Guerra y paz en el ciberespacio

El 14 de junio, el Washington Post revelaba que dos virus informáticos llevaban un año extrayendo información confidencial de la base de datos del Partido Demócrata. La operación, según la empresa de ciberseguridad Crowdstrike, estaba vinculada a los servicios de inteligencia rusos. Entre los datos más codiciados podrían encontrarse las investigaciones sobre Donald Trump, el rival republicano de Hillary Clinton.

No es el primer ciberataque reciente atribuido a Rusia. En 2007, tras la controvertida reubicación de un monumento soviético, Estonia sufrió una serie de ciberataques coordinados en las páginas web de sus principales bancos, partidos políticos y gobierno. En el verano de 2008, el ejército ruso combinó su intervención militar en Georgia con ataques informáticos destinados a debilitar a su adversario, interfiriendo en sus comunicaciones y logística. Rusia también ha ataco la infraestructura eléctrica ucraniana en el contexto de la guerra del Dombás.

China también realiza numerosos intrusiones en Estados Unidos. Operaciones de espionaje económico y militar. En 2015, una operación vinculada a China logró penetrar en la base de datos de la principal agencia federal de recursos humanos, accediendo a los datos de millones de empleados públicos estadounidenses.

EEUU tampoco es diferente. Las iniciativas del departamento de Defensa se anuncian de forma transparente. El Pentágono asegura destinar el 90% de sus recursos a defensa y un 10% a capacidades ofensivas. Pero es el único país que ha realizado un ciberataque con efectos físicos (el del virus Stuxnet, supuestamente desarrollado con Israel, que en 2011 dañó las centrifugadoras de la central nuclear iraní en Natanz). El gobierno estadounidense no reconoce la autoría de Stuxnet, ni tampoco la de sus antecesores, gusanos con una estructura similar, como Flame y Duqu. Alardea, eso sí, de lanzar “ciberbombas” sobre el Estado Islámico.

Ataques y atribuciones

La proliferación de estas actividades obedece a una lógica relativamente sencilla. En primer lugar, se asume que el ciberespacio prima la capacidad ofensiva sobre la defensa. Por más que las Fuerzas Armadas estadounidenses consideren el ciberespacio un “dominio” (equiparable a tierra, mar, aire o espacio), el 90% de la infraestructura informática pertenece al sector privado, lo que complica su defensa si no existe una cooperación estrecha con el sector público.

En segundo lugar, como señala el experto en ciberseguridad Thomas Rid, las operaciones informáticas no son comparables a intervenciones militares. Caen en la categoría de espionaje, subversión (las campañas del EI en redes sociales) o sabotaje (Stuxnet). Áreas en las que, tradicionalmente, los gobiernos intentan ocultar sus acciones. A ello se añade que el ciberespacio facilita el anonimato. Fingir ignorancia se convierte en una opción viable para cualquier Estado acusado de cometer o apoyar ciberataques.

Valga el caso de Rusia. Se cree que los ataques a Estonia originaron de círculos nacionalistas. Los vínculos entre los primeros y el Estado ruso son innegables, pero lo suficientemente opacos como para no poder acusar contundentemente a Moscú. En el caso más reciente se considera que las dos operaciones, que parecían compartir el mismo objetivo, provenían de diferentes servicios de inteligencia, volcados en una batalla burocrática por obtener mayor influencia.

China también recurre a la opacidad. La unidad 61398 del Ejército de Liberación Popular, supuesta responsable de muchas de las operaciones que se realizan en EEUU, no tiene sede. Su centro de operaciones, en Shanghái, es un edificio anodino de 12 plantas al que está prohibido acceder. Aunque se encuentra entre los más activos, la unidad 61398 es uno de los hasta 20 grupos de hackers vinculados de forma más o menos directa al Estado chino. Bajo presión estadounidense, Pekín se ha comprometido a controlar estos grupos. Pero esta retórica no siempre se traduce en una disminución de su actividad.

En el peor de los casos, la combinación de anonimato y un domino que prioriza la agresividad podría causar “ciberguerras” en las que diferentes Estados atacan la infraestructura crítica (sistemas energéticos e informáticos, redes logísticas) de sus adversarios. Pero existen razones para evitar el alarmismo. Es difícil concebir ataques informáticos a gran escala que no vengan acompañados de intervenciones militares (una realidad que los vuelve menos probables). Stuxnet es el único ataque que ha tenido consecuencias directas físicas, y se sospecha que tuvo éxito gracias a la presencia física de un agente en la planta de Natanz. La cantidad de recursos que requiere diseñar un ataque de este tipo señala que, de momento, serán patrimonio de Estados con recursos y no de grupos terroristas.