Cuenta el que fuera asesor de Ronald Reagan, Thomas Reed, que en 1982, en plena Guerra Fría, un ciberataque provocó una “monumental” explosión de un gasoducto transiberiano “que fue vista desde el espacio”. Lo recoge su libro En el abismo, basado en el testimonio del exconsejero de Seguridad Nacional del Gobierno de EE UU Gus Weiss. Aunque la KGB lo negó, el caso de la llamada “bomba lógica original” es comúnmente citado como la primera ciberagresión bélica de la historia.
Desde entonces, se libra online otra Guerra Fría —la cibernética— que nunca termina. Una con tácticas más sutiles, pero graves consecuencias. Se dice que la ofensiva de Rusia sobre Ucrania comenzó en internet. Los ataques se han intensificado estos días para desgastar y minar la capacidad de defensa ucrania, pero la historia viene de largo. La ciberguerra va mucho más allá y solo se explica en un contexto geopolítico más amplio de amenazas de seguridad nacional entre Estados nación rivales.
Echando la vista atrás, encontramos infinitos ejemplos de cibercrímenes con propósitos desestabilizadores. El comienzo del asedio chino lo marca en 2003 Titan Rain, con la infiltración y robo de información gubernamental en países como EE UU y el Reino Unido durante años. 2007 fue un punto de inflexión. Una oleada de ciberataques paralizó docenas de webs gubernamentales y corporativas en Estonia como castigo por el traslado de un monumento soviético. Después nació la primera gran arma ciberfísica a manos —se cree— de los servicios de inteligencia de Israel y EE UU. Era el gusano Stuxnet, que en 2010 provocó la autodestrucción de 1.000 centrifugadoras de una planta iraní de enriquecimiento de uranio.
Le siguieron otros como BlackEnergy o Industroyer, diseñados para provocar apagones en ciudades enteras. Se usaron para dejar sin luz a 225.000 ucranios en 2015, o a toda Kiev en 2016. La autoría de ambos ataques se atribuye al grupo ruso Sandworm. A sus compatriotas Nobelium se les responsabiliza del mayor acto de ciberespionaje en EE UU hasta entonces. El delito: infectar en 2020 el programa SolarWinds, usado por departamentos gubernamentales y empresas como Microsoft, y atacar en masa a más de 150 organizaciones en 24 países en 2021. Ese año, tuvo lugar el sabotaje de Colonial Pipeline, suministrador del 45% del combustible de la Costa Este de EE UU, que estuvo varios días inoperativo. También fue culpada una banda rusa: DarkSide.
Las agresiones contra infraestructuras críticas son un objetivo relevante por sus devastadoras consecuencias y la interconexión de las cadenas de suministro globales. Este 2022, un ciberataque contra instalaciones petroleras de Alemania, Bélgica y Holanda afectó a decenas de terminales de distribución de combustible en todo el mundo. Internet también es blanco de ataques, dado el impacto de desconectar a toda o parte de la población de un país.
La ciberguerra no se limita al sabotaje o al espionaje. Otras batallas online se libran en paralelo: injerencias en procesos electorales, desinformación e incitación a la violencia y al odio. El pasado fin de semana, Rusia restringió el acceso a sus ciudadanos a Facebook —y posteriormente a Twitter— en respuesta al bloqueo de anuncios rusos en ambas redes sociales. Bloquear plataformas extranjeras es otra táctica común, junto con los ciberdelitos económicos, como WannaCry, Emotet o NotPetya.
España no es ajena a todo ello, ni como víctima ni como verdugo. Hay países donde los cibercriminales lo tienen más fácil. Rusia, China, Irán y otros están en la lista de los considerados como refugios seguros, donde los piratas informáticos pueden actuar con impunidad si no atacan a sus respectivos gobiernos. Ello facilita un tipo de amenaza más agresiva porque no tienen que seguir ninguna de las reglas que se aplican a los Estados nación rivales.
En este contexto parece que estamos vendidos. Que solo queda rezar. Al contrario: hay mucho que hacer para protegerse y mitigar el impacto de los ciberataques. Primero, asumir que convivimos con ellos permanentemente y planificar tratando de anticiparse. Limitar el acceso a los mercados digitales a los actores que no cumplan con los mecanismos de seguridad acordados. Formalizar la notificación de actividades maliciosas y obligar a eliminar la infraestructura utilizada por los ciberatacantes. Prohibir la participación en injerencias electorales. Aplicar al ciberespacio el principio de defensa colectiva de la OTAN. Controlar la venta de herramientas que puedan neutralizar la ciberdefensa. Una planificación industrial que garantice la producción propia de tecnologías críticas para la seguridad nacional. Apoyar tecnologías y estándares abiertos que eviten depender de pocos proveedores. Desconectar equipos críticos, si es la única manera de protegerlos.
Por último, es necesaria una alfabetización masiva en ciberseguridad; fijar un mínimo para el gasto en ciberdefensa en cada país, obligatorio y sujeto a sanciones, y cambiar la perspectiva de que asegurar la infraestructura crítica es caro y no se traduce en votos. Ya no hablamos de prevenir riesgos hipotéticos. Hipotética era una pandemia de coronavirus en 2020. Ahora, vayan y pregunten a los líderes mundiales si habrían invertido en sistemas y equipamiento para prepararse para ello.
Esther Paniagua es periodista especializada en tecnología, profesora y autora de Error 404. ¿Preparados para un mundo sin internet? (Debate).