Resulta cada vez más difícil nombrar un hito desencadenante de la ciberguerra digital, equivalente a la manida explicación de que la primera guerra mundial se inició con el asesinato de Sarajevo en 2014: cualquier historiador dirá que aquello fue una excusa para una guerra que todos esperaban ganar y todos perdieron. Permita el lector este rodeo argumental para sostener la tesis de que el gusano Stuxnet sería un equivalente apropiado: desarrollado por Estados Unidos, en 2010 se usó para desbaratar la infraestructura iraní de enriquecimiento de uranio. Fue una prueba irrefutable de cómo los gobiernos no se limitan a espiarse recíprocamente sino que han pasado a la ofensiva sin disimulo.
Desde esa fecha, las cosas han ido a más. Ahora que tanto se habla de Guerra Fría entre Estados Unidos y China, no estará de más recordar que Ronald Reagan cerró la prolongada Guerra Fría con la Unión Soviética al dotarse de una amplia ventaja tecnológica (bautizada como Guerra de las Galaxias). Ahora mismo, el potencial ofensivo de un país sobre otro no se mide por parámetros de la guerra convencional sino por una artillería electrónica que pasa inadvertida hasta que ya ha consumado su daño en un instante. Y, además, hace que entren en escena muchos más actores. A veces aliados que no se fían entre sí.
A fin de cuentas, una ciberguerra tiene elementos comunes con una guerra moderna sobre el terreno. Uno es la participación de mercenarios; proliferan las compañías especializadas en la ejecución de ciberataques por encargo o bien en desarrollar software con esa finalidad.
Hay, por cierto, una pasarela entre la participación activa en la guerra cibernética y la construcción de un modelo de negocio reconocidamente legal. Israel ha sido históricamente un país puntero en materia de seguridad informática. Del Tsahal – nombre con el que se conoce a las fuerzas de la defensa israelí – han surgido numerosas startups cuyo software es utilizado en todo el mundo para defenderse de ciberataques. Puede decirse que ningún estado que quiera hacerse respetar se privará de tener vínculos con empresas más o menos opacas.
La nómina de protagonistas es larga y está encabezada por tres superpotencias. Estados Unidos, China y Rusia – con segundones según los casos – tienen la sartén por el mango y en ellos las decisiones se toman al más alto nivel. Ya que se menciona a Stuxnet, su uso contra Irán recibió el visto bueno de Barack Obama en base a un protocolo de actuación similar al que se emplea para la activación de armas nucleares (Presidential Policy Directive 20 o PPD-20), instrumento que Donald Trump ha derogado en medio de fuertes críticas.
Esta medida cambia radicalmente el escenario de la ciberguerra global. Agiliza los procesos de autorización, al tiempo que elimina filtros que al menos servían como salvaguardas de decisiones precipitadas sin marcha atrás. En cierto modo, rebaja los controles políticos y confiere más poder de decisión a los militares. En el contexto actual, Trump dice promover una “ciberfuerza” que, según la prensa estadounidense, aspira a sustraer el control parlamentario.
La derogación de la PPD-20, independientemente de la norma que pueda reemplazarla, podría ser un momento clave para decidir cómo actuará Estados Unidos en la guerra cibernética: qué y a quién estará dispuesto a atacar y qué métodos son políticamente aceptables.
Un ejemplo de cómo una guerra cibernética puede salir mal es lo ocurrido en 2017 con el malware NotPetya. Tal como lo describía un reportaje de Wired, los planes de la potencia involucrada – la Rusia de Vladimir Putin – pasaban por lanzar un ciberataque contra Ucrania, cuyo objetivo último era (y en eso sigue) la anexión de Crimea. Cuando se intentó contener el contagio, el importe de los daños diseminados por el mundo superaba los 10.000 millones de dólares. Y NotPetya sigue actuando sobre víctimas que nada tienen que ver con la intención original.
A pesar de la importancia y la inversión que Estados Unidos asigna a su capacidad en este campo, ser una ciberpotencia no necesariamente se traduce en más seguridad. Hay factores que amplifican el carácter letal de un ataque: fue el caso de Mirai, en octubre de 2016. Este botnet reventó los sistemas de Dyn, empresa especializada en gestión de dominios, mediante un ataque de denegación de servicio (DDoS).
La novedad de Mirai consistió en que los dispositivos que con tráfico malicioso saturaron los servidores de la compañía, no fueron ordenadores sino cámaras digitales y reproductores de vídeo, lo que puso en evidencia el doble filo de IoT. La propia Dyn estimó que el bombardeo de que fue víctima tuvo una “potencia de fuego” [así de explícitas son las metáforas] equivalente a 1,2 Tbps. Por ponerlo en perspectiva, no se recuerda ningún precedente que alcanzara siquiera la mitad de esa magnitud.
La inseguridad que pueden entrañar los dispositivos IoT está dando un giro copernicano al fenómeno y explica en parte porque las miradas se centran en China. La hostilidad de la administración Trump hacia Huawei es su manifestación más notoria, pero no la única.
Tampoco es sólo de Trump y sus acólitos. El comisario europeo de Mercado Único Digital, el estonio Andrus Ansip, ha sido explícito al advertir del peligro que, según él, podrían representar Huawei y otras compañías chinas. Ansip no aportó pruebas, pero no deja de ser una expresión de que también en Europa se practica el peligroso juego de la sospecha.
China es hoy el mayor adversario, aunque algunos políticos señalan que Rusia sigue siendo un problema tanto o más grave. El informe de Evaluación de Amenazas globales presentado por Dan Coats, director de Inteligencia de Estados Unidos, pone el acento en China. Las capacidades militares del gigante asiático seguirán creciendo – dijo Coats – y con ellas su empeño en aumentar su influencia por medios ilícitos. Su ´gran muralla` cibernética es probablemente el mayor instrumento de censura existente, con lo que ha quedado muy lejos el sueño original de Internet como espacio abierto. Las empresas de origen chino son asociadas a ese mecanismo que, por mucho que nieguen, no pueden eludir precisamente por su irrenunciable identidad china.
La justificación esgrimida por Estados Unidos – y sedicentemente por ciertos países europeos – es el riesgo de puertas traseras en los equipos de red suministrados por empresas chinas [la ausencia de pruebas no disuade a los acusadores]. De otra parte, China no esgrime la censura – que no aparece en el vocabulario oficial – sino la amenaza de ataques externos contra su soberanía. Por su parte, Rusia ha desarrollado un DNS alternativo, sistema de nombres de dominio alternativo al estándar cuya gestión sigue encomendada al ICANN, entidad jurídicamente estadounidense y por tanto siempre cuestionada. La iniciativa – y su posible emulación – conlleva el peligro de acabar con la esencia de Internet, blindándose cada país de la influencia exterior.
De cara a la galería, Rusia presenta la medida como una necesidad defensiva ante posibles ataques similares a Stuxnet, pero no renuncia a su potencial ofensivo. Un ataque completo al DNS supondría un apagón electrónico en los medios de comunicación, la banca online, el comercio electrónico y las pasarelas de pago. Mientras, los dueños de su propio DNS estarían a cubierto. El Pentágono y el FBI han puesto de relieve que desde 2016 las infraestructuras críticas de Estados Unidos vienen sufriendo ciberataques rusos.
El chapucero episodio del robo de correos electrónicos de la campaña de Hillary Clinton – gracias a ello Trump llegó a la presidencia – ha trasladado la ciberguerra al mundo de la información bajo forma de fake news.
La generalización de esta práctica – tan novedosa que es difícil darle un encaje legal para sancionarla – es un tentáculo más de la ciberguerra. Irán considera que aplicaciones de mensajería instantánea como Telegram son una amenaza para su seguridad nacional: no se trata aquí de enemigos externos sino de 40 millones de ciudadanos iraníes que la utilizaban por su (presunta) imposibilidad de rastreo.
El caso de Telegram es interesante para comprobar el doble rasero de los gobiernos que consideran el cifrado de las comunicaciones online como un obstáculo para los movimientos opositores y el crimen organizado. El gobierno ruso ha acusado muchas veces a esta red social – originaria de Rusia – de complicidad con la oposición a Putin. Su afán le ha llevado a presionar a Apple, que entró en el juego al impedir nuevas descargas de esta aplicación en su App Store en ruso.
Otro objetivo de las armas cibernéticas pueden ser los satélites, que cuentan con una gran variedad de puntos de acceso: infectarlos con código malicioso y datos corrompidos así como robar información, incluso provocar un apagón, es una pesadilla verosímil. Ya en 2007, presuntos hackers chinos atacaron satélites operadores por el Servicio Geológico de Estados Unidos, valiéndose de la captura virtual de una estación terrena en Noruega para interferir con las comunicaciones durante varios minutos.
Ante este panorama, hay quien se pregunta por qué, del mismo modo que hay acuerdos mundiales sobre armas químicas y nucleares, no podría hacerse lo mismo con el ciberarmamento. Una idea que echó a rodar – en tiempos mejores para él – Emmanuel Macron. El ejemplo más tenebroso que pudo imaginar el presidente francés fue un (perfectamente posible) ataque contra infraestructuras críticas como redes eléctricas, hospitales, etc. El problema con el que ha chocado la propuesta es que requeriría un compromiso de vigilar y castigar la actividad de mercenarios a sueldo de gobiernos que nunca van a reconocer su existencia.
[informe de David Bollero]