En la primavera de 2025, Japón entró en una nueva era en materia de seguridad digital con la aprobación de una nueva legislación sobre ciberdefensa activa. Analizamos lo que significa para el Gobierno intentar adelantarse a las amenazas antes de que surjan, en lugar de ceñirse a su anterior enfoque pasivo y reactivo.

Guerra de guerrillas en el ámbito cibernético

El 16 de mayo, la Dieta aprobó una ley que permite a las autoridades japonesas adoptar medidas de defensa “activas” para prevenir y evitar ciberataques graves. La Ley de Defensa Cibernética Activa entrará en vigor en 2026 y estructurará la estrategia de defensa cibernética de Japón en torno a cuatro pilares:

Refuerzo de la colaboración entre los sectores público y privado

Monitorización de los datos de las comunicaciones para la detección de amenazas

Contraataque a las fuentes de los ciberataques y neutralización por parte de las autoridades

Refuerzo de las instituciones de ciberseguridad

Hasta ahora, el enfoque de Japón en materia de ciberseguridad ha sido “pasivo”, ya que se basaba en la defensa mediante cortafuegos y medidas antivirus limitadas a las redes de las partes afectadas. Se asemejaba a una “guerra de asedio”, en la que las autoridades tenían que esperar a ser atacadas para responder con contramedidas.

Sin embargo, la defensa activa se asemeja más a una “guerra de guerrillas”. Para llevar a cabo con éxito este tipo de combate, es necesario identificar los patrones de los ataques enemigos y comprender sus movimientos, tenderles emboscadas en puntos estratégicos donde son vulnerables e interrumpir sus líneas de suministro. La ciberdefensa activa aprovecha las vulnerabilidades del enemigo para interrumpir las operaciones de los atacantes y emplea medidas técnicas para aumentar el coste de sus ataques, con la esperanza de disuadirlos desde el principio.

Coordinación centralizada por parte del Gobierno

Veamos más de cerca los pilares del nuevo enfoque y cómo se aplicarán en la práctica.

Para mejorar la colaboración entre el sector público y el privado, los operadores de infraestructuras críticas de Japón estarán ahora obligados por ley a informar al Gobierno cuando sufran un ciberataque o cuando introduzcan nuevos sistemas informáticos importantes para el funcionamiento de estas infraestructuras. Con este fin, se creará un “Consejo de Intercambio de Información sobre Amenazas Cibernéticas” para reforzar la cooperación en respuesta a incidentes cibernéticos y regularizar el intercambio de información e inteligencia entre el Gobierno y el sector privado. Esta nueva plataforma también permitirá al Gobierno supervisar mejor las infraestructuras críticas que podrían ser objeto de ciberataques y solicitar rápidamente a los operadores que subsanen las vulnerabilidades de día cero. Al obligar al sector privado a informar, el Gobierno también obtendrá una visión más completa de la situación de la ciberseguridad en Japón en todo momento, lo que mejorará la planificación estratégica.

En cuanto a la “vigilancia de los datos de las comunicaciones para la detección de amenazas”, la nueva ley faculta legalmente al Gobierno para recopilar datos relacionados con las comunicaciones nacionales con el fin de identificar y analizar las amenazas cibernéticas. Se prestará especial atención a los denominados “datos de comunicación” relacionados con incidentes cibernéticos, como direcciones IP, cadenas de caracteres para ejecutar comandos, fechas y horas de transmisión, y registros de comunicación que puedan utilizarse para identificar el tipo de malware utilizado y el origen del ataque. Sin embargo, el Gobierno no podrá recopilar ni analizar el “contenido sustantivo” de las comunicaciones personales y privadas de los ciudadanos. A tal fin, se creará un consejo supervisor independiente de las comunicaciones cibernéticas para supervisar las operaciones del Gobierno y garantizar el respeto por el secreto de las comunicaciones garantizado por el artículo 21 de la Constitución japonesa.

El tercer pilar permite a la policía y a las Fuerzas de Autodefensa de Japón contrarrestar directamente el acceso y neutralizar los ordenadores y la infraestructura utilizados para los ciberataques, así como eliminar el software malicioso. Desde el punto de vista jurídico, estas medidas solo se adoptarán en un rango restringido de situaciones en las que sea necesaria una respuesta rápida para prevenir o mitigar incidentes cibernéticos graves. Las autoridades cibernéticas japonesas podrán rastrear a distancia los archivos electrónicos con marca de agua robados por los atacantes y neutralizar los servidores de retransmisión utilizados por estos. También será legalmente admisible que los organismos gubernamentales contrarresten el acceso y desactiven los ordenadores utilizados por los atacantes. Por ejemplo, las autoridades japonesas podrían lanzar un ataque distribuido de denegación de servicio contra una amenaza inminente, inundando un servidor con un número masivo de solicitudes para sobrecargarlo y, en esencia, impedir su funcionamiento.

Los pilares anteriores representan un fortalecimiento general de las instituciones de ciberdefensa de Japón y permiten a las autoridades japonesas recopilar de forma proactiva y coordinar de manera centralizada la información sobre amenazas relacionadas con ciberataques avanzados, incluidos los perpetrados por agentes estatales. Esto, a su vez, permitirá mejorar el intercambio de información con países aliados y afines. Cuando otros países soliciten a Japón, por ejemplo, que neutralice los ataques de un agente patrocinado por un Estado o de una organización criminal altamente organizada, Japón estará en mejores condiciones para facilitar una cooperación internacional eficaz.

Los recursos humanos, un reto importante

El mayor obstáculo para la aplicación de este enfoque de ciberdefensa activa son los recursos humanos. Hay escasez de expertos en ciberseguridad, pero la formación actual de los profesionales japoneses es inadecuada, especialmente en lo que se refiere a cuestiones de seguridad nacional. Los expertos en ciberseguridad de Japón necesitan mayores conocimientos de diplomacia, asuntos militares e inteligencia para facilitar un enfoque “activo”. Un importante paso adelante dado recientemente en este sentido fue la introducción, en mayo de 2025, de la acreditación de seguridad nacional. Este sistema de acreditación permite a los funcionarios públicos y a los empleados del sector privado que han sido investigados por autoridades de alto nivel acceder a información gubernamental clasificada que podría poner en peligro la seguridad nacional de Japón si se filtrara.

Sin embargo, esto es solo el primer paso: es esencial desarrollar otros marcos institucionales para la formación del personal. Aunque es difícil determinar con precisión el alcance de la escasez de personal de ciberseguridad, una referencia útil es una encuesta realizada en 2016 por el ISC2 (Consorcio Internacional de Certificación de Seguridad de Sistemas de Información), una organización sin ánimo de lucro que certifica las cualificaciones profesionales en materia de ciberseguridad. Esta encuesta predijo que Japón se enfrentaría a una escasez de aproximadamente 170.000 profesionales de la ciberseguridad para 2024. Del mismo modo, el Ministerio de Economía, Comercio e Industria también estimó en 2020 que había una escasez de aproximadamente 190.000 personas. Se calcula que incluso la escasez de personal necesario para la ciberseguridad relacionada con la seguridad nacional asciende a decenas de miles. Cuando la nueva legislación sobre Defensa Cibernética Activa se aprobó en la Dieta en mayo de 2025, dicho ministerio anunció que duplicaría el número de especialistas en seguridad de la información registrados con capacidades avanzadas de seguridad de la información para 2030, elevando su número a 50.000.

Esta cuestión de recursos humanos también tiene dimensiones internacionales. Uno de los planes del Gobierno consiste en compartir con el sector privado la información sobre amenazas y vulnerabilidades de día cero no reveladas obtenida de Gobiernos extranjeros, respetando ciertas restricciones de confidencialidad. Por lo tanto, los operadores de infraestructuras críticas de Japón y las empresas que operan en el ámbito cibernético también deben contar con personal capaz de hacer frente a las implicaciones nacionales e internacionales en materia de seguridad del nuevo régimen legislativo y estratégico.

La nueva legislación es solo un punto de partida. Las amenazas en el ciberespacio evolucionan a diario y traspasan las fronteras nacionales. En el futuro, los agentes cibernéticos centrados en la seguridad nacional deben estar preparados para prevalecer continuamente en una batalla ininterrumpida contra los adversarios cibernéticos, incluidos los actores estatales. Este es el concepto de “compromiso persistente” promovido por Estados Unidos en su estrategia de defensa activa. El compromiso persistente se caracteriza por mantener un contacto continuo con los adversarios, al tiempo que se detectan los ciberataques con antelación y se bloquean en el dominio del adversario. Dado que el objetivo de la defensa es interrumpir las operaciones del adversario, la parte defensora requiere capacidades técnicas avanzadas y una mayor capacidad de juicio y análisis.

Además, las capacidades integrales de seguridad nacional en el ámbito cibernético no solo incluirán la capacidad de operar en el ciberespacio. Para mejorar las capacidades de Japón en este ámbito, el Gobierno también debe ser capaz de recopilar información, analizar datos de inteligencia, ejercer presión diplomática y económica más allá del ciberespacio. En particular, cuando los ataques sean perpetrados o facilitados por agentes patrocinados por Estados, Japón debe estar dispuesto a tomar medidas decisivas en colaboración con la comunidad internacional. La introducción de la ciberdefensa activa representa una evolución significativa en la estrategia de ciberseguridad de Japón. También marca el comienzo de una guerra cibernética sin fin.

(Artículo publicado originalmente en japonés, y traducido al español de la versión en inglés. Imagen del encabezado © Pixta.)