Mención especial - Call jovenes autores | La ley de ciberresiliencia de la UE y las implicaciones de la regulación de la confianza en la esfera digital

Los ciberataques dirigidos a infraestructuras económicas críticas, que son vitales para la viabilidad de una economía moderna, son cada vez más frecuentes. El potencial destructivo de esta amenaza quedó claro con el ataque de ransomware (secuestro de datos) de la banda cibercriminal DarkSide en mayo de 2021 a Colonial Pipeline, la empresa que gestiona los oleoductos que proporcionan el 45% del combustible que se consume en la Costa Este de Estados Unidos. Recientemente, en la Unión Europea, HermeticWiper, el mismo malware utilizado contra infraestructuras críticas de Ucrania durante la invasión rusa del mismo país, fue detectado en Letonia y Lituania cuando los cibercriminales tomaron como objetivo el sector financiero y los contratistas de sendos gobiernos.

El daño que podría causar un «cíber-Pearl Harbour», expresión utilizada por el exdirector de la CIA Leon Panetta en 2012, sería devastador, especialmente teniendo en cuenta que nuestras economías y el funcionamiento normal de su infraestructura crítica depende cada vez más de la esfera digital. Según datos del Banco Central Europeo¹, la dependencia de las economías nacionales sobre los productos y servicios digitales varía entre un 4% del PIB, en el caso de Grecia, a aproximadamente un 9% del PIB, en el caso de la República Checa. En la medida en que nuestras economías y sociedades dependan cada vez más de la esfera digital, la amenaza de los ciberataques será cada vez mayor.

Es por este motivo que los gobiernos dedican cada vez más recursos a contrarrestar estas amenazas. Recientemente la Comisión Europea ha activado su Equipo Cibernético de Respuesta Rápida (Cyber Rapid Response Team) para ayudar a las instituciones ucranianas a hacer frente a los ciberataques rusos. Como parte de la Estrategia de Ciberseguridad de la Unión Europea, Bruselas ha decidido establecer una Ciberunidad Conjunta (Joint Cyber Unit) para reforzar la cooperación y el intercambio de información, desplegando Equipos de Ciberseguridad de Reacción Rápida (EU Cyber Security Rapid Reaction Teams).

Si bien el daño físico causado por un solo ciberataque podría ser económica y políticamente devastador, el daño causado por ciberataques continuos a pequeña escala podría ser una amenaza incluso mayor, por su capacidad para erosionar la confianza que la gente tiene en sus gobiernos, mercados e instituciones, como afirma Jacquelyn Schneider en su último artículo «A World Without Trust»².

La confianza, así como la fiabilidad de los productos y servicios digitales, es fundamental para el funcionamiento de nuestras economías modernas. En este sentido, el economista y premio Nobel Kenneth Arrow³ decía en 1972 que «cualquier intercambio comercial lleva implícito un elemento de confianza». Por ejemplo, si el ciudadano no puede confiar su dinero o sus datos a las instituciones que constituyen nuestro sistema financiero, este último podría colapsar. Para ser considerado digno de confianza, un servicio o producto digital, apuntaba Arrow, «debe comportarse como se espera que se comporte, pero también reforzar la creencia de que seguirá actuando de la misma manera».

El sector privado se ha visto considerablemente afectado por los efectos dañinos para la confianza social de las ciberamenazas. Un ejemplo es el hecho de que las empresas se están moviendo hacia un modelo de ciberseguridad conocido como Zero Trust (confianza cero). Este modelo asume que no hay una confianza implícita garantizada en los productos y servicios digitales y que, por tanto, estos requieren verificaciones continuas.

La Unión Europea ha dedicado una parte importante de sus esfuerzos recientes a la necesidad de restablecer la confianza en el mundo digital. En octubre de 2021 la Comisión Europea publicó su Programa de Trabajo para el año 2022, en el que se incluía la propuesta de un proyecto de ley sobre Resiliencia Cibernética que debería entrar en vigor durante el tercer trimestre de 2022. El objetivo de este proyecto de ley es establecer unos estándares comunes para los productos de ciberseguridad para promover la confianza en los productos y servicios digitales que los ciudadanos utilizan diariamente.

Sin embargo, el camino hacia el restablecimiento de la confianza en el mundo digital no está exento de contradicciones. La Comisión tiene muchas opciones encima de la mesa que podrían situarse a lo largo de un continuo entre dos extremos en cuanto a la rigurosidad regulatoria. Los distintos escenarios que podrían darse pueden llegar a ser problemáticos para la Unión Europea. Para generar confianza en sus productos y servicios digitales, la Unión Europea tendrá que buscar un equilibrio entre implementar una regulación suficientemente fuerte y rigurosa, preservar la competencia en el mercado interno de la Unión Europea, y ser fiel a una narrativa sobre el futuro de la Unión cada vez más centrada en el concepto de resiliencia.

La primera opción sería adoptar un marco regulatorio horizontal, con la introducción de requisitos de ciberseguridad en una amplia gama de productos y servicios digitales. En este escenario, la Comisión tendrá que elegir entre crear confianza en los servicios y productos digitales mediante unos estándares regulatorios altos, o garantizar el cumplimiento general por parte de las empresas con una normativa más flexible. Teniendo en cuenta los elevados costes que representa la implementación de mecanismos de certificación, garantizar una regulación integral y rigurosa de los productos y servicios digitales puede ir en detrimento del grado de cumplimiento normativo, y a la larga generar notables diferencias en los estándares de seguridad entre las empresas, productos y servicios que operan en la esfera digital. Por otra parte, una regulación más laxa podría no ser suficiente para elevar la seguridad de los productos y servicios digitales disponibles en la Unión.

La segunda opción sería permitir a las empresas adherirse voluntariamente a sistemas de certificación. Sin embargo, esto implicaría el reto potencialmente problemático de que solo algunas empresas podrían permitirse el elevado coste que representa la adhesión, implementación y supervisión de la efectividad de dichos sistemas, y solo esas empresas se beneficiarían de la mayor confianza que generarían sus productos y servicios. Si bien esta opción voluntaria posibilitaría la discreción por parte del sector privado de adherirse a los mecanismos de ciberseguridad sobre la base de sus propios análisis coste-beneficio, también comprometería la igualdad de condiciones implícita en un mercado común que espera que haya uniformidad en los estándares de seguridad, incluidos los del mundo digital.

La tercera opción consiste en la introducción de medidas regulatorias ad hoc, modificando o añadiendo requisitos de ciberseguridad a medida que vayan surgiendo nuevos riesgos y amenazas. Esto implica, sin embargo, una estrategia reactiva ante los nuevos riesgos de ciberseguridad, en detrimento de una actitud proactiva que permita contrarrestar riesgos y amenazas con mayor antelación. Si bien una estrategia ad hoc permitiría a la Unión Europea invertir recursos exclusivamente para contrarrestar aquellas amenazas existentes, dicha opción podría ser interpretada como contraria al relato de la Unión Europea en favor de una mayor resiliencia en diferentes áreas políticas como seguridad y defensa, gestión de la cadena de suministro o seguridad energética.

En conclusión, regular cualquier ámbito político comporta un complicado proceso de reconciliación entre intereses políticos y empresariales diversos. Por lo que respecta a garantizar la fiabilidad de los productos y servicios digitales en Europa, la Unión Europea tendrá que sopesar diferentes intereses empresariales y regulatorios, así como gestionar su propia percepción como actor que prioriza la uniformidad reguladora y una actitud proactiva a favor de construir su propia resiliencia en el campo digital.

Notas:

1. Véase https://www.ecb.europa.eu/pub/economic-bulletin/articles/2021/html/ecb.ebart202008_03~da0f5f792a.en.html 
2. Schneider, Jacquelyn. «A World Without Trust». Foreign Affairs, enero de 2022.
3. Arrow, Kenneth. Gifts and Exchanges, Philosphy and Public Affairs 1(4): pp. 343-362, 1972