40 a?os de ciberguerra

Cuenta el que fuera asesor de Ronald Reagan, Thomas Reed, que en 1982, en plena Guerra Fr¨ªa, un ciberataque provoc¨® una ¡°monumental¡± explosi¨®n de un gasoducto transiberiano ¡°que fue vista desde el espacio¡±. Lo recoge su libro En el abismo, basado en el testimonio del exconsejero de Seguridad Nacional del Gobierno de EE UU Gus Weiss. Aunque la KGB lo neg¨®, el caso de la llamada ¡°bomba l¨®gica original¡± es com¨²nmente citado como la primera ciberagresi¨®n b¨¦lica de la historia.

Desde entonces, se libra online otra Guerra Fr¨ªa ¡ªla cibern¨¦tica¡ª que nunca termina. Una con t¨¢cticas m¨¢s sutiles, pero graves consecuencias. Se dice que la ofensiva de Rusia sobre Ucrania comenz¨® en internet. Los ataques se han intensificado estos d¨ªas para desgastar y minar la capacidad de defensa ucrania, pero la historia viene de largo. La ciberguerra va mucho m¨¢s all¨¢ y solo se explica en un contexto geopol¨ªtico m¨¢s amplio de amenazas de seguridad nacional entre Estados naci¨®n rivales.

Echando la vista atr¨¢s, encontramos infinitos ejemplos de cibercr¨ªmenes con prop¨®sitos desestabilizadores. El comienzo del asedio chino lo marca en 2003 Titan Rain, con la infiltraci¨®n y robo de informaci¨®n gubernamental en pa¨ªses como EE UU y el Reino Unido durante a?os. 2007 fue un punto de inflexi¨®n. Una oleada de ciberataques paraliz¨® docenas de webs gubernamentales y corporativas en Estonia como castigo por el traslado de un monumento sovi¨¦tico. Despu¨¦s naci¨® la primera gran arma ciberf¨ªsica a manos ¡ªse cree¡ª de los servicios de inteligencia de Israel y EE UU. Era el gusano Stuxnet, que en 2010 provoc¨® la autodestrucci¨®n de 1.000 centrifugadoras de una planta iran¨ª de enriquecimiento de uranio.

Le siguieron otros como BlackEnergy o Industroyer, dise?ados para provocar apagones en ciudades enteras. Se usaron para dejar sin luz a 225.000 ucranios en 2015, o a toda Kiev en 2016. La autor¨ªa de ambos ataques se atribuye al grupo ruso Sandworm. A sus compatriotas Nobelium se les responsabiliza del mayor acto de ciberespionaje en EE UU hasta entonces. El delito: infectar en 2020 el programa SolarWinds, usado por departamentos gubernamentales y empresas como Microsoft, y atacar en masa a m¨¢s de 150 organizaciones en 24 pa¨ªses en 2021. Ese a?o, tuvo lugar el sabotaje de Colonial Pipeline, suministrador del 45% del combustible de la Costa Este de EE UU, que estuvo varios d¨ªas inoperativo. Tambi¨¦n fue culpada una banda rusa: DarkSide.

Las agresiones contra infraestructuras cr¨ªticas son un objetivo relevante por sus devastadoras consecuencias y la interconexi¨®n de las cadenas de suministro globales. Este 2022, un ciberataque contra instalaciones petroleras de Alemania, B¨¦lgica y Holanda afect¨® a decenas de terminales de distribuci¨®n de combustible en todo el mundo. Internet tambi¨¦n es blanco de ataques, dado el impacto de desconectar a toda o parte de la poblaci¨®n de un pa¨ªs.

La ciberguerra no se limita al sabotaje o al espionaje. Otras batallas online se libran en paralelo: injerencias en procesos electorales, desinformaci¨®n e incitaci¨®n a la violencia y al odio. El pasado fin de semana, Rusia restringi¨® el acceso a sus ciudadanos a Facebook ¡ªy posteriormente a Twitter¡ª en respuesta al bloqueo de anuncios rusos en ambas redes sociales. Bloquear plataformas extranjeras es otra t¨¢ctica com¨²n, junto con los ciberdelitos econ¨®micos, como WannaCry, Emotet o NotPetya.

Espa?a no es ajena a todo ello, ni como v¨ªctima ni como verdugo. Hay pa¨ªses donde los cibercriminales lo tienen m¨¢s f¨¢cil. Rusia, China, Ir¨¢n y otros est¨¢n en la lista de los considerados como refugios seguros, donde los piratas inform¨¢ticos pueden actuar con impunidad si no atacan a sus respectivos gobiernos. Ello facilita un tipo de amenaza m¨¢s agresiva porque no tienen que seguir ninguna de las reglas que se aplican a los Estados naci¨®n rivales.

En este contexto parece que estamos vendidos. Que solo queda rezar. Al contrario: hay mucho que hacer para protegerse y mitigar el impacto de los ciberataques. Primero, asumir que convivimos con ellos permanentemente y planificar tratando de anticiparse. Limitar el acceso a los mercados digitales a los actores que no cumplan con los mecanismos de seguridad acordados. Formalizar la notificaci¨®n de actividades maliciosas y obligar a eliminar la infraestructura utilizada por los ciberatacantes. Prohibir la participaci¨®n en injerencias electorales. Aplicar al ciberespacio el principio de defensa colectiva de la OTAN. Controlar la venta de herramientas que puedan neutralizar la ciberdefensa. Una planificaci¨®n industrial que garantice la producci¨®n propia de tecnolog¨ªas cr¨ªticas para la seguridad nacional. Apoyar tecnolog¨ªas y est¨¢ndares abiertos que eviten depender de pocos proveedores. Desconectar equipos cr¨ªticos, si es la ¨²nica manera de protegerlos.

Por ¨²ltimo, es necesaria una alfabetizaci¨®n masiva en ciberseguridad; fijar un m¨ªnimo para el gasto en ciberdefensa en cada pa¨ªs, obligatorio y sujeto a sanciones, y cambiar la perspectiva de que asegurar la infraestructura cr¨ªtica es caro y no se traduce en votos. Ya no hablamos de prevenir riesgos hipot¨¦ticos. Hipot¨¦tica era una pandemia de coronavirus en 2020. Ahora, vayan y pregunten a los l¨ªderes mundiales si habr¨ªan invertido en sistemas y equipamiento para prepararse para ello.