La competencia geopolítica y la erosión del multilateralismo afectan de manera concreta al ciberespacio y, en última instancia, a nuestras vidas y nuestros derechos. Las nuevas tecnologías se usan, cada vez más, de manera indebida: restricciones en la web, limitación de los derechos humanos y de las libertades fundamentales, robo de datos o, incluso, verdaderos ciberataques orquestados que pueden paralizar las economías nacionales en cuestión de minutos.

Los ciberataques amenazan nuestras vidas y derechos

Los ciberataques dirigidos contra campañas electorales (como ocurrió en las elecciones de 2017 en Francia) o contra instituciones democráticas (como, por ejemplo, el realizado contra el Bundestag alemán en 2015) son ataques directos a nuestra democracia. El ciberataque WannaCry de 2017 afectó a más de 200.000 ordenadores en 150 países y provocó daños estimados en 6.500 millones de dólares. El robo de datos sensibles de las empresas ha aumentado constantemente en los últimos años. Solo en 2019 se notificaron cientos de incidentes relacionados con infraestructuras críticas europeas, como los sectores financiero y energético.

La pandemia de covid-19 no ha hecho más que acelerar esta tendencia: las cadenas de suministro de vacunas fueron objeto de ataques cibernéticos en el punto álgido de la pandemia, se sustrajeron datos de la Agencia Europea de Medicamentos e incluso algunos hospitales sufrieron ataques despiadados que pusieron en peligro la vida de miles de ciudadanos europeos.

«Tenemos que mejorar la seguridad de nuestras infraestructuras críticas, proteger los sectores tecnológicos clave y reforzar nuestra soberanía tecnológica».

Tenemos que mejorar la seguridad de nuestras infraestructuras críticas, proteger los sectores tecnológicos clave y reforzar nuestra soberanía tecnológica para garantizar que las tecnologías emergentes se desarrollan y utilizan de acuerdo con nuestros valores.

Promover un ciberespacio global, abierto, estable y seguro

La nueva Estrategia de Ciberseguridad de la UE, adoptada este miércoles,  constituye un hito en nuestro esfuerzo general por aumentar nuestra resiliencia y asumir la responsabilidad internacional que nos corresponde en el ciberespacio.

La Estrategia se basa en acciones ya en curso: con las medidas previstas en la Directiva de 2016 sobre seguridad de las redes y sistemas de información, el Reglamento general de protección de datos de 2018 y en la reciente propuesta de Ley de servicios digitales, estamos construyendo en la UE una de las legislaciones más avanzadas en este ámbito.

«La ciberseguridad en Europa también depende de la seguridad y de la estabilidad internacionales en el ciberespacio».

Sin embargo, la ciberseguridad en Europa también depende de la seguridad y estabilidad internacionales en el ciberespacio. Esta es la razón por la que la nueva estrategia también presenta una serie de propuestas concretas para una política exterior más decidida y ambiciosa en materia de ciberseguridad.

Impulsar el debate sobre la seguridad internacional en el ciberespacio

En primer lugar, impulsaremos más activamente el debate sobre la seguridad internacional en el ciberespacio. En el marco de las Naciones Unidas, promoveremos la propuesta de un Programa de Acción que ofrezca una plataforma de debate sobre el comportamiento responsable de los Estados en el ciberespacio. Desarrollaremos, en estrecha colaboración con nuestros Estados miembros, una posición común de la UE sobre cómo ha de aplicarse el Derecho internacional en el ciberespacio, y reforzaremos nuestra cooperación en materia de medidas de fomento de la confianza cibernética.

Fomentar ciberdiálogos más sólidos

En segundo lugar, fomentaremos más ciberdiálogos con terceros países y organizaciones regionales e internacionales. Nuestros actuales ciberdiálogos con los Estados Unidos, Canadá, Japón, la República de Corea, la India y Brasil han demostrado su eficacia. También celebramos consultas periódicas con la OTAN, la OSCE, el Consejo de Europa y el Foro Regional de la ASEAN, y mantenemos intercambios regulares con China a través del Grupo de Trabajo Cibernético UE-China, o a través del Diálogo UE-China sobre las TIC. Ampliaremos estos compromisos con nuestros socios, en particular mediante la creación de una red informal de ciberdiplomacia, que reunirá a expertos que se ocupan de cuestiones de política cibernética («ciberagregados») en nuestras delegaciones de la UE y en las embajadas de los Estados miembros de la UE en todo el mundo. Además, hemos de ampliar nuestra cooperación con la sociedad civil, el sector privado y el mundo académico en este ámbito.

En tercer lugar, reforzaremos la creación de cibercapacidades externas. Ya estamos trabajando, en particular con los socios de nuestra vecindad oriental y los Balcanes Occidentales, para aumentar su ciberresiliencia y sus capacidades para investigar y perseguir los ciberdelitos. El desarrollo de un programa de fomento de capacidades exteriores de la UE aportará mayor coherencia a estos esfuerzos, centrándose en los países socios que están experimentando una rápida transformación digital.

Reforzar la capacidad de la UE para responder a las ciberamenazas

Al mismo tiempo, la UE también debe estar preparada para actuar y reaccionar ante el uso indebido de las tecnologías y del ciberespacio por parte de agentes estatales y no estatales con fines delictivos. Debemos mejorar nuestra capacidad para prevenir, disuadir y responder a las ciberamenazas.

«La UE debe estar preparada para actuar y reaccionar ante el uso indebido de las tecnologías y del ciberespacio por parte de agentes estatales y no estatales con fines delictivos».

Para ello tenemos la intención de reforzar nuestro «conjunto de instrumentos de ciberdiplomacia» creado en 2017. Este conjunto de herramientas nos permite recurrir a todas las medidas de Política Exterior y de Seguridad Común, desde declaraciones políticas y gestiones hasta sanciones. El pasado mes de julio adoptamos las primeras sanciones contra personas, entidades y organismos implicados en los ciberataques WannaCry, NotPetya, Operation Cloud Hopper y el intento de ciberataque contra la Organización para la Prohibición de las Armas Químicas (OPAQ) en La Haya. Esta lista se amplió en octubre a los responsables del ciberataque contra el Bundestag alemán e incluye ahora a ocho personas y cuatro entidades y organismos. Seguiremos exigiendo responsabilidades a los autores de actividades informáticas malintencionadas, dondequiera que se encuentren.

«Con nuestras cibersanciones, seguiremos exigiendo responsabilidades a los autores de actividades informáticas malintencionadas, dondequiera que se encuentren».

Para que nuestro conjunto de instrumentos de ciberdiplomacia sea más eficaz, trabajaremos con los Estados miembros para mejorar la cooperación en materia de inteligencia y desarrollar una posición de disuasión colectiva reforzada contra las ciberamenazas. Exploraremos, además, el uso de la votación por mayoría cualificada para la adopción de sanciones de la UE.

Intensificar la cooperación en materia de ciberdefensa entre los Estados miembros

Por último, intensificaremos la cooperación en materia de ciberdefensa entre los Estados miembros y a escala de la UE. La cooperación estructurada permanente y el Fondo Europeo de Defensa podrían utilizarse para seguir desarrollando las capacidades de ciberdefensa, por ejemplo sobre la base de la inteligencia artificial y la computación cuántica.

Huelga decir que la ciberseguridad y la ciberdefensa ocuparán un lugar destacado en la Brújula estratégica que estamos desarrollando con los Estados miembros de la UE para construir un marco de comprensión común de las amenazas y los retos a los que nos enfrentamos y definir conjuntamente una respuesta colectiva europea.

De este modo, la UE pretende hacer el ciberespacio más seguro para los europeos y para todos.

More blog posts by EU High Representative Josep Borrell