![](./pubData/source/images/pages/page42.jpg)
externalización de las capacidades
ofensivas del Estado en el entorno
cibernético (offensive cyber capabilities,
OCC), es decir, a que el personal
de una empresa privada sea quien
efectúe ataques de carácter cibernético
contra objetivos fijados como el
último recurso en pos de la defensa de
la seguridad nacional.
Las medidas OCC permiten a los defensores
de las redes responder al
ataque, bien interrumpiendo la agresión
en curso o planificada, bien desplegando
contraofensivas que permitan
recopilar información del atacante
o, en los casos más extremos, identificando
al agresor y castigándolo con
una acción igualmente punitiva (Hoffman
y Levite, 2017).
No obstante, incluso en Estados Unidos,
donde el debate sobre la privatización
de la ciberdefensa está más
extendido, temen que una política de
defensa activa (ACD) desarrollada por
parte de empresas del sector privado
pueda ocasionar serios problemas en
el plano político internacional.
Los riesgos de encomendar la ciberdefensa
española a una de las
múltiples empresas orientadas a la
defensa activa son evidentes: un contraataque
realizado por un integrante
de esta empresa como resultado de
un error humano o al haber sido manipulado
42 / Revista Ejército n.º 971 • marzo 2022
por el atacante; posibles
daños colaterales de carácter legal
al interrumpir o dañar material informático
o redes de terceros inocentes
al atribuirles incorrectamente
la autoría del ataque; el estallido de
una escalada de tensión como consecuencia
de un intercambio entre
atacantes y defensores a raíz de las
medidas ACD desplegadas, y, como
riesgo de mayor relevancia, las posibles
implicaciones estratégicas de
carácter incierto (incluidas las posibles
consecuencias políticas y legales)
que den lugar a la posibilidad de
una crisis internacional (Hoffman y
Levite, 2017).
Además de estos riesgos, habría que
contestar a algunas preguntas de difícil
respuesta: ¿cómo se ejercería el
control y rendición de cuentas de esta
empresa?; ¿qué organismo actuaría
como órgano fiscalizador en caso de
que la empresa no fuese nacional? Y
quizás la más importante: ¿cómo podría
el poder ejecutivo asegurar que
estos hackers no implementan unas
medidas ACD de carácter excesivamente
agresivo?
Obviamente, todas estas preguntas
serían extremadamente complejas
Centro Criptológico Nacional
de responder, en tanto en cuanto en
nuestro ordenamiento jurídico las
medidas de piratería activa son ilegales
en la actualidad y están castigadas
por nuestro Código Penal, e incluso
si una entidad pública u organización
privada ha sido atacada en el ciberespacio
no existe una base legal para
responder de igual forma, pues se
contempla únicamente, por un lado,
la defensa de las infraestructuras y,
por otro, como forma punitiva, la investigación
y la aplicación judicial de
los delitos cometidos.
Además de lo expuesto, la externalización
de las capacidades de ciberdefensa
en una empresa privada podría
ser afectada por otros riesgos.
En primer lugar, debemos tener en
cuenta que la externalización de las
capacidades españolas de ciberdefensa
conllevaría una importante dependencia
de terceros. Así, los tiempos
de respuesta, los horarios de
servicio, las capacidades y los medios
estarían condicionados por las
competencias características de la
empresa que recibiese la externalización.
Este riesgo propio de la práctica
de subcontratación podría conllevar
que, en caso de ataque, la coordinación
entre los decisores políticos, las
FAS y la empresa adjudicataria de la
externalización de las capacidades