La ansiedad por los peligros inherentes a las armas nucleares fue la característica que definió la era de la Guerra Fría. En el lado negativo, todo el periodo se caracterizó por un agudo temor a que la tensión entre las superpotencias desembocara en un intercambio nuclear, a que la preocupación por la seguridad existencial impulsara a decenas de estados adicionales a adquirir armas nucleares y, quizás lo peor de todo, a que los terroristas pudieran hacerse con armas nucleares. Afortunadamente, ninguna de estas temibles perspectivas se materializó. Las armas nucleares nunca se utilizaron, ni muchos otros estados adquirieron armas nucleares. Y el temor ampliamente discutido sobre la búsqueda de armas nucleares por parte de los terroristas también fue en gran medida infundado.
Sin embargo, durante la Guerra Fría se produjeron una serie de terroríficas crisis nucleares, así como una agresiva carrera armamentística que llevó a Estados Unidos y a los soviéticos a construir arsenales nucleares inimaginablemente enormes. En el lado positivo, sin embargo, la posesión de armas nucleares acabó desempeñando un papel indispensable para disuadir a las potencias nucleares de luchar directamente contra otros Estados con armas nucleares, y la provisión de garantías de seguridad ampliadas con respaldo nuclear resultó indispensable para frenar la proliferación nuclear por parte de aquellos estados no nucleares que se enfrentaban a riesgos existenciales.
Con el fin de la Guerra Fría, el papel de las armas nucleares para salvaguardar la seguridad comenzó a disminuir, junto con una drástica reducción de la mayoría de los arsenales nucleares, así como de su nivel de preparación. Sin embargo, este proceso no produjo los esperados dividendos de la paz, y mucho menos la tan cacareada búsqueda del desarme nuclear universal, o global cero. Además, las rivalidades y los conflictos se han trasladado a otros ámbitos, sobre todo el convencional, el cibernético y el espacial. El ciberespacio, en particular, ha ascendido gradualmente a un papel que recuerda en cierta medida al de las armas nucleares durante la Guerra Fría, convirtiéndose en una moneda importante de las relaciones internacionales, un instrumento de la política estatal y una fuente de fricción. Sin embargo, hay tres diferencias notables.
En primer lugar, a diferencia de las armas nucleares, que no se han utilizado en combate desde la Segunda Guerra Mundial, al menos algunas formas de ciberataques se han convertido en una parte normal de la vida, incluso en tiempos de paz. En segundo lugar, las armas cibernéticas han proliferado a lo largo y ancho, no sólo entre los Estados-nación y sus apoderados, sino también entre numerosas entidades criminales. Y en tercer lugar, las armas cibernéticas se han establecido como una potente herramienta coercitiva que puede producir efectos mucho más diversos, que van desde el espacio físico, pasando por el mundo digital, hasta el ámbito cognitivo.
Sin embargo, como la reciente crisis de Ucrania y las actuales sagas nucleares con Corea del Norte e Irán han dejado muy claro, las armas nucleares no han desaparecido. En todo caso, ahora están resurgiendo en relevancia y protagonismo, lo que se manifiesta en los ambiciosos programas de modernización que se están llevando a cabo en todos los principales arsenales nucleares, que es donde el ascenso de las armas cibernéticas se cruza con la agenda de seguridad nuclear. Una perspectiva especialmente ominosa asociada a los avances en el ámbito cibernético ha sido la aparición de las ciberarmas como amenaza para las operaciones nucleares en los tres niveles: físico, digital y cognitivo.
Las armas cibernéticas podrían interrumpir o degradar el rendimiento de los sistemas físicos auxiliares asociados a la infraestructura de las armas nucleares (como el suministro de energía o los satélites de alerta temprana) o socavar el funcionamiento de las funciones centrales de mando y control nuclear a todos los niveles de jerarquía, afectando a la capacidad de comunicación a través de la cadena de mando, de mantener controles positivos sobre un arsenal nuclear y de llevar a cabo misiones nucleares de forma segura y fiable. Y las armas cibernéticas podrían afectar seriamente al conocimiento de la situación que sustenta la toma de decisiones nucleares, especialmente en una crisis. Y lo más alarmante es que las ciberarmas podrían producir estos efectos de forma no intencionada, incluso en contra de los deseos de los autores de un ataque. Hay varias razones por las que esto es mucho más que una perspectiva teórica.
Para empezar, debemos reconocer que existe un poderoso incentivo para que quienes se sientan amenazados por las armas nucleares de un adversario adquieran un claro conocimiento de su papel, operaciones, despliegue, planes y preparación, lo que a su vez crea un fuerte impulso para husmear clandestinamente en los secretos de este establecimiento empleando tanto medios humanos como técnicos. Naturalmente, las cualidades únicas de las capacidades cibernéticas las hacen especialmente atractivas para este propósito. Y al igual que con otras formas de espionaje, no hay normas que prohíban tales acciones. Sin embargo, las ciberintrusiones son intrínsecamente de doble capacidad -pueden exfiltrar información pero también afectar al rendimiento de los sistemas- y, por tanto, podrían producir efectos no deseados, especialmente si las intrusiones son descubiertas e interpretadas por el bando defensor como de naturaleza más siniestra. Nunca se puede confiar en que la otra parte renuncie por completo a un primer ataque de desarme o al menos de debilitamiento contra las fuerzas nucleares de su adversario, especialmente sus medios de lanzamiento. La tentación de emplear armas cibernéticas con este fin sería especialmente grande si se pudiera suponer que un ataque de este tipo podría llevarse a cabo de forma eficaz, evitando la necesidad de contemplar medios mucho más arriesgados (convencionales y especialmente nucleares) para llevar a cabo esta tarea.
La naturaleza altamente secreta de todos los establecimientos de armas nucleares también implica que tal escenario podría desarrollarse no sólo cuando el establecimiento de armas nucleares sea el objetivo previsto de una intrusión, sino también cuando las operaciones ofensivas de ciberinteligencia dirigidas a otros activos afecten involuntariamente a los activos y funciones nucleares. La fusión de algunos activos nucleares y convencionales -como las arquitecturas de alerta temprana y de mando y control- aumenta aún más las probabilidades de que se produzcan tales acontecimientos desestabilizadores. La compartimentación extremadamente estrecha entre los establecimientos de armas nucleares y los cibernéticos ofensivos empeora aún más las cosas, ya que los operadores cibernéticos, e incluso sus responsables políticos, carecerán normalmente del conocimiento íntimo necesario para discernir cuándo las operaciones cibernéticas podrían resultar especialmente arriesgadas o ser interpretadas razonablemente como tales por un adversario.
Tal vez lo más inquietante sea que la mera complejidad de algunas arquitecturas de mando y control, así como su composición típica de elementos nuevos y heredados, hace que sea intrínsecamente difícil rastrear y comprender de forma consistente el perímetro, por no hablar del cableado de la arquitectura, y, en consecuencia, mucho más difícil mantener su endurecimiento contra las intrusiones cibernéticas. Esto crea oportunidades para aquellos que desean intruducir la infraestructura y asegura una ansiedad constante en el extremo receptor sobre su susceptibilidad a tal escenario.
Por último, es necesario considerar un escenario en el que un tercero lleve a cabo una operación cibernética de “falsa bandera” contra una arquitectura de mando y control nuclear con el objetivo de enfrentar a otras partes. Ya hemos sido testigos de ciberataques de “falsa bandera” contra objetivos no nucleares. Por lo tanto, parece totalmente plausible que un escenario así pueda ocurrir también en el ámbito nuclear, aunque sus consecuencias podrían ser mucho más graves.
Más allá de la amenaza que las armas cibernéticas suponen para las armas nucleares, también debemos considerar las posibles consecuencias de los ciberataques contra las instalaciones nucleares civiles. El reciente conflicto en Ucrania ha ilustrado una vez más los graves riesgos inherentes a la interferencia en el funcionamiento normal de las instalaciones nucleares en tiempos de hostilidades militares. Estos riesgos no se refieren únicamente a las centrales nucleares operativas y conectadas a la red, sino que también se extienden a las instalaciones de almacenamiento de combustible nuclear gastado. El funcionamiento seguro de estas instalaciones depende de la supervisión constante de su rendimiento, tanto in situ como a distancia, así como de la capacidad de intervenir rápidamente cuando se detecten irregularidades operativas graves para evitar que se produzca un accidente nuclear y mitigar las consecuencias si se produce. La interrupción, por medios cibernéticos o de otro tipo, de la capacidad de supervisar la situación en estas instalaciones y aplicar rápidamente medidas correctoras corre el grave riesgo no sólo de desencadenar una pérdida prolongada de energía y grandes daños medioambientales, sino también de producir impactos potencialmente mortales a escala masiva.
Un punto de partida natural para abordar los riesgos inherentes al nexo ciber-nuclear es reconocer su existencia y reflexionar sobre sus probables consecuencias. Sin embargo, esto es mucho más fácil de decir que de hacer, ya que tal reconocimiento probablemente encontraría una gran resistencia debido a que atraería mucha atención negativa a problemas que se manejan mejor en secreto y que no se prestan a soluciones rápidas. Además, algunas de las opciones para hacer frente a estos riesgos no sólo serían costosas y requerirían mucho tiempo, sino que también implicarían dolorosas compensaciones operativas y políticas.
Éstas van desde medidas unilaterales que suponen riesgos para las operaciones cibernéticas o las socavan -como la disminución de la compartimentación entre operadores cibernéticos y nucleares o la ampliación del escrutinio político de las operaciones cibernéticas sensibles, así como las formulaciones políticas declaratorias- hasta acuerdos bilaterales o multilaterales desagradables. En resumen, aunque todas estas opciones merecen ser consideradas seriamente, ninguna se presenta como adecuada para una aplicación inmediata y directa. Así pues, siendo realistas, el mundo podría tener que esperar a que una situación de peligro real sacuda a las partes implicadas y las motive a superar la reticencia institucional y política para contemplar seriamente las medidas necesarias para hacer frente a estos peligros de una forma que parecería inconcebible de antemano.