La ciberguerra y sus descontentos

WarGames (Juegos de guerra), dirigida por John Badham y estrenada en 1983, cuenta la historia de un adolescente que hackea la supercomputadora a cargo de los sistemas de lanzamiento del NORAD. La chiquillada adquiere un tono algo más serio cuando el ordenador decide iniciar la tercera guerra mundial con un ataque nuclear. La película generó una reacción fascinante en la Casa Blanca de Ronald Reagan, quien tras verla preguntó si un escenario así era concebible en el mundo real. “El problema es mucho peor de lo que pensaba,” le informó uno de sus generales tras analizar la cuestión detenidamente.

Treinta y cinco años después, los retos en el mundo de la ciberseguridad continúan vigentes. Desde las tramas de injerencia rusa al uso de gusanos como Stuxnet, las amenazas en el ciberespacio no han hecho más que aumentar. El modo en que se evalúan sigue siendo alarmista, como si el planeta se encontrase a tres o cuatro clics del apocalipsis. Por eso es de agradecer la evaluación sobria y detallada del fenómeno que realiza Yolanda Quintana en Ciberguerra. El libro, publicado en 2016, ha adquirido especial vigencia ante la creciente preocupación con fake news y bots rusos, temas sobre los que la autora escribe con lucidez.

Quintana es periodista en eldiario.es, coordinadora de la Plataforma en Defensa de la Libertad de Información y coautora de Ciberactivismo junto a Mario Tascón, que firma el prólogo de Ciberguerra. El libro define las características básicas del ciberespacio, considerado por el Pentágono y la UE como un nuevo dominio bélico –como lo son tierra, mar, aire y espacio–. Quintana aborda rigurosamente las luchas que se desarrollan en este ámbito, identificando a los actores clave (Estados, grupos terroristas, ciberdelincuentes…) y explicando sencillamente operaciones que a menudo parecen incomprensibles (ataques de día cero, troyanos, botnets, phishing…). Proporciona así una gramática esencial para entender cuestiones que muchos supuestos expertos abordan sin conocimientos suficienes.

Una de las conclusiones que se desprende del análisis de Quintana (y del Centro Criptológico Nacional del CNI, que la autora cita en varias ocasiones) es que los Estados continúan siendo los pesos pesados del ciberespacio. Cuentan con capacidades superiores a las hackctivistas como Anonymous o ciberyihadistas, y las ejercen con secretismo. Ciberguerra dedica un capítulo magníficamente documentado a Stuxnet, el sofisticado gusano que dañó las centrifugadoras de uranio en la central nuclear iraní de Natanz. Hasta ahora, los ataques capaces de inhabilitar infraestructura crítica y sistemas de control industriales (Stuxnet, el ataque a los ordenadores de la petrolera Saudi Aramco en 2012 o el sabotaje de la red eléctrica ucraniana en 2015) se han atribuido a Estados o grupos respaldados por Estados. Una de las características del ciberespacio es que resulta muy difícil atribuir responsabilidades por ataques, si bien parece claro que los artífices de los tres anteriores fueron, respectivamente, EEUU e Israel, Irán y Rusia.

También es recomendable el breve análisis sobre cibervigilancia en España. Quintana nos presenta la consabida tensión entre privacidad y seguridad, en la que por el momento parece dominar un concepto estrecho de la segunda. El sistema de interceptación de comunicaciones (SITEL) requiere una mayor supervisión judicial, pero el marco jurídico se ha endurecido tras la reforma de la Ley de Enjuiciamiento Criminal, que facilita el uso de troyanos y agentes online encubiertos para capturar a supuestos criminales. De nuevo el poder de los Estados: ningún terrorista es capaz de establecer una red de vigilancia como la que destapó Edward Snowden ni sistemas de censura como los que despliega el Partido Comunista de China.

This was written in 2011 https://t.co/WBJ9V11WGR pic.twitter.com/6lPAOvjvDw

— Evgeny Morozov (@evgenymorozov) February 19, 2018

La principal crítica que se puede hacer al libro tiene que ver con el propio título. Quintana empieza explicando que “la actual ciberguerra” quedó inaugurada en 2008 con un asalto al SIPRNet, la red interna de comunicación del ejército estadounidense. Pero más adelante traza una historia de la ciberguerra que comienza en 2003, cuando el Pentágono presenta su primera Estrategia Nacional para la Seguridad del Ciberespacio. En otro momento describe Stuxnet como “la primera arma cibernética”. El “primer ensayo de guerra cibernética”, no obstante, se remonta a la guerra de Vietnam y los sensores electrónicos de la línea McNamara.

Guerra sin armas, armas sin guerra, guerra sin objetivos ni adversarios claros… Quintana podría haber evitado este baile de cifras y conceptos renunciando al confuso término “ciberguerra”. Como señala el experto en ciberseguridad Thomas Rid en un estudio imprescindible, todas las acciones ofensivas en el ciberespacio entran en las categorías de subversión, espionaje o sabotaje, ninguna de las cuales se considera un acto de guerra en términos tradicionales. La nueva doctrina nuclear estadounidense contempla responder con armas atómicas a ciberataques que inhabiliten redes de infraestructura crítica, pero pocos expertos conciben asaltos de esta magnitud que no tengan lugar en el contexto de una guerra declarada. Afirmar que determinado gusano inició “la ciberguerra” sin identificar a los Estados que en ella se enfrentan es como decir que el Barón Rojo inició “la guerra aérea” en 1915 y que el mismo conflicto continua hasta nuestros días.

Con todo, Ciberguerra presenta un resumen accesible y excelente de un ámbito en el que predomina la confusión. Una lectura que continua siendo urgente y debiera ser obligatoria para los nuevos expertos en “desinformación”.