¿Cuán grave puede ser una ciberguerra moderna, y se verán afectados otros países? “Ucrania, por desgracia, ha sido desde hace años el ciberpatio de juegos de Rusia”, señala Ciaran Martin, primer director ejecutivo del Centro Nacional de Ciberseguridad, el brazo defensivo del Cuartel General de Comunicaciones del Gobierno (GCHQ), el organismo británico de la inteligencia de señales. En 2016, un malware presuntamente ruso interrumpió la red eléctrica ucraniana y dejó sin suministro una quinta parte de Kiev en mitad de un crudo invierno. Inspirado en parte en Stuxnet (el gusano presuntamente estadounidense-israelí que inutilizó las centrifugadoras de enriquecimiento de uranio iraníes), el ataque iba dirigido contra los relés de protección que desconectan los sistemas eléctricos en condiciones anormales. Dos años más tarde, Ucrania anunció haber impedido un presunto intento ruso de sabotear una fábrica de cloro.
Los últimos ataques no han sido tan sofisticados. Han adoptado la forma de ataques distribuidos de denegación de servicio (DDOS), un método muy rudimentario en el que un sitio web se ve sobrecargado con falsas solicitudes de información y acaba fuera de servicio. Su impacto ha sido “mínimo”, según señala Chris Krebs, antiguo director de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos. Su propósito, indica, era “distraer y confundir”, tal vez preparar el camino para una “actividad más severa”, como la que podría acompañar a una invasión rusa en curso. De hecho, las operaciones sobre redes de computadoras (el término utilizado por los profesionales para referirse a los ciberataques) llevan ya más de dos décadas formando parte de la guerra.
Estados Unidos y Gran Bretaña, por ejemplo, han hablado abiertamente de sus ciberoperaciones ofensivas durante la campaña contra el Estado Islámico en Irak y Siria, cuando sus organismos de inteligencia y sus fuerzas armadas inutilizaron drones, interfirieron teléfonos, eliminaron propaganda yihadista y sembraron la disensión en las filas del grupo. El cruce de la frontera por parte de las tropas rusas probablemente habrá ido acompañado de las mismas técnicas contra Ucrania, tanto para apoyar su ofensiva militar (por ejemplo, la inutilización de las defensas aéreas ucranianas) como para desestabilizar al gobierno de Kíev (por ejemplo, la difusión de desinformación).
A los funcionarios occidentales les preocupan los efectos derivados de cualquier conflicto cibernético en Ucrania, ya sean accidentales o deliberados. En 2017, el ciberataque NotPetya contra Ucrania encriptó de forma irreversible datos informáticos y causó daños por valor de 10.000 millones de dólares en todo el mundo (y se atribuyó de modo generalizado a Rusia). Este mes, la CISA ha emitido a las organizaciones estadounidenses una advertencia según la cual Rusia podría escalar “en formas que pueden afectar a otros fuera de Ucrania”. Las empresas británicas han recibido advertencias similares.
Aunque los países occidentales han dicho que no enviarán soldados a luchar en Ucrania, ya han empezado a imponer sanciones y han prometido más castigos “masivos”. “Si estamos hablando de que Rusia se encuentra inmersa en la operación militar más importante desde la Segunda Guerra Mundial, que considera una lucha existencial, y si, al mismo tiempo, Occidente decide (con toda la justificación moral) incapacitar la economía rusa, me resulta difícil creer que los rusos vayan a aceptarlo sin más”, advierte Samuel Charap, antiguo asesor del Departamento de Estado estadounidense que ahora trabaja en la Corporación Rand, un centro de estudios. Charap considera que la contramedida más probable es la respuesta en el ciberespacio: “Cabe imaginar un tipo de respuesta asimétrica, como la caída de algunos grandes bancos occidentales durante un par de días”.
Estados Unidos y Reino Unido han ayudado a Ucrania a reforzar sus ciberdefensas en los últimos meses, y podrían ofrecer ayuda para repeler los ataques contra el país. No obstante, en las redes de computadoras, la línea entre defensa y ataque no siempre está clara. La doctrina estadounidense de “defender hacia adelante” puede significar una disposición a defender las redes ucranianas deteniendo los ataques en origen (es decir, dentro de las redes rusas) en caso de ser necesario. “Soy un soldado; siempre me han enseñado que la mejor parte de la defensa es el ataque”, declaró Ben Wallace, secretario de Defensa británico, el 21 de febrero en respuesta a la pregunta de un diputado sobre las capacidades cibernéticas ofensivas.
Los gobiernos occidentales también podrían intentar una disrupción de las redes militares rusas, las comunicaciones o las operaciones “cognitivas”, como la alteración de datos para confundir o engañar a las fuerzas rusas. “El cálculo puede ser que los rusos se han extralimitado y es el momento de una ciberrespuesta”, dice Marcus Willett, antiguo jefe adjunto del GCHQ. “La tentación es grande de recurrir a las operaciones cibernéticas, porque parecen más contundentes que las sanciones, pero sin llegar al nivel del lanzamiento de misiles”.
Sin embargo, se trata de una “fina línea”, advierte Willett. Los conceptos de disuasión, señalización y escalada en el ciberespacio no dejan de evolucionar. Y, en muchos sentidos, las infraestructuras occidentales son más vulnerables porque depende mucho más de las redes informáticas. “Si empezamos a atacar las redes rusas, los rusos quizás estén bien situados para hacer cosas parecidas contra las redes estadounidenses y aliadas”.”En términos de derecho internacional, también esa posibilidad abre una verdadera caja de Pandora que tal vez no queramos abrir en esta coyuntura concreta”. Rusia y Estados Unidos llevan años sondeándose mutuamente las infraestructuras, incluidos ámbitos sensibles como el suministro de energía y agua.
Hay importantes voces estadounidenses que afirman estar preocupadas por la posibilidad de un error de cálculo. El demócrata Mark Warner, presidente del comité de inteligencia del Senado, advierte de que las normas de ciberdisuasión y escalada no son muy conocidas. Describe un escenario en el que un ciberataque ruso cause daños deliberados o involuntarios a la población civil en Europa y provoque represalias por parte de la OTAN.
LA VANGUARDIA (26/02/2022)
Más información aquí