No todos los ataques son ciberataques

Raras veces pasa una semana sin que se mencione un ciberataque en los titulares de la prensa internacional. Pero ya sea la reciente filtraci¨®n de datos de la Agencia Mundial Antidopaje (AMA), el robo de 6,6 millones de claves de seguridad del servicio publicitario ClixSense o los ataques DDoS (Ataque Distribuido de Denegaci¨®n de Servicio) contra los populares servidores de videojuegos de Blizzard Entertainment, lo normal es que todos los incidentes sean denominados como ciberataques sin la menor distinci¨®n entre s¨ª.

Para observar las cosas con perspectiva, imaginemos un mundo en el que cualquier acto criminal, por insignificante que sea, fuese calificado como asesinato. Y ahora pensemos en c¨®mo afectar¨ªa eso a nuestra sensaci¨®n de inseguridad.

Ciertamente, uno de los mayores retos de la seguridad de la informaci¨®n es que, como describe con elocuencia el Centro de Excelencia para la Ciberdefensa Cooperativa de la OTAN (CCD COE): ¡°No existen definiciones comunes para los t¨¦rminos inform¨¢ticos; cada naci¨®n/organizaci¨®n los entiende de una manera diferente¡±.

El ejemplo m¨¢s notable de c¨®mo este problema cobra relevancia fueron las palabras que pronunci¨® el director de la Inteligencia Nacional de EE UU, James Clapper, frente al Comit¨¦ para la Inteligencia de Interior en septiembre de 2015. Clapper b¨¢sicamente dijo que la intrusi¨®n en la red de la Oficina Estadounidense de Administraci¨®n de Personal (OPM) ¡ªy el robo de la informaci¨®n de 21,5 millones de funcionarios (antiguos, vigentes y futuros)¡ª no era un ciberataque: ¡°No hubo destrucci¨®n o manipulaci¨®n de datos. Simplemente los robaron. Eso es una actividad pasiva de recolecci¨®n de informaci¨®n, similar a la que nosotros hacemos¡±. El Comit¨¦, por supuesto, no daba cr¨¦dito a lo que escuchaba, y argument¨® con vehemencia que negarse a calificar de ciberataque al pirateo de la OPM minimizar¨ªa la gravedad del incidente.

Sin embargo, Clapper ten¨ªa raz¨®n. De hecho, la definici¨®n m¨¢s correcta de lo que constituye un ciberataque se puede encontrar en el Manual Tallinn sobre el Derecho Internacional en Ciberguerra, que lo describe como: ¡°Aquella operaci¨®n cibern¨¦tica, ofensiva o defensiva, de la que se espera que pueda causar p¨¦rdidas de vidas humanas, lesiones a las personas o da?os o destrucci¨®n de bienes¡±.

Hasta la fecha solo ha habido dos operaciones cibern¨¦ticas que han superado el l¨ªmite de lo f¨ªsico, causando da?os

Hasta la fecha, s¨®lo hay dos ciberataques que hayan superado ese l¨ªmite f¨ªsico. El primero fue el uso del gusano inform¨¢tico Stuxnet en agosto de 2007 para infectar la planta de enriquecimiento de uranio de Natanz en Ir¨¢n (atribuido a EE UU e Israel), y el segundo es un ciberataque mucho menos conocido contra una planta sider¨²rgica alemana (sin nombre) en 2015 que nadie se ha atribuido p¨²blicamente, y que caus¨® ¡°da?os considerables y sin especificar¡±.

Hay tambi¨¦n otros ataques que han llegado a rozar el l¨ªmite f¨ªsico. Por ejemplo, el ataque del virus Shamoon contra la petrolera saud¨ª Aramco durante el Ramad¨¢n de 2012 (atribuido a Ir¨¢n), que ¡°borr¨® parcialmente o destruy¨® por completo los discos duros de 35.000 ordenadores de la compa?¨ªa¡±. El incidente lleg¨® a obligar al por entonces secretario de Defensa de EE UU, Leon Panetta, a declarar que Shamoon es ¡°uno de los primeros [programas de malware] que hemos visto que puede inutilizar y destruir ordenadores (¡­) hasta el punto de tener que reemplazarlos¡±. Otro caso es el ciberataque contra la red el¨¦ctrica ucraniana a finales de 2015 (atribuido a Rusia), que afect¨® aproximadamente a 225.000 usuarios con un apag¨®n que dur¨® varias horas. Seg¨²n E-ISAC (Centro de An¨¢lisis e Intercambio de Informaci¨®n sobre la Electricidad en Am¨¦rica del Norte), los ciberataques en Ucrania fueron ¡°los primeros incidentes p¨²blicamente reconocidos que han causado cortes en el suministro¡±. En comparaci¨®n con estos sucesos, la intrusi¨®n en la OPM (atribuida a China) o la reciente filtraci¨®n de los correos electr¨®nicos del Comit¨¦ Nacional Dem¨®crata de EE UU (atribuida a Rusia), constituyen presas f¨¢ciles cuyos sistemas no gozaban para empezar de un mantenimiento o sistema de seguridad adecuados.

Por ello, emplear la terminolog¨ªa correcta es enormemente importante, porque llamar a todo por el mismo nombre (a) debilita la noci¨®n de ciberseguridad del p¨²blico, (b) desdibuja los l¨ªmites entre actos de guerra y actividades criminales, (c) oculta la tendencia general de que los ciberataques van a mejor, no a peor, y (d) no tiene en cuenta el peligro mayor de que el conocimiento de cada ciberataque se propaga inevitablemente por igual entre los Estados naci¨®n y los cibercriminales. Roel Schouwenberg, antiguo analista s¨¦nior de Kaspersky Labs, lo dej¨® bien claro: ¡°Los cibercriminales corrientes observan lo que hace Stuxnet y dicen: ¡®Qu¨¦ buena idea, hagamos lo mismo¡±.

Stefan Soesanto es investigador del Consejo Europeo para las Relaciones Exteriores (ECFR) y experto en ciberseguridad.

Traducci¨®n de Germ¨¢n Ponte.