Donde vienen a hablar los expertos

Nuevas amenazas: el ciberespacio

A menudo se dice que el 11 de septiembre de 2001 fue el día en que todo cambió. Quizás no tanto para nuestra vida cotidiana, pero en el terreno de la seguridad supuso el inicio de una nueva era. Nuestra percepción tradicional de la seguridad se derrumbó junto a las Torres Gemelas. El escenario dominado por la guerra fría durante más de 50 años quedó radical e irreparablemente modificado.

Las amenazas ya no tenían un remitente claro (y estatal). Las fronteras territoriales dejaron de tener sentido, al igual que el dominio militar del espacio y tiempo. El uso de aviones civiles en un atentado terrorista demostró que casi cualquier cosa puede convertirse en un arma, en cualquier momento. De pronto nada parecía imposible o impensable.

Prácticamente se podría decir lo mismo de las amenazas cibernéticas.

En los últimos 20 años la informática ha evolucionado mucho, pasando de ser una herramienta administrativa para optimizar procesos de oficina a un instrumento estratégico para la industria, la administración y las fuerzas armadas. Antes del 11-S los riesgos y retos de seguridad cibernéticos sólo se trataban dentro de pequeños grupos de expertos, pero a partir de esa fecha resultó evidente que el ciberespacio introduce graves vulnerabilidades en unas sociedades cada vez más interdependientes.

Evolución de las ciberamenazas

La red global, inventada hace apenas veinte años, ha evolucionado. Pero también lo han hecho sus amenazas: gusanos y virus que han pasado de ser simples molestias a retos de seguridad importantes, además de instrumentos ideales para el espionaje digital.

Los ataques distribuidos de denegación de servicio (DDOS), que antes se consideraban poco más que una forma de “boicot pacífico” en la red, se han convertido en armas en la guerra informática.

Y, por último, en junio de 2010 se conoció la existencia del virus “Stuxnet”, una especie de “bomba anti búnker digital” contra el programa nuclear iraní. De este modo se han cumplido las predicciones de los expertos que desde 2001 avisaban que antes o después se usaría la dimensión digital para perpetrar atentados importantes con consecuencias mortíferas en el mundo real.

Tras tres semanas de ciberataques masivos quedó claro que las sociedades de los países de la OTAN, tan dependientes de las redes electrónicas, adolecían de una elevada vulnerabilidad digital.

Durante la crisis de Kosovo la OTAN sufrió sus primeros ciberataques graves, que provocaron, entre otras cosas, que su cuenta de correo electrónico resultara inaccesible desde el exterior durante varios días, así como caídas repetidas de su página web.

Con una mentalidad típica de la época, se percibió la dimensión cibernética del conflicto sólo como un obstáculo para la campaña de información de la OTAN. Los ciberataques se consideraban un riesgo real, pero de ámbito y consecuencias limitados, y que sólo requería respuestas técnicas acompañadas de unos pocos esfuerzos de información pública.

Hizo falta el 11-S para cambiar esa percepción. Y hubo que esperar incluso a los incidentes del verano de 2007 en Estonia para que se prestara una atención política plena a esta creciente fuente de amenazas contra la seguridad pública y la estabilidad estatal. Tras tres semanas de ciberataques masivos quedó claro que las sociedades de los países de la OTAN adolecían de una elevada vulnerabilidad digital.

La creciente conciencia sobre la seriedad de las ciberamenazas se fue elevando aún más tras los incidentes de los años siguientes.

En 2008 los sistemas informáticos militares de EEUU sufrieron el ataque más grave lanzado hasta entonces. A partir de una simple memoria USB conectada a un portátil de ejército en una base militar de Oriente Medio, un programa espía se fue propagando sin ser detectado a través de sistemas clasificados y no clasificados. Así fue creando una cabeza de playa digital que le sirvió para transferir miles de archivos de datos a servidores bajo control extranjero.

Desde entonces el ciberespionaje se ha convertido en una amenaza casi permanente. En casi todos los países de la OTAN se han ido produciendo incidentes similares, y lo más grave es que se repitieron los hechos en EEUU. Esta vez se vieron afectadas más de 72 empresas, incluyendo a 22 oficinas gubernamentales y 13 contratistas de defensa.

Todos estos incidentes de los últimos cinco o seis años han significado una transferencia sin precedentes históricos de valiosos secretos nacionales celosamente guardados hacia unos destinatarios desconocidos y muy probablemente perversos.

Stuxnet demostró los posibles riesgos de un software malicioso que afectase a sistemas informáticos críticos que controlan el suministro de energía

Durante el conflicto entre Rusia y Georgia se produjeron ataques masivos contra servidores y páginas web del gobierno georgiano, dando así un significado más real al término “ciberguerra”. Estas acciones no provocaron ningún daño físico, pero debilitaron al gobierno georgiano en una fase crítica del conflicto, además de afectar a su capacidad de comunicar con un público local muy afectado, y con el resto del mundo.

Y, por si estos informes no fueran lo bastante amenazadores, el gusano Stuxnet que apareció en 2010 marcó un nuevo nivel cualitativo en las capacidades destructivas de la ciberguerra. En verano de ese año se extendió la noticia de que unos 45.000 sistemas de control de Siemens de todo el mundo estaban infectados por un troyano específico que podía manipular procesos técnicos esenciales para las centrales nucleares iraníes. Aunque la evaluación de los daños producidos sigue sin estar clara, quedaron demostrados los posibles riesgos de un software malicioso que afectase a sistemas informáticos críticos que controlan el suministro de energía o las redes de tráfico. Por primera vez había evidencias de ciberataques que podían provocar daños físicos y poner en peligro vidas humanas.

Una evaluación equilibrada de amenazas

Estos incidentes pusieron en evidencia dos aspectos:

  • Hasta ahora, los estados siguen siendo los actores más peligrosos en el ciberespacio. A pesar de la creciente disponibilidad de capacidades ofensivas por parte de redes criminales que podrían ser utilizadas en el futuro por actores no estatales como los grupos terroristas, lo cierto es que el espionaje y sabotaje digitales de alto nivel aún necesitan las capacidades, resolución y análisis de la relación coste-beneficio de un estado.
  • Aún no ha habido un acto de ciberterrorismo con daños físicos y efectos materiales, pero la tecnología de los ciberataques está evolucionando claramente desde una simple molestia a una amenaza seria contra la seguridad de la información e incluso contra infraestructuras nacionales esenciales.

No cabe duda de que algunos países están realizando inversiones masivas en capacidades digitales que pueden usarse con fines militares. A primera vista, esta carrera de armamentos digital se basa en una lógica clara e ineludible, puesto que el dominio de la ciberguerra ofrece muchos beneficios: es asimétrica, tentadoramente barata e inicialmente el atacante lleva toda la ventaja.

Además, no existe prácticamente ninguna disuasión eficaz para la ciberguerra, dado que incluso la identificación del atacante resulta extremadamente complicada y, si se sigue rigurosamente la legislación internacional, probablemente casi imposible. En estas circunstancias cualquier tipo de represalia militar resultaría muy problemática, tanto desde el punto de vista legal como político.

También están evolucionando las capacidades de ciberdefensa, y la mayoría de los países occidentales han reforzado enormemente sus defensas en los últimos años

Por otra parte, también están evolucionando las capacidades de ciberdefensa, y la mayoría de los países occidentales han reforzado enormemente sus defensas en los últimos años. Una buena ciberdefensa puede hacer que estas amenazas sean manejables hasta el punto de que los riesgos remanentes resulten aceptables, como ocurre con las amenazas clásicas.

Por eso en vez de hablar de la ciberguerra como si se tratara de una guerra, describiendo los primeros ataques digitales como un “Pearl Harbour digital” o el “11-S del ciberespacio”, sería más adecuado considerar a los ciberataques como un medio más de hacer la guerra. Sus riesgos son muy reales, y van en aumento, pero no existen motivos para el pánico, dado que en el futuro previsible estas amenazas no llegarán a ser ni apocalípticas ni totalmente inmanejables.

Enfrentarse a las amenazas

La OTAN se está adaptando a este nuevo tipo de reto de seguridad.

Un año antes del 11-S la OTAN hizo un importante llamamiento para la mejora de sus “capacidades para defendernos de los ciberataques” dentro del Compromiso de Capacidades de Praga, aprobado en noviembre de 2002. Sin embargo, en los años siguientes la organización se concentró sobre todo en la implementación de las medidas de protección pasiva solicitadas por los militares.

Fueron los sucesos ocurridos en Estonia en la primavera de 2007 lo que movió a la Alianza a replantearse radicalmente la necesidad de una política de ciberdefensa y llevar sus contramedidas a un nuevo nivel. Posteriormente, la OTAN elaboró por primera vez en su historia una “Política sobre ciberdefensa” oficial, aprobada en enero de 2008 y que definía los tres pilares básicos de su política respecto al ciberespacio:

  • Subsidiariedad: la ayuda se proporciona únicamente ante una petición, y en caso de no haberla se aplica el principio de responsabilidad exclusiva de cada país soberano.
  • No duplicación: evitar duplicaciones innecesarias de estructuras o capacidades a nivel internacional, regional y nacional.
  • Seguridad: una cooperación basada en la confianza, teniendo en cuenta lo sensible que puede ser la información de los sistemas a la que se debe ofrecer acceso, y sus posibles vulnerabilidades.

Esto representó un salto cualitativo, que además allanó el camino para la decisión adoptada en Lisboa de mantener la ciberdefensa como un elemento independiente dentro de la agenda de la OTAN.

A partir de sucesos como los de Kosovo en 1999 y Estonia en 2007, y debido a la influencia de los cambios drásticos producidos en la percepción de la amenazas internacionales después del 11 de septiembre de 2001, la OTAN había sentado las bases para la elaboración de una “Ciberdefensa 1.0”: había desarrollado sus primeros mecanismos y capacidades de ciberdefensa y redactado una primera Política sobre Ciberdefensa.

Con las decisiones adoptadas en Lisboa en noviembre de 2010 la OTAN sentó las bases de un análisis propio y objetivo de la cuestión, y de ese modo no sólo está realizando una muy necesaria actualización de estructuras ya existentes, como su Capacidad de Respuesta ante Incidentes Informáticos, sino que también está empezando a enfrentarse de forma conjunta, como Alianza, a unos retos de ciberdefensa muy reales y en pleno desarrollo.

De acuerdo con el nuevo Concepto Estratégico de la Alianza, su recién revisada Política sobre Ciberdefensa define las ciberamenazas como una posible causa de la defensa colectiva de conformidad con el Artículo 5. Además, la nueva Política (y el Plan de Acción para implementarla) ofrecen a los países miembros de la OTAN unas directrices claras y una lista pactada de prioridades sobre cómo impulsar la ciberdefensa de la Alianza, incluyendo una mejor coordinación tanto dentro de la organización como con sus socios.

Cuando las decisiones adoptadas en Lisboa estén completamente implementadas la Alianza habrá desarrollado una “Ciberdefensa 2.0” actualizada, y con ello volverá a demostrar que está a la altura de la tarea.

¿Nuevo en la Revista?
Sobre el autor

El Dr. Olaf Theiler es especialista nacional de la División de Operaciones de la OTAN, dentro del Secretariado Internacional de la organización en su sede de Bruselas (Bélgica). Ha escrito este artículo a título meramente personal.

citas
Comunicado del IRA del 13 de octubre de 1984,
tras el atentado de Brighton contra Margaret Tatcher.
Boletín
Asegúrese de no perderse nada
"Hoy no tuvimos suerte, pero recuerden que sólo necesitamos tenerla una vez.
Ustedes necesitan tener suerte siempre."
SOBRE LA REVISTA
Compartir esto
Facebook
Facebook
Twitter
Twitter
Delicious
Delicious
Google Buzz
Google Buzz
diggIt
Digg It
RSS
RSS
You Tube
You Tube