Comunicaciones, diplomado de Estado Mayor de las Fuerzas Armadas y cuenta con un master en Ciberdefensa por la Universidad de la Alcalá de Henares.

Ha sido Premio Defensa 2002, en la modalidad de Trabajos de Investigación desarrollados por concurrentes a cursos de Altos Estudios Militares por su monografía "Sistemas de mando y Control, una visión histórico-prospectiva" y Premio Alvaro de Bazán en los años 2012 y 2014 por artículos publicados en la Revista General de Marina sobre piratería en Somalia y Ciberdefensa, respectivamente.

Desde septiembre del 2013 es el Jefe de Operaciones del Mando Conjunto de Ciberdefensa. En este puesto ha desempeñado puestos de presidente y vocal del Ministerio de Defensa en diferentes Grupos de Trabajo interministeriales responsables de desarrollar diversas líneas de acción de la Estrategias Nacionales de Seguridad Marítima y de Ciberseguridad.

Está casado y tiene una hija.

Ponente
Jerónimo Domínguez Bascoy
General Auditor. Vocal Togado del Tribunal Militar Central

Estudió la carrera de Derecho en las Universidades de Valladolid y Autónoma de Madrid, por la que obtuvo el título de Licenciatura en junio de 1981, ingresando posteriormente por oposición en el Cuerpo Jurídico de la Armada en diciembre de 1982. Ha realizado también estudios de la Licenciatura de Ciencias Políticas en la UNED, y es Diplomado en Comunicación Social por la Facultad de Ciencias de la Información de la Universidad Complutense de Madrid. Tiene, asimismo, el Diploma en Derecho Internacional Militar, propio del Cuerpo Jurídico Militar y un título de Magister en Seguridad y Defensa por la Universidad Complutense de Madrid. Ha realizado también el Curso Avanzado en Derecho de los Conflictos Armados en el Instituto Internacional de Derecho Humanitario de San Remo (Italia), con el que colabora asiduamente en calidad de docente.

Ostenta el empleo de General Auditor, al que fue promovido en mayo de 2017, pasando a prestar servicio como Vocal Togado del Tribunal Militar Central

El General Domínguez Bascoy tiene, además, experiencia en el ámbito internacional, que procede, principalmente, de haber ocupado durante dos años (entre 2002 y 2004) el puesto de Asesor Jurídico del Cuartel General del Mando Conjunto Subregional Sudoeste de la OTAN; de su participación como Asesor Jurídico del Mando Componente Naval en diversos ejercicios de la Fuerza de Respuesta de la OTAN, y de su participación, entre noviembre de 2010 y abril de 2011, como Asesor Jurídico del Cuartel General embarcado de la Fuerza Naval de la Unión Europea desplegada en el Océano Índico en la Operación ATALANTA contra la piratería frente a las costas de Somalia.

Es miembro del Grupo Español de la Sociedad Internacional de Derecho Militar y Derecho de la Guerra, de cuya Junta Directiva forma parte actualmente.

Ponente
Ángel Gómez de Ágreda
Coronel, Secretaría General de Política de Defensa del Ministerio de Defensa

Es Coronel del Ejército del Aire, Diplomado de Estado Mayor y
Máster en Terrorismo y Anti-terrorismo por la Universidad de la Rioja.

Ha sido profesor del Departamento de Estrategia y Relaciones Internacionales de la Escuela Superior de las Fuerzas Armadas, en el CESEDEN, y jefe de la Sección de Cooperación del Estado Mayor del Mando Conjunto de Ciberdefensa.

Actualmente es el jefe del Área de Análisis Geopolítico de la División de Coordinación y Estudios de Seguridad y Defensa de la Secretaría General de Política de Defensa (SEGENPOL), donde ya estuvo destinado entre 2011 y 2014.

Como instructor paracaidista, ha efectuado 624 saltos paracaidistas, casi todos de apertura manual y como miembro de la Patrulla Acrobática de Paracaidismo del Ejército del Aire y del equipo nacional de paracaidismo. Es también profesor de vuelo y piloto de transporte con alrededor de 4000 horas de vuelo. Su último destino de vuelo fue como jefe del 353 Escuadrón del Ala 35 en Getafe, volando el CASA C-295.

Sus principales temas de investigación tienen que ver con China y Extremo Oriente, Energía y Medio Ambiente, y la Ciberseguridad.

Ha participado en cuatro misiones internacionales, dos relacionadas con las operaciones en la Antigua Yugoslavia, y una en Afganistán y una en Senegal como jefe del destacamento del Ejército del Aire en la Operación Barkhane.

Habla inglés, francés e italiano y es autor de más de un centenar artículos y participaciones en libros.

 Está casado y el padre de dos hijos.

Ponente
Margarita Robles Carrillo
Profesora. Departamento de Derecho Internacional Público y Relaciones Internacionales de la Facultad de Derecho de la Universidad de Granada

Margarita Robles Carrillo es Profesora Titular de Derecho Internacional Público y Relaciones Internacionales de la Universidad de Granada y miembro del Grupo de Investigación Network Engineering & Security Group (NESG).

Es profesora y coordinadora del Master Propio en Ciberseguridad de la Universidad de Granada.

Es, asimismo, profesora del Master Universitario en Altos Estudios Internacionales y Europeos y del Master Universitario en Asesoría Laboral, Fiscal y Jurídica de la Empresa de la Universidad de Granada.

Es miembro del Consejo Editorial de la Editorial de la Universidad de Granada.

Ha sido Directora del Centro Mixto-Universidad de Granada-MADOC (2013-2015), Directora del I Congreso Internacional de Estudios Militares (2014), Directora del Congreso Internacional sobre Afganistán : Lecciones aprendidas y perspectivas de evolución (2015) y Directora de las Jornadas sobre Derecho Militar, Defensa y Ciberseguridad de la Universidad de Granada (2017).

Entre sus publicaciones destacan varias monografías y más de cuarenta artículos sobre temas internacionales y europeos, entre ellos, numerosos estudios sobre ciberderecho y ciberseguridad relativos a la ordenación jurídica del ciberespacio, la gobernanza en materia de ciberseguridad, el concepto de arma cibernética, la amenaza y el uso de la fuerza a través del ciberespacio, la ICANN y la Directiva NIS.

Respuestas a las preguntas que no dio tiempo a contestar durante la ponencia, y que fueron remitidas directamente a los que las efectuaron.
Dado el estado del arte de la tecnología actual en el que la atribución es altamente complejo de demostrar, los diferentes agentes jurídicos ¿deberán esperar a un salto de calidad de la tecnología para llevar a cabo su tarea mejor o, reaccionar ya, no abarcando tantas esperanzas en ello? Muchas gracias
Obviamente, este es uno de los aspectos en los que más queda por hacer. La potenciación de medios para la investigación de los incidentes y para favorecer la trazabilidad resulta absolutamente necesaria para la persecución de acciones hostiles. Sin trazabilidad, jamás podrá haber atribución, problema con el que hoy nos encontramos con demasiada frecuencia: sin pruebas, no hay posibilidad de actuar contra el atacante.
Y ello da lugar a que no exista disuasión por represalia, favoreciendo el que el ciberespacio sea una especie de territorio sin ley, e el que la mayoría de las acciones quedan impunes.
Por desgracia, la propia naturaleza del ciberespacio favorece el anonimato, la utilización de activos de terceros y las acciones de falsa bandera (suplantación de la identidad del atacante). Y eso parece que no va a cambiar en mucho tiempo.
Muchas gracias por su pregunta.
Un cordial saludo.
Como tomar o dar una respuesta a una nacion en particular, conciderando que no es fácil definir quien realizó el ataque directamente?
Ese es precisamente el principal problema a la hora de ejercer acciones de respuesta contra una agresión en o a través del ciberespacio.
En la mayoría de los casos, la imposibilidad de trazabilidad y, por tanto, de la atribución de una acción hostil a un actor concreto, dan lugar a que estas acciones queden impunes.
Y ello da lugar a que no exista disuasión por represalia, favoreciendo el que el ciberespacio sea una especie de territorio sin ley, e el que la mayoría de las acciones quedan impunes.
Por desgracia, la propia naturaleza del ciberespacio favorece el anonimato, la utilización de activos de terceros y las acciones de falsa bandera (suplantación de la identidad del atacante). Y eso parece que no va a cambiar en mucho tiempo.
Muchas gracias por su pregunta.
Un cordial saludo.
A: Jerónimo Domínguez Bascoy
Se ha hablado -limitadamente- del IUS AD BELLUM. Pero ¿que hay del IUS IN BELLO?
También muy limitadamente, me referiré a algunas de las cuestiones fundamentales que se plantean en relación con la aplicación de las reglas sobre conducción de las hostilidades en y a través del ciberespacio:

1ª. ¿Son aplicables en el ciberespacio las vigentes normas, convencionales y consuetudinarias, del Derecho Internacional Humanitario?. La UE, en su Estrategia de Ciberseguridad (2013), mantiene que, en efecto, las normas internacionales vigentes se aplican en el ciberespacio. Más explícitamente, la OTAN, en la declaración subsiguiente a la cumbre de Gales (2014), ha manifestado que es política de la organización reconocer que el DIH se aplica en el ciberespacio. Por su parte, el Grupo de Expertos Gubernamentales de las NU sobre "avances en la informatización y las telecomunicaciones en el contexto de la seguridad internacional" dijo en su informe de 2015, de forma un tanto críptica, que "el derecho internacional se aplica al uso de las TIC por los Estados, existiendo principios jurídicos internacionales establecidos, incluidos, si procede, los principios de humanidad, necesidad, proporcionalidad y distinción". Aunque es evidente que tales principios constituyen la esencia del DIH, lo cierto es que cuando, en el informe que el GEG tenía el encargo de presentar en 2017, debía profundizarse en este punto, la cosa devino imposible. Ello fue debido al rechazo que mostraron las delegaciones rusa, china y cubana, en cuya opinión aceptar la aplicación del DIH al ciberespacio supondría tanto como legitimar un escenario de guerra y acciones militares en el contexto de las TIC. Para el CICR [informe ante la XXXII Conferencia de la Cruz Roja (2015)], sin embargo, “la afirmación de que el DIH se aplica a la guerra cibernética no constituye una invitación a militarizar el espacio cibernético y no debe entenderse en modo alguno como una legitimación de la guerra cibernética. De hecho, todo recurso a la fuerza por los Estados, sea de naturaleza cibernética o cinética, siempre es regido por la Carta de las Naciones Unidas y el ius ad bellum […]. Por el contrario, al aseverar que el DIH se aplica, se reafirma que, pese a que la guerra cibernética no está expresamente prohibida ni es regulada por los tratados existentes, en el derecho internacional existen límites con respecto a si los Estados y/o los grupos armados no estatales pueden recurrir a las operaciones cibernéticas durante un conflicto armado, y cuándo pueden hacerlo”.

2ª. ¿Cómo se aplica el concepto de “ataque” propio del DIH a las ciberoperaciones?. Dice el artículo 49.1 del Protocolo Adicional I a los Convenios de Ginebra que “se entiende por ataques los actos de violencia contra el adversario, sean ofensivos o defensivos”. Esta es la definición que sirve de base para las reglas que en el Protocolo se establecen en relación con los “ataques”, como, por ejemplo, la prohibición de los ataques indiscriminados o los dirigidos como represalias contra la población civil o las personas civiles. No hay duda de que cuando como resultado de una ciberoperación se producen, directa o indirectamente, efectos lesivos, letales o destructivos sobre personas o bienes, tal ciberoperación constituye un ataque conforme al DIH. Pero, ¿qué sucede cuando, sin producirse esos efectos, se da lugar a la inutilización de una infraestructura?. La mayoría de los expertos que participaron en la elaboración del Manual de Tallin mantiene que la interferencia con la funcionalidad de un objeto por medio de una ciberoperación da lugar a que ésta pueda calificarse como ataque –en este caso, “ciberataque”–, siéndole, por tanto, aplicables las reglas sobre los ataques. Hay, no obstante, diferentes puntos de vista en cuanto a cuál ha de ser el grado de interferencia en la funcionalidad preciso para que así sea. Unos dicen que la interferencia debería llegar al punto en que, para recuperar la funcionalidad de la infraestructura afectada, fuera necesario reemplazar componentes físicos. Otros dicen que bastaría con que la recuperación de la funcionalidad obligara a reinstalar el sistema operativo o datos esenciales para el funcionamiento de la infraestructura afectada. Por su parte, el CICR (informe antes citado), afirma que: “una operación diseñada para inhabilitar un objeto, por ejemplo un ordenador o una red de ordenadores, constituye un ataque conforme a las normas sobre la conducción de hostilidades, sea o no que el objeto quede desactivado por medios cinéticos o cibernéticos. En efecto, la referencia a la "neutralización" en la definición de objetivo militar (artículo 52 del Protocolo Adicional I) sería superflua si una operación destinada a perjudicar la funcionalidad de un objeto (esto es, su neutralización) no constituyera un ataque. Asimismo, un entendimiento excesivamente restrictivo de la noción de ataque sería difícil de reconciliar con el objeto y la finalidad de las normas sobre la conducción de hostilidades, que consisten en garantizar la protección de la población civil y de los bienes de carácter civil contra los efectos de las hostilidades”.

3ª. ¿Son los datos civiles, en sí mismos considerados, objetos protegidos por el DIH?. Aceptándose de manera general que, cuando de la destrucción o alteración de datos se derivan efectos lesivos, letales o destructivos, la ciberoperación en cuestión queda sujeta a las reglas del DIH sobre los ataques, la cuestión que se plantea es la de si los datos civiles gozan “per se” de la protección que el DIH dispensa a los objetos civiles. Como ha explicado Michael N. Schmitt, tratar a los datos como objetos civiles podría dar lugar a prohibir ciberoperaciones normalmente aceptadas en la práctica de los Estados, como es el caso de las PSYOPS dirigidas a influir sobre la población civil enemiga. Sin embargo, señala el citado autor, no tratar a los datos como objetos civiles podría abrir la puerta a ciberoperaciones que afectaran dramáticamente a la población civil, como sería el caso de ciberataques contra los archivos electrónicos de un Estado o su sistema de pensiones. El CICR, en el informe citado, afirma que: “La protección de los datos civiles esenciales es un tema que causa crecientes preocupaciones. Con respecto a los datos pertenecientes a determinadas categorías de objetos que gozan de protección específica conforme al DIH, las normas de protección son amplias. Por ejemplo, se debe entender que la obligación de respetar y proteger las instalaciones de salud se extiende a los datos médicos que pertenecen a esos establecimientos. Sin embargo, sería importante aclarar la medida en que los datos civiles que no se benefician de esa protección específica, como los datos de la seguridad social, los registros fiscales, las cuentas bancarias, los archivos de clientes de las empresas o las listas o registros electorales, ya se encuentran protegidos por las normas generales vigentes sobre la conducción de hostilidades. La eliminación o alteración de esos datos podría paralizar rápidamente los servicios y los negocios privados y causar más daños a los civiles que la destrucción de objetos físicos. La conclusión de que este tipo de operación no estaría prohibido por el DIH en el mundo de hoy, cada vez más dependiente de la esfera cibernética –sea porque eliminar o alterar esos datos no constituiría un ataque en el sentido del DIH o porque esos datos no se considerarían objetos respecto de los cuales se aplicaría la prohibición de ataques contra bienes de carácter civil- parece difícil de conciliar con el objetivo y el propósito de este ordenamiento jurídico”.
A: Enrique Cubeiro Cabello
Me ha dado la impresión de que se contempla como respuesta a un Ciberataque solamente una respuesta legítima en el dominio del Ciberespacio. ¿No es ese un enfoque que constriñe la libertad de elección del Estado agredido para elegir el medio/método?
No es así, en absoluto.
Este fue el tema de una de las preguntas formuladas, concretamente a la Profesora Robles, en la parte final del panel, con referencia a la posibilidad respuesta en dominios cruzados.
Le sugiero visualizar el video, para escuchar la respuesta de la Sra. Robles.
https://jornadasciberdefensa.es/2018/video/es
Muchas gracias por su pregunta.
Un cordial saludo.
A: Enrique Cubeiro Cabello
¿No cree que en lo referente a las operaciones, la generación de un marco jurídico puede resultar contraproducente para la libertad de accion de las operaciones cibernéticas, debido a su variabilidad y posibles formas de actuación?
Ese fue, precisamente, el tema de una de las preguntas formuladas, concretamente al Coronel Gómez de Ágreda, en la parte final del panel.
De forma muy rápida, la respuesta a su pregunta sería SÍ.
Le sugiero visualizar el video, para escuchar la respuesta del Coronel.
https://jornadasciberdefensa.es/2018/video/es
Muchas gracias por su pregunta.
Un cordial saludo.
A: Jerónimo Domínguez Bascoy
¿Es realmente posible articular una respuesta proporcionada cuando es casi imposible demostrar si un ataque lo lleva a cabo un actor no estatal real o si está apoyado por un estado? ¿Tiene sentido una hipotética respuesta tras meses de investigación?
Si hablamos de responder en legítima defensa, el requisito de la “proporcionalidad” alude, como bien señala el Manual de Tallin 2.0 (comentario a la regla 72), a cuánta fuerza es permisible una vez que se ha determinado que, en efecto, es necesario responder mediante el uso de la fuerza frente a un ataque armado. Es decir, que lo que el criterio de la proporcionalidad limita es la escala, el alcance, la duración y la intensidad de la respuesta defensiva, de modo que no vayan más allá de lo que es preciso para poner fin a la situación que ha dado lugar a ejercitar el derecho a la legítima defensa.

Aclarado lo anterior, es evidente que lo que en la pregunta se plantea guarda relación no tanto con la respuesta “proporcionada”, cuanto con ese otro requisito de la legítima defensa que es el de la “inmediatez” de la respuesta. En virtud de este requisito, una vez que un ataque armado ha concluido, la posibilidad de responder en legítima defensa desaparece. Ahora bien, el requisito de la inmediatez no puede interpretarse de una forma tan rígida que haga imposible actuar en legítima defensa. No puede, en este sentido, perderse de vista la singularidad del ciberespacio, donde una ciberataque puede durar décimas de segundo. Así, si el Estado víctima del ciberataque concluyera de forma razonada que el atacante tiene la intención de conducir nuevos ciberataques armados, sería admisible tratar esos ciberataques en su conjunto como una campaña a la que se podría hacer frente adoptando acciones defensivas (ofensivas) en cualquier punto.

El Manual de Tallin 2.0 se refiere en el comentario a la regla 73 al test de “razonabilidad” para determinar cuando el uso de la fuerza para responder a un previo ataque armado deja de ser legítima defensa para convertirse en pura venganza. Se trata de un análisis que ha de atender a las circunstancias del momento, habida cuenta de que, por ejemplo, el hecho de que se ha producido o se está produciendo un ciberataque puede no ser detectado hasta que haya pasado cierto tiempo, bien porque la causa del daño no haya sido identificada o bien porque el iniciador del ataque no puede ser determinado hasta bien después. El ejemplo clásico es el empleo de un gusano como el Stuxnet.

En cualquier caso, hay que tener en cuenta que un Estado víctima de un ciberataque armado ya concluido, sin que sea probable que vaya a repetirse como parte de una campaña en curso, no queda huérfano de remedios. Ese ataque armado no dejará nunca de constituir un acto internacionalmente ilícito del Estado que lo lanzó o que, incumpliendo su deber de observar la debida diligencia, no puso los medios adecuados para evitar que un actor no estatal lo lanzara desde infraestructuras situadas bajo su jurisdicción. En consecuencia, el Estado víctima podrá exigirle las correspondientes reparaciones (sea en forma de restitución, compensación o satisfacción) y adoptar las contramedidas adecuadas para asegurar que el Estado responsable cumple con su obligación de reparar (es este punto, han de tenerse en cuenta las normas de derecho internacional consuetudinario recogidas en el proyecto de artículos sobre responsabilidad de los Estados por actos internacionalmente ilícitos, elaborado por la Comisión de Derecho Internacional, accesible en inglés, en su versión comentada, en el siguiente enlace: http://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf)
Más que pregunta observación: un criterio para valorar las “ciberacciones” o las acciones ciber puede ser por el “efecto que produce en el mundo físico” porque en mi opinión hay una relación biyectiva evidente
Esa es exactamente la aproximación al concepto de ciberataque (como término equivalente a ataque armado en el ciberespacio) que aparece en el manual de Tallin y que es uno de los puntos de mayor controversia y al que se dedicaron las dos primeras preguntas del panel.
Le sugiero visualizar el video de la mesa, que puede encontrar en:
https://jornadasciberdefensa.es/2018/video/es
Muchas gracias por su pregunta. Un cordial saludo.
A: Ángel Gómez de Ágreda
Si el agresor puede quedarse en el lado de la línea roja en el que previene una respuesta, lo mismo puede hacer el defensor. ¿No sería más práctico poner líneas rojas rígidas y establecer un mecanismo ágil para cambiarlas (sin afectar seguridad jur.)
Las líneas rojas rígidas implican soluciones de blanco o negro. A un ataque identificado que haya sobrepasado dicha línea no queda más remedio que contestar con una acción proporcionada. Sin embargo, eso nos coloca ante una posible situación política indeseable. Una cosa son las situaciones de guerra y otras las de las relaciones de cooperación/competición en las que estamos permanentemente. Si ignoramos todo aquello que esté por debajo de la línea roja, damos por buenos los ataques de esa magnitud. En muchos casos, puede ocurrir que no hayamos sabido calibrar la gravedad de los efectos por la falta de experiencia jurídica y práctica en ese terreno.
En una relación fluida como es la del mundo actual, las respuestas tienen que poder ser igualmente flexibles para evitar que una figura jurídica condicione las ventajas políticas, comerciales, económicas o de cualquier otro tipo que pudieran derivarse de actuar o no con independencia del efecto real del ataque.
A efectos prácticos, es lo que se lleva a cabo, justificando la decisión en cada caso.
A: Margarita Robles Carrillo
No me ha quedado claro sí un actor privado puede responder ante un ciberataque. ¿Qué puede hacer la persona que detecta que está siendo atacado? (España, Madrid)
En el marco del Derecho Internacional y conforme a la Carta de Naciones Unidas, solo los Estados y las Organizaciones internacionales competentes pueden responder de conformidad con el art. 51 en legítima defensa. Las personas físicas podrían hacerlo siguiendo las normas de su derecho interno que son diferentes y más restrictivas. El problema está en que difícilmente se puede identificar el origen del ataque y, si es exterior, solo las FAS estarían legitimadas para actuar.
Patrocinador estratégico
Isdefe
Patrocinador platino
PANDA INDRA
Patrocinadores oro
Checkpoint Autek ForeScout Symantec Grupo ICA TAISA SYVALUE Hewlett Packard Enterprise Fortinet s2Grupo Alient Vault Telefónica
Patrocinadores plata
Innotec Aiuken Solutions FireEye BBVA
Patrocinadores bronce
Ediciones Coda SIA GMV PALOALTO CYBERARK S21 SEC
Operaciones Militares en el ciberespacio    |    #JornadasCD18    |    #MandoCiberdefensa