Joe Biden asumió su cargo en enero tras el ataque a SolarWinds, una penetración sin precedentes y potencialmente desastrosa en los sistemas informáticos del gobierno de Estados Unidos por parte de hackers que se cree que están dirigidos por el servicio de inteligencia ruso, el SVR.
El nuevo presidente estadounidense prometió reforzar las ciberdefensas de la nación contra los enemigos extranjeros. Como si se tratara de una señal, los hackers atacaron con dos grandes ataques de ransomware, cerrando el Colonial Pipeline (Oleoducto Colonial), que suministra unos 100 millones de galones de gas al día al sureste de Estados Unidos, y deteniendo la producción en todas las instalaciones estadounidenses del mayor productor de carne de vacuno del mundo, la empresa brasileña JBS. Los sucesos pusieron de manifiesto la inmensa vulnerabilidad de una economía basada en Internet, de un billón de dólares, para la que la seguridad es una idea tardía.
La mayoría de los estadounidenses parecen asumir que un ciberataque, incluso por parte de un adversario declarado como Rusia o Irán, sería respondido de la misma manera, es decir, que Estados Unidos provocaría un molesto apagón o un breve fallo de Internet. Pero expertos y ex funcionarios de inteligencia y ciberseguridad dicen que los hackers vinculados a Rusia han lanzado ciberataques contra Estados Unidos que se han acercado aterradoramente a la línea roja: una incursión digital que provocaría una respuesta mortal en la vida real.
Mientras Estados Unidos sigue siendo vulnerable a los ataques de ransomware de grupos oscuros que se cree que operan desde Rusia u otros países del antiguo bloque soviético, quienes tienen experiencia en asesorar a la Casa Blanca sobre los desafíos de la región instan a Biden a aprovechar la oportunidad para enviar un mensaje.
“Lo que quiero es que Biden explique muy claramente cuál es el riesgo para Vladimir Putin, que no vamos a retroceder si nos ataca Rusia”, dice Evelyn Farkas, que fue subsecretaria adjunta de Defensa para Rusia, Ucrania y Eurasia, “y que vamos a ser nosotros los que decidamos lo que es un ‘Pearl Harbor’ cibernético, lo que significa que Rusia no controla la dinámica de escalada”.
Al menos los dirigentes japoneses sabían que bombardear Pearl Harbor provocaría inevitablemente una respuesta militar. No está claro que Rusia o los cibermilitantes que operan dentro de sus fronteras tengan ahora esa conciencia. Una guerra a tiros entre Rusia y Estados Unidos, evitada durante más de medio siglo, solo dejaría perdedores. Pero la guerra cibernética es tan nueva que no hay un consenso acordado y ampliamente entendido, como se estableció durante la Guerra Fría con el uso de armas tradicionales de destrucción masiva. (Piense: Crisis de los misiles en Cuba. Después de esa casi catástrofe, los dos bandos han jugado a lo seguro).
La falta de claridad -de un algoritmo compartido para la escalada- es una yesca que podría convertirse fácilmente en un fuego mortal. En resumen, existe un peligro creciente de una respuesta mucho más devastadora que el corte temporal de Internet o la pérdida de crédito o el horario de trenes confuso que los estadounidenses podrían pensar que sería el peor de los casos.
El presidente ruso Vladimir Putin no dirige directamente a los hackers que se han infiltrado recientemente en redes gubernamentales de alto nivel y han paralizado infraestructuras críticas. Los servicios de inteligencia de Estados Unidos creen que los agentes digitales que están detrás de esos ataques trabajan con la bendición del presidente ruso, pero se mantienen a distancia, para dar a Moscú una negación plausible. Es parte de un patrón familiar: Los grupos afiliados a Rusia han acosado durante mucho tiempo a empresas y agencias gubernamentales estadounidenses e incluso han contribuido a decantar las elecciones de 2016 a favor de Donald Trump. El gobierno de Biden no ha acusado directamente al Kremlin de patrocinar estos ataques, pero culpa a los rusos de permitir que esa actividad continúe.
Los recientes ataques parecen marcar una intensificación. Tienden a centrarse más en infraestructuras físicas como alimentos, oleoductos y gasoductos, y hospitales, de los que los estadounidenses dependen cada día para su salud y bienestar económico. Esta tendencia preocupa a los analistas de seguridad nacional. Una cosa es hacer que los estadounidenses hagan cola en el surtidor de gasolina o golpear a los hospitales con facturas de rescate que aumentan el coste de la atención sanitaria. Otra cosa es causar un daño económico real e incluso la pérdida de vidas. Y sin embargo, los hackers parecen estar coqueteando con cruzar lo que los expertos en seguridad nacional dicen que es una “línea roja”.
La línea roja ocupó un lugar destacado en la agenda de las conversaciones del 16 de junio entre Biden y Vladimir Putin. Biden entregó al presidente ruso una lista de objetivos prohibidos sobre los que un ciberataque podría considerarse un acto de guerra que exige represalias. Aunque no está claro dónde está esa línea roja -la Casa Blanca no ha hecho pública la lista-, no es difícil imaginar lo fácil que sería para los piratas informáticos que actúan con cierto grado de autonomía respecto a Moscú, y que no responden directamente de las consecuencias de sus acciones, cruzarla. Por ejemplo, se ha convertido en un tópico en los círculos de ciberseguridad que los piratas informáticos que trabajan con el apoyo de países como Rusia y China pueden tener la capacidad de provocar el cierre de una gran franja de la red eléctrica de Estados Unidos, lo que podría matar a millones de personas.
En otras palabras, el próximo gran ciberataque podría desencadenar una guerra con Rusia, y no del tipo virtual, sino una que implique tropas, tanques, misiles, portaaviones y posiblemente armas nucleares. “Si un Estado adversario pusiera el pie en nuestro territorio y destruyera físicamente nuestras infraestructuras, lo consideraríamos un acto de guerra”, declaró a Newsweek Brian Harrell, ex director adjunto de Seguridad de Infraestructuras de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA).
Los hackers afiliados a Rusia aún no han cruzado la línea roja, por supuesto. Pero se han acercado lo suficiente como para que los expertos en seguridad nacional se pregunten hacia dónde podría dirigirse el creciente rastro de destrucción, y cuánto control tiene realmente el Kremlin sobre los hackers que cumplen sus órdenes.
Tabla de contenidos
Trazando la línea
Aunque la situación pueda parecer relativamente tranquila en la superficie, los hackers ponen a prueba los límites casi a diario. En febrero, un grupo de hackers aún no revelado logró tomar el control de un centro de tratamiento de agua en Oldsmar, Florida. Aumentó los niveles de hidróxido de sodio, un producto químico altamente cáustico también conocido como lejía, de las seguras 100 partes por millón a las peligrosas 11.100 ppm. Los operarios se dieron cuenta del cambio y actuaron rápidamente para reducir los niveles antes de que se produjera ningún daño.
“La línea roja cibernética -creo que todo el mundo lo tiene bastante claro- es la pérdida de vidas”, dijo a Newsweek William Hurd, un ex oficial clandestino de la CIA que sirvió en el Congreso como representante de Texas desde 2015 hasta este enero. Dijo que el incidente en Florida podría haber provocado una “respuesta cinética” -en otras palabras, una acción militar- si se hubieran perdido vidas estadounidenses.
Los conflictos se desarrollan cada vez con mayor velocidad y saña en algunas de las infraestructuras energéticas, hídricas, bancarias y otras esenciales del país. Los expertos en cibernética afirman que la gran mayoría de estos incidentes nunca se hacen públicos. Las empresas privadas, que son notoriamente reacias a confesar que han sido hackeadas, poseen y operan más del 85% de las infraestructuras críticas, según Harrell.
“Nuestros sectores de infraestructuras críticas son el campo de batalla moderno y el ciberespacio es el gran ecualizador”, afirma. “Los grupos de hackers pueden atacar esencialmente con poca atribución individual y prácticamente sin consecuencias. Preveo que en el futuro habrá más ataques centrados en la energía, el agua y los servicios financieros”.
En 2018, la administración Trump creó la CISA dentro del Departamento de Seguridad Nacional. Pero incluso los ciberpolicías se ven obstaculizados por la falta de información. Los operadores privados son reacios a informar de las transgresiones y a menudo pagan silenciosamente el rescate para que sus sistemas vuelvan a estar en línea con el menor alboroto -y publicidad- posible.
No está del todo claro cuál sería la respuesta adecuada a un ciberataque que cruza la línea roja. “Se trata de unos y ceros y de malware frente a ojivas de un megatón en Titanes y en B-1. ¿Cómo se hace esa comparación para poder decidir las respuestas proporcionales?”, dice Doug Wise, que sirvió en la CIA como miembro del Servicio Superior de Inteligencia y fue subdirector de la Agencia de Inteligencia de Defensa. “Esa es la gracia de estos ciberataques, porque nos cuesta mucho intentar comparar el mecanismo de ataque con el mecanismo de ataque cinético, sobre todo, estratégico con el estratégico”.
Y luego está la cuestión de contra quién tomar represalias. Aunque los expertos en inteligencia son bastante hábiles para rastrear las huellas digitales de un ataque hasta su origen, las pruebas son casi siempre muy técnicas y mucho menos persuasivas para los aliados militares y el público en general que, por ejemplo, las de un bombardeo o un ejército invasor. Cualquier decisión de tomar represalias corre el riesgo de parecer ante todo el mundo una agresión no provocada. Los rusos son muy hábiles a la hora de confundir la atribución, lo que dificulta la justificación de una respuesta proporcional, por no hablar de una escalada.
El problema de la atribución complica la cuestión de dónde trazar la línea. Algunos expertos creen que esto dificultaría las represalias más de lo que lo haría un ataque convencional. “Se necesitaría un ciberataque significativo contra la infraestructura de aviación, la infraestructura de energía, la distribución de agua y la infraestructura de transporte”, dijo Wise. “Creo que se necesitarían probablemente dos o tres ataques simultáneos contra estos objetivos, junto con una clara atribución. La cuestión de la atribución es siempre el escollo”.
Ciberdiplomacia
Aun así, es un error asumir que la dificultad de atribuir un ciberataque es un seguro contra una represalia precipitada. El elemento de incertidumbre que el problema de la atribución añade a los asuntos internacionales también podría ser desestabilizador. Así como es difícil atribuir un ataque a un agresor, también es fácil atribuir erróneamente un ataque a un adversario, especialmente a uno que, como Rusia, es una espina constante en el costado de Estados Unidos, y del que los estadounidenses están preparados para esperar una agresión.
Dadas las crecientes tensiones entre Estados Unidos y Rusia, no es descabellado pensar que un tercero podría lanzar un ciberataque contra Estados Unidos y hacerlo parecer como si procediera de Rusia. Incluso si los funcionarios de inteligencia de Estados Unidos fueran lo suficientemente inteligentes como para descubrir tal artimaña, la mera apariencia de agresión podría proporcionar un pretexto conveniente para la guerra. Después de todo, Irak no tuvo nada que ver con los atentados del 11 de septiembre de 2001, pero eso no impidió que la administración de George W. Bush los utilizara como justificación para su desastrosa invasión de Irak en 2003.
Los ataques militares masivos que inician las guerras están grabados en la psique estadounidense. Los aviones japoneses que bombardearon la base militar estadounidense de Pearl Harbor, en Hawai, el 7 de diciembre de 1941, precipitaron la entrada de Estados Unidos en la Segunda Guerra Mundial. Los aviones de pasajeros secuestrados que se estrellaron contra las Torres Gemelas el 11 de septiembre de 2001 desencadenaron una invasión estadounidense de Afganistán que acaba de terminar. La crisis de los misiles en Cuba de 1962 sentó un precedente de política de riesgo entre Estados Unidos y Rusia. “Estuvimos a punto de llegar a una guerra nuclear”, dijo a Newsweek Raj Shah, presidente de la empresa de seguros de ciberseguridad Resilience.
La posibilidad de que los ciberataques desemboquen en una guerra a gran escala es algo comúnmente aceptado en los círculos diplomáticos. Los miembros de la OTAN, en una declaración conjunta del 14 de junio, acordaron que “el impacto de las actividades cibernéticas acumulativas maliciosas significativas podría, en ciertas circunstancias, considerarse como un ataque armado”. La declaración también decía que la OTAN intensificaría su enfoque en el ámbito cibernético, incluyendo “compartir las preocupaciones sobre las actividades cibernéticas maliciosas, e intercambiar enfoques y respuestas nacionales, así como considerar posibles respuestas colectivas”.
“Si es necesario, impondremos costes a quienes nos perjudiquen”, añade la declaración. “Nuestra respuesta no tiene por qué limitarse al ámbito cibernético”.
La alianza también confirmó que estaba abierta a considerar los ciberataques al mismo nivel que las operaciones militares convencionales. “Reafirmamos que la decisión sobre cuándo un ciberataque daría lugar a la invocación del artículo 5 sería tomada por el Consejo del Atlántico Norte caso por caso”.
La perspectiva de un ataque “físico” en respuesta a ciberataques ya tiene un precedente en la vida real. Estados Unidos atacó las capacidades cibernéticas del grupo militante Estado Islámico (ISIS) con un ataque aéreo en agosto de 2015 que mató al hacker jihadista Junaid Hussain en la capital de facto del califato, Raqqa, Siria.
Uno de los primeros ejemplos públicamente reconocidos de una reacción inmediata y cinética se produjo casi cuatro años después en otro lugar de Oriente Medio. En mayo de 2019, las Fuerzas de Defensa de Israel informaron de que “frustraron un intento de ciberofensiva de Hamás contra objetivos israelíes” al realizar un ataque aéreo contra un supuesto cuartel general en la Franja de Gaza controlada por los palestinos. Las fuerzas israelíes también atacaron estaciones cibernéticas de Hamás durante el enfrentamiento de 11 días del mes pasado con Hamás y las facciones palestinas aliadas en Gaza. Aunque las repercusiones de ambas operaciones fueron relativamente contenidas, sigue siendo incierto cómo se desarrollaría una respuesta de este tipo a nivel de Estado contra Estado.
Jugando a la defensiva
Estados Unidos y sus aliados ya están tomando medidas para evitar los ciberataques de grupos afiliados a Rusia. El Mando Cibernético de Estados Unidos está colaborando con sus aliados para poner en común sus conocimientos e información sobre las actividades de Rusia y otros adversarios cibernéticos, en lo que un portavoz denominó operaciones de caza. Estas operaciones son una parte de nuestra estrategia de “defensa avanzada”, en la que vemos lo que hacen nuestros adversarios y lo compartimos con nuestros socios en el país para reforzar la defensa”, dijo el portavoz a Newsweek.
En una de estas misiones dirigidas a las supuestas actividades cibernéticas de Rusia, las fuerzas estadounidenses “descubrieron y revelaron un nuevo malware asociado al incidente de SolarWinds, y luego proporcionaron una mitigación clave del malware, atribuida al Servicio de Inteligencia Exterior de Rusia”, dijo el portavoz del Mando Cibernético de Estados Unidos. El departamento comparte gran parte de su inteligencia con agencias federales y empresas privadas en un esfuerzo por prevenir ataques exitosos.
Biden ha aludido a las represalias contra Rusia por los ciberataques, pero Estados Unidos no ha dicho qué medidas va a tomar. Tal y como afirmaba el comunicado conjunto de la OTAN, la administración Biden ha considerado una serie de opciones en respuesta a los grandes ciberataques.
“La forma en que he caracterizado sistemáticamente nuestra respuesta cuando se trata de SolarWinds y de otros ciberataques de ese alcance y escala es que estamos preparados para tomar acciones de respuesta que se ven y no se ven”, dijo el asesor de seguridad nacional de la Casa Blanca Jake Sullivan a los periodistas el domingo, “y lo dejaré así”.
Incluso estas vagas declaraciones han suscitado preocupación entre los funcionarios rusos. “Lo que la gente puede temer en Estados Unidos”, dijo Putin a NBC News, “lo mismo puede ser un peligro para nosotros”. Estados Unidos es un país de alta tecnología, la OTAN ha declarado el ciberespacio como zona de combate.
Tras la cumbre, Putin afirmó que la “mayoría” de los ciberataques proceden de Estados Unidos y sus aliados.
Evitar una guerra involuntaria
Una de las razones por las que la ciberseguridad figuraba en la agenda de Biden y Putin es evitar una guerra involuntaria. Tanto Estados Unidos como Rusia han afirmado su derecho a realizar operaciones cibernéticas de forma ofensiva y defensiva. Sin acuerdos internacionales, no está claro qué comportamiento es aceptable y cuál no.
“No podemos permitir que esto siga escalando”, dice Shawn Henry, presidente y director de seguridad de la empresa de ciberseguridad CrowdStrike. “Es la razón exacta por la que tuvimos conversaciones sobre armas nucleares, porque nos dimos cuenta de que las cosas no podían seguir escalando, no podían salirse de control. No podríamos preocuparnos de que un adversario lanzara un arma por error porque sabemos cuál sería la respuesta”.
Henry, antiguo director adjunto ejecutivo del FBI, dice que el diálogo está atrasado. “Nos devuelve a ese punto exacto de la conversación en el que los estados-nación necesitan sentarse y definir cuáles son las líneas rojas y cuáles van a ser las respuestas, para que no haya malentendidos”.
Perspectivas de un tratado
A juzgar por su retórica, Putin parece dispuesto a llegar a un acuerdo para frenar los líos de una ciberguerra. En septiembre, afirmó que “uno de los principales retos estratégicos actuales es el riesgo de una confrontación a gran escala en el ámbito digital”, según la embajada rusa en Washington.
Putin quiere establecer una comunicación de alto nivel entre Washington y Moscú sobre la “seguridad de la información internacional”, utilizando las agencias existentes que se ocupan de la preparación nuclear e informática. También es partidario de establecer nuevas normas en la línea de los acuerdos entre Estados Unidos y la Unión Soviética para evitar incidentes marítimos y las “garantías mutuas de no intervención en los asuntos internos del otro”.
En una referencia a las armas nucleares que dominaron el discurso de la Guerra Fría sobre el control de armas, Putin también busca un acuerdo global sobre las normas de “no primer ataque” en relación con los ciberataques contra los sistemas de comunicaciones, dijo la embajada.
Sullivan dijo a los periodistas que las conversaciones nucleares seguían siendo el “punto de partida” para las discusiones bilaterales con Rusia sobre cibernética: “Si se añaden elementos adicionales a las conversaciones sobre estabilidad estratégica en el ámbito del espacio o de la cibernética u otras áreas, es algo que se determinará a medida que avancemos”. De hecho, la declaración conjunta sobre “estabilidad estratégica” publicada por ambas partes tras la reunión se ciñó estrictamente a las armas nucleares, sin referencias a las ciberarmas.
Aun así, las conversaciones lograron algunos avances en materia de ciberguerra. Aunque el gobierno de Biden no ha establecido ninguna relación directa entre el reciente ataque de ransomware y el Kremlin, los funcionarios estadounidenses han pedido a Rusia que responsabilice a los hackers dentro de sus fronteras de cualquier ataque que se origine en ellas. Putin dijo durante una entrevista con el canal Rossiya-1 que aceptaría la extradición de los ciberdelincuentes detenidos en Rusia si Estados Unidos hace lo mismo; Biden ha prometido corresponder en caso de que tales ataques se lancen desde suelo estadounidense.
En cierto modo, la cumbre Biden-Putin envía una señal de que la ciberguerra ha ocupado su lugar junto a otras tecnologías militares como parte aceptada del arsenal de una nación, y que requiere acuerdos internacionales para mantenerse a raya. También subraya la importancia crucial de la tecnología de la información para la defensa nacional.
“Los dominios de la competencia, ya no son estrictamente militares”, dice Mike Madsen, director de compromiso estratégico de la Unidad de Innovación de Defensa del Pentágono. “Es económico, es social, son todas estas cosas diferentes. Hablamos de la superioridad y la supremacía aéreas, y llegará un día en que habrá conceptos de cibercuriosidad y ciberpremacía en un ámbito de competencia”.
“En esta época de competencia entre grandes potencias”, dice, “la carrera tecnológica es el frente más importante”.