"When sorrows come they come not single spies but in battalions". Nunca tan apropiada la cita de Shakespeare. Las desgracias -y los espías- cuando llegan, no llegan solos. Cuando todavía estamos en plena digestión del mayúsculo escándalo que supone la atribución por parte de la comunidad de inteligencia de Estados Unidos de una indubitada responsabilidad a Rusia y a su presidente en los ciberataques que han tratado de perturbar la pureza del proceso electoral en las elecciones presidenciales de 2016, conocemos la noticia de que las autoridades de los Países Bajos han optado por volver al recuento manual de votos en las elecciones legislativas del próximo 15 de marzo para evitar el riesgo de ciberataques.
El caso de las elecciones presidenciales de Estados Unidos puede considerarse un auténtico leading case en la materia. El análisis conjunto elaborado por el departamento de Homeland Security y el FBI, publicado el 29 de diciembre de 2016, trata de ofrecer las explicaciones técnicas a las agresiones dirigidas por "grizzly steppe", a través de dos secuencias de ataque denominadas APT (Advanced Persistent Threat) 29 y APT 30, informalmente conocidas como Fancy Bear y Cozy Bear respectivamente, cuyas intromisiones se produjeron en 2015 y 2016 y tuvieron como destinatario del ataque al Partido Demócrata. El siguiente paso, nada desdeñable, no es otro que concluir que el "gran oso estepario" detrás de estas agresiones es, en realidad, Rusia y que el domador del oso no es otro que Vladimir Putin.
Nunca hasta la fecha tres agencias de seguridad (CIA, FBI y NSA) habían sido tan contundentes en sus conclusiones -publicadas, en su contenido no clasificado, el 6 de enero de 2017- sobre la autoría de un ciberataque, probablemente porque, como reconoce el informe, la naturaleza del ciberespacio hace difícil la atribución de responsabilidad en las ciberoperaciones. Difícil, pero, añade: "not impossible", y sentencia: "todas las ciberoperaciones dejan su rastro".
El predominio que en nuestro pensamiento político tiene todavía el arquetipo nacido de la Paz de Westfalia, que concibe el escenario internacional como protagonizado exclusivamente por Estados, unido a un cierto reflujo del antagonismo de bloques de la II Posguerra, explican que en el caso del ciberataque ruso haya primado la dimensión analítica del secular enfrentamiento entre grandes potencias (mención aparte, obviamente, de la personalidad política del presidente Trump). En realidad, el propio informe suscrito por las tres agencias traza, de forma nada sutil, esa ligazón con el pasado al afirmar que Rusia, como la precedente Unión Soviética, tiene un amplio historial de campañas encubiertas dirigidas a influir en las elecciones presidenciales de Estados Unidos. En 2017 un informe público suscrito por la comunidad de inteligencia de Estados Unidos afirma sin ambages que los esfuerzos de Rusia y del presidente Putin por influir en las elecciones presidenciales de 2016 son la expresión de un empeño dilatado en el tiempo por alterar el orden democrático vigente en Estados Unidos, al tiempo que reconoce que este último incidente ha supuesto una escalada cualitativa. Para terminar de sembrar inquietud, un párrafo resume el pronóstico para el resto de la comunidad internacional: Moscú aplicará las lecciones extraídas de este ciberataque en nuevos intentos de injerencia en todo el mundo, incluidos los dirigidos a los aliados de Estados Unidos y a sus procesos electorales.
"La fuerza y el engaño -escribió Hobbes- son las dos virtudes cardinales en la guerra". En todo lo acontecido hay, desde luego, mucho de engaño, pues en eso consisten los ciberataques, en aprovecharse de la vulnerabilidad de toda la arquitectura tecnológica virtual en la que descansa nuestra existencia contemporánea. No se trata sólo de que tengamos cada día una vida más intensa en el ciberespacio, paralela y complementaria a nuestra vida física, sino que el propio desenvolvimiento de las instituciones y servicios esenciales del individuo y la comunidad, algunos de ellos centenarios, como los procesos electorales, están ineludiblemente encadenados a unos andamiajes virtuales que pueden hacer que todo colapse si se explotan maliciosamente las vulnerabilidades de esos cimientos digitales.
"La vida social -afirmaba el desaparecido Zygmunt Bauman- ya se ha transformado en vida electrónica o cibervida". Somos, irremediablemente, habitantes de un mundo digital. El número de dispositivos móviles en el mundo superó en 2015 al número de habitantes y, por primera vez, el número de minutos que pasamos ante el teléfono móvil es superior al que pasamos frente al televisor. En España hay también más líneas de telefonía que habitantes. En 2016 ocho de cada 10 personas entre 16 y 74 años accedieron a internet en los tres últimos meses y dos de cada tres reconocen que lo hacen a diario. El 81,9% de los hogares españoles tiene acceso a la Red, es decir, más de 13 millones de viviendas familiares cuentan con acceso a internet.
Esta perspectiva de análisis de lo sucedido en Estados Unidos ha suscitado menos interés que el enfoque del enfrentamiento entre superpotencias e hiperliderazgos. Sin embargo, a mi juicio, la lectura que se desprende de esta historia es realmente inquietante. La diferencia de este caso con muchos otros ciberataques que se producen a diario en todo el mundo es la explícita claridad con que el Gobierno de un país ha responsabilizado públicamente de su autoría al Gobierno de otro país.
La realidad es que el mundo virtual se resiste a ser analizado con las categorías tradicionales de las relaciones diplomáticas y que en la mayor parte de los casos no es fácil saber quién está detrás de las agresiones. Esa misma realidad es tozuda: las ciberamenazas han crecido a un ritmo exponencial en los últimos años y, lo que es peor, las dirigidas contra infraestructuras críticas (aquellas que garantizan la prestación de los servicios esenciales para la sociedad: el transporte, la energía, el abastecimiento de agua, los servicios financieros, etc.) han tenido la misma tendencia.
En España, en 2015 el número de ciberdelitos conocidos por las Fuerzas y Cuerpos de Seguridad del Estado fue de 60.154 frente a 49.935 de 2014, es decir, un incremento de más del 20%. Por lo que se refiere a los incidentes que han afectado a nuestras infraestructuras críticas, el Cert de Seguridad e Industria registró 134 incidentes en 2015. En 2016 han sido más del triple: 486 incidentes; un dato que no sólo evidencia el recrudecimiento de las agresiones sino que admite una lectura positiva, pues pone de manifiesto una mayor confianza de los operadores en el sistema de protección que el Gobierno ha creado frente a este tipo de ciberataques, que podrían llegar a tener consecuencias fatales.
Son muchas las enseñanzas que pueden extraerse del episodio vivido en las elecciones presidenciales de Estados Unidos. Por ejemplo, una de las primeras decisiones adoptadas por el secretario Jeh Johnson, máximo responsable de Homeland Security, el mismo viernes 6 de enero, consistió en otorgar al sistema electoral la calificación de infraestructura crítica y dotarle de la protección correspondiente a tal categoría, considerado como subsector dentro del sector crítico de instalaciones gubernamentales. La criticidad de los mecanismos tecnológicos que hacen posible la transformación de sufragios en resultados electorales no es cuestionable.
La decisión reciente de los Países Bajos nos recuerda que es urgente que en la Unión Europea y, por supuesto, en España, situemos las políticas de ciberseguridad en los primeros renglones de nuestras agendas, generando los consensos necesarios y adoptando las decisiones pertinentes para fortalecer la resiliencia de las organizaciones públicas y privadas, adecuar los ordenamientos jurídicos y, sobre todo, generar una verdadera cultura de ciberseguridad, auténtica clave de arco de nuestra protección frente a la que se configura como principal amenaza a la seguridad de las sociedades digitales del presente y del futuro inmediato.
Francisco Martínez Vázquez fue secretario de Estado de Seguridad del Ministerio del Interior (2013-2016).