Apenas ha tenido tiempo para crearse problemas propios, pero Joe Biden ha heredado una buena dosis. Por si fueran pocos los dolores de cabeza de su cargo, le han caído los ciberataques más graves que haya sufrido el gobierno de Estados Unidos. Es archiconocido que las defensas cibernéticas de su país no ocupaban un primer plano en la política exterior de Donald Trump, lo que facilitó que el enemigo se colara a través de las débiles barreras. La primera tentación de cualquier potencia sería tomar represalias. Cómo, cuánto y cuándo es lo que está en discusión, porque Biden necesita mostrar el poder estadounidense sin la contrapartida de una escalada de réplicas y contrarréplicas.
Joe Biden
En los dos meses que lleva en la Casa Blanca, el presidente demócrata ha tenido que enfrentarse a dos ataques cibernéticos relevantes. El primero, SolarWinds, detectado en las postrimerías del mandato de Trump, dejará huella indeleble: cada día aumenta la nómina de víctimas, entre las que hay piezas clave de la estructura gubernamental. El segundo se puso en evidencia más tarde y lo han sufrido miles de servidores de correo Exchange para los que Microsoft ha distribuido un parche urgente, pero se desconocen sus alcances más profundos.
La importancia de estas malas noticias no está en los ciberataques en sí. El mundo entero se ha hecho a la idea de su existencia y de que en la mayor parte de los casos son poco relevantes. O eso se quiere creer. Esta vez, con una diferencia: son ciberataques “de estado”, lo que ha llevado a alguna pluma ocurrente a advertir sobre la inminencia de una primera-guerra-cibernética-mundial. ¿Será para tanto?
De SolarWinds, todo el mundo sabe que Washington le atribuye origen ruso y que Moscú lo niega consecuentemente. Por su sofisticación – y por la naturaleza de los afectados – la acusación suena plausible; otra cosa es demostrar fehacientemente los lazos entre los hackers y el Kremlin. Aun así, ¿ante que instancia denunciarlos? Y no es sólo Rusia: en el ataque contra Exchange se han encontrado indicios de autoría china, acusación que ha sido acogida con sorna por las autoridades de Pekín.
Un problema añadido es que los dos ataques se han destapado en un tiempo muy corto, por lo que sus efectos – y eventualmente los de una respuesta – se potencian recíprocamente. Están involucradas, sin aparente coordinación, las dos grandes potencias que Estados Unidos considera como enemigas estratégicas.
El presidente Biden se ha comprometido a que estos ataques no quedarán sin castigo. Ahora bien, si se asume que esta es una guerra cibernética no declarada, resultaría que el criterio de proporcionalidad puede ser más complejo de gestionar que en una guerra convencional.
A la vista de los hechos, se puede suponer que Estados Unidos tiene una ciberdefensa deficiente, pero su capacidad ofensiva se mantiene intacta. Biden no se conformará con llamar asesino a Vladimir Putin, pero el ojo por ojo bíblico no es una garantía de victoria. Toda respuesta debería ser a la vez ejemplarizante y clandestina, calculada de tal manera que cause el mayor daño posible al arsenal del adversario y el menor número de víctimas colaterales.
Jake Sullivan, nuevo consejero de seguridad nacional en la Casa Blanca – ya colaboró con Biden cuando este era vicepresidente de Barack Obama – ha recibido el encargo prioritario de recomendar un catálogo de represalias posibles. Consta en las hemerotecas que Sullivan, en su refugio académico durante los años de Trump, escribió que las sanciones económicas contra China serían insuficientes para forzar un cambio de actitud.
Expertos que trabajaron para la administración Obama han declarado al semanario Político que “el dilema al que se enfrenta Biden no es diferente al que vivió Obama cuando Rusia consiguió interferir en las elecciones de 2016”. Esta vez, coinciden, un episodio de las dimensiones de SolarWinds no se puede dejar impune, pero a la vez advierten sobre el riesgo de que la respuesta genere nuevos riesgos para los que el país podría no estar preparado. La cita textual de uno de ellos resulta sugerente: “si estás empapado en gasolina, no juegues con cerillas”.
Esos son los términos del debate. Toda la clase política estadounidense respaldaría una respuesta contundente de la actual administración, pero luego aparecerían las criticas si algo sale mal. En todo caso, el objetivo está clarísimo: “hacer llegar a Moscú el mensaje de que debe cambiar de comportamiento”. Entretanto, aumentar el presupuesto de ciberdefensa.
Hay antecedentes que pueden servir como referencia. En 2016, hackers (presuntamente rusos) penetraron los sistemas del comité nacional del partido demócrata para acceder a registros de votantes. Pillado entre la espada y la pared, Obama reaccionó tibiamente, pero su partido perdió las elecciones. En agosto de 2019, analistas de Google descubrieron que hackers chinos espiaban a cualquiera que visitara un sitio web defensor de la etnia musulmana uigur, reprimida por Pekín.
En ambos casos, los atacantes se valieron de servidores alquilados en Estados Unidos bajo identidades falsas, aprovechando que la legislación prohíbe a las agencias de inteligencia vigilar sistemas basados en territorio estadounidense. Los juristas creen que habría margen legal para castigar a atacantes que traspasen el umbral de algún sistema vital del gobierno.
Como sugería Sullivan en 2018, ha quedado demostrado que sancionar o inculpar por espionaje a atacantes no residentes en el país puede tener evidente interés mediático pero escaso efecto real. Acusar a un estado – léase Rusia o China – podría sentar un precedente que la otra parte podría usar contra hackers que trabajen oficialmente o no para el gobierno estadounidense. Sólo si el caso SolarWinds hubiera ido más allá del simple espionaje podría justificarse tomar represalias contra una infraestructura rusa. En el caso de Exchange, ni siquiera hay evidencias de que la intrusión haya llegado tan lejos.
Según The New York Times, en las próximas semanas podría lanzarse una serie de acciones clandestinas de represalia. Habría quedado descartado un castigo ´duro` como el corte de suministro a una ciudad rusa – un uso ilegal de la fuerza que podría causar víctimas inocentes – así como atacar infraestructuras militares. Porque la principal limitación aprendida en los años de la guerra fría es que toda medida punitiva debería doler, pero no tanto como para inducir una respuesta más destructiva.
Con esas limitaciones, el objetivo de una primera andanada sería más bien de advertencia. Se dice que los hackers rusos han apagado prácticamente su actividad en los foros especializados, indicio de que algo esperan. Al fin y al cabo, Estados Unidos y Rusia son viejos conocidos que se conocen las tallas. Con China, las cosas son más sibilinas.
Políticamente, la respuesta a cada incidente dará el tono de la estrategia a seguir por la nueva administración durante los próximos cuatro años. De momento, Biden tiene que resolver dos problemas con urgencia. Mejorar la ciberdefensa – lo que es cuestión de moral tanto como de recursos – e intentar persuadir a Rusia y China de las consecuencias que tendría seguir actuando como si en la Casa Blanca estuviera Donald Trump.