La gente de todo el mundo puede estar preocupada por el aumento de las tensiones nucleares, pero creo que se están perdiendo el hecho de que un ciberataque importante podría ser igual de dañino, y los hackers ya están sentando las bases.
Con la retirada de Estados Unidos y Rusia de un pacto clave sobre armas nucleares, y el comienzo del desarrollo de nuevas armas nucleares, además de las tensiones con Irán y Corea del Norte para probar nuevamente el lanzamiento de misiles, la amenaza global para la civilización es alta. Algunos temen una nueva carrera de armamentos nucleares.
Esa amenaza es grave, pero otra podría ser igual de grave y es menos visible para el público. Hasta ahora, la mayoría de los incidentes de piratería informática conocidos, incluso los que cuentan con el respaldo de gobiernos extranjeros, han hecho poco más que robar datos. Desafortunadamente, hay indicios de que los hackers han colocado softwares maliciosos dentro de los sistemas de energía y agua de Estados Unidos, donde está al acecho, listo para ser activado. El ejército estadounidense también ha penetrado en las computadoras que controlan los sistemas eléctricos rusos.
Como alguien que estudia la ciberseguridad y la guerra de la información, me preocupa que un ciberataque con un impacto generalizado, una intrusión en un área que se propaga a otros o una combinación de muchos ataques más pequeños, pueda causar daños significativos, incluyendo lesiones masivas y muertes que rivalizan con el número de muertes de un arma nuclear.
A diferencia de un arma nuclear, que vaporizaría a la gente a menos de 100 pies y mataría a casi todos en un radio de media milla, el número de víctimas de la mayoría de los ciberataques sería más lento. La gente puede morir por falta de comida, electricidad o gas para calefacción o por accidentes automovilísticos resultantes de un sistema de semáforos hackeado. Esto podría ocurrir en una zona muy extensa, con el resultado de lesiones masivas e incluso muertes.
Esto puede sonar alarmista, pero mira lo que ha estado sucediendo en los últimos años, en Estados Unidos y en todo el mundo.
A principios de 2016, los hackers tomaron el control de una planta de tratamiento de agua potable en Estados Unidos y cambiaron la mezcla química utilizada para purificar el agua. Si se hubieran hecho cambios, y hubieran pasado desapercibidos, esto podría haber conducido a envenenamientos, a un suministro de agua inutilizable y a una falta de agua.
En 2016 y 2017, los hackers cerraron importantes secciones de la red eléctrica de Ucrania. Este ataque fue más leve de lo que podría haber sido, ya que no se destruyó ningún equipo durante el mismo, a pesar de la capacidad de hacerlo. Los oficiales creen que fue diseñado para enviar un mensaje. En 2018, los ciberdelincuentes desconocidos obtuvieron acceso en todo el sistema eléctrico del Reino Unido; en 2019, una incursión similar podría haber penetrado en la red de Estados Unidos.
En agosto de 2017, una planta petroquímica de Arabia Saudita fue atacada por hackers que trataron de volar equipos tomando el control de los mismos tipos de electrónica utilizados en instalaciones industriales de todo tipo en todo el mundo. Apenas unos meses después, los hackers cerraron los sistemas de monitoreo de los oleoductos y gasoductos a través de los EE.UU. Esto causó principalmente problemas logísticos, pero mostró cómo los sistemas de un contratista inseguro podrían causar problemas a los primarios.
El FBI incluso ha advertido que los hackers están atacando instalaciones nucleares. Una instalación nuclear comprometida podría dar lugar a la descarga de material radiactivo, productos químicos o incluso a la fusión de un reactor. Un ciberataque podría causar un evento similar al incidente de Chernobyl. Esa explosión, causada por un error involuntario, causó 50 muertes y la evacuación de 120.000 personas y ha dejado partes de la región inhabitables durante miles de años en el futuro.
Destrucción mutua asegurada
Mi preocupación no es minimizar los efectos devastadores e inmediatos de un ataque nuclear. Más bien, es para señalar que algunas de las protecciones internacionales contra los conflictos nucleares no existen para los ciberataques. Por ejemplo, la idea de “destrucción mutua asegurada” sugiere que ningún país debe lanzar un arma nuclear contra otro país con armas nucleares: El lanzamiento probablemente sería detectado, y la nación objetivo lanzaría sus propias armas en respuesta, destruyendo ambas naciones.
Los atacantes cibernéticos tienen menos inhibiciones. Por un lado, es mucho más fácil disfrazar el origen de una incursión digital que ocultar el lugar desde donde se disparó un misil. Además, la guerra cibernética puede empezar de a poco, apuntando incluso a un solo teléfono o portátil. Los ataques de mayor envergadura podrían dirigirse contra empresas, como bancos u hoteles, o contra una agencia gubernamental. Pero eso no es suficiente para escalar un conflicto a la escala nuclear.
Ciberataques de grado nuclear
Existen tres escenarios básicos sobre cómo podría desarrollarse un ciberataque de grado nuclear. Podría comenzar modestamente, con el servicio de inteligencia de un país robando, borrando o comprometiendo los datos militares de otra nación. Las sucesivas rondas de represalias podrían ampliar el alcance de los ataques y la gravedad de los daños a la vida civil.
En otra situación, una nación o una organización terrorista podría desencadenar un ciberataque masivo y destructivo, dirigido contra varias empresas de electricidad, instalaciones de tratamiento de agua o plantas industriales a la vez, o en combinación entre sí para agravar el daño.
Quizás la posibilidad más preocupante, sin embargo, es que pueda ocurrir por error. En varias ocasiones, los errores humanos y mecánicos casi destruyen el mundo durante la Guerra Fría; algo análogo podría ocurrir en el software y el hardware del reino digital.
Un ciberataque no se lanzaría desde la consola de un operador nuclear, como el que se muestra aquí desde el sitio clausurado de Oscar Zero, sino a través del ciberespacio. Un humano podría no ser necesario.
La defensa contra los desastres
Así como no hay manera de protegerse completamente contra un ataque nuclear, solo hay maneras de hacer que los ciberataques devastadores sean menos probables.
La primera es que los gobiernos, las empresas y las personas comunes necesitan proteger sus sistemas para evitar que los intrusos externos encuentren su camino y luego exploten sus conexiones y acceso para bucear más profundamente.
Los sistemas críticos, como los de los servicios públicos, las compañías de transporte y las empresas que utilizan productos químicos peligrosos, deben ser mucho más seguros. Un análisis encontró que solo una quinta parte de las compañías que usan computadoras para controlar maquinaria industrial en los Estados Unidos incluso monitorean sus equipos para detectar posibles ataques, y que en el 40% de los ataques que sí atraparon, el intruso había estado accediendo al sistema durante más de un año. Otra encuesta reveló que casi las tres cuartas partes de las empresas de energía habían experimentado algún tipo de intrusión en la red el año anterior.
Pero todos esos sistemas no pueden protegerse sin personal experto en ciberseguridad que se encargue del trabajo. En la actualidad, casi una cuarta parte de todos los puestos de trabajo de ciberseguridad en Estados Unidos están vacantes, con más puestos vacantes de los que hay personas para cubrirlos. Un reclutador ha expresado su preocupación por el hecho de que incluso algunos de los puestos que se cubren son ocupados por personas que no están cualificadas para hacerlo. La solución es más capacitación y educación, para enseñar a la gente las habilidades que necesitan para hacer trabajo de ciberseguridad, y para mantener a los trabajadores existentes al día sobre las últimas amenazas y estrategias de defensa.
Si el mundo quiere frenar los grandes ciberataques, incluidos algunos que pueden ser tan perjudiciales como un ataque nuclear, cada persona, cada empresa, cada organismo gubernamental deberá trabajar por su cuenta y de forma conjunta para asegurar los sistemas vitales de los que depende la vida de las personas.