¿Puede un ataque cibernético causar una guerra EEUU-Rusia?

293
Foto tomada el 6 de junio del 2013 de la sede de la Administración de Seguridad Nacional de Estados Unidos, donde está su comando contra ataques cibernéticos, en Fort Meade, Maryland. (Foto AP/Patrick Semansky)

BOSTON (AP) — El presidente estadounidense Joe Biden fue inusualmente tajante al hablar de lo que pasaría si un ataque cibernético se sale de control.

“Si terminamos en una guerra, en una guerra de verdad con una potencia mundial, será a consecuencia de un ataque cibernético de repercusiones graves”, declaró el mandatario en julio a una comisión de funcionarios de inteligencia.

Ahora que las tensiones van en aumento y cunde el temor de una invasión rusa de Ucrania, funcionarios occidentales están advirtiendo sobre la posibilidad de que Rusia lance ciberataques contra países de la OTAN. Si bien nadie está sugiriendo que eso desembocará en una guerra abierta entre países con armas nucleares, el riesgo de una escalada es real.

El peligro radica en que hay incertidumbre en torno a en qué consiste una delimitación digital. Los hackeos, incluyendo los capaces de paralizar una infraestructura con ransomware, han aumentado en año recientes y usualmente quedan impunes. No queda claro cuán grave tendría que ser un ciberataque para llevar a un país a la guerra.

“Las reglas son muy confusas”, explicó Max Smeets, director de la institución de estudios European Cyber Conflict Research Initiative. “No está claro qué se permite y qué no”.

Estados Unidos y otros países de la OTAN han amenazado con imponer severas sanciones a Rusia si invade Ucrania. Pero lo que no se sabe es qué harán si Rusia, es vez de invadir, lanza un potente ciberataque contra la infraestructura esencial ucraniana, como plantas eléctricas, sistemas financieros o redes ferroviarias.

Por otra parte, si Occidente responde duramente a una agresión rusa, Rusia podría responder a la OTAN con un ciberataque de magnitud sin precedente. Un ciberataque contra Estados Unidos seguramente provocaría una respuesta enérgica, pero ¿qué pasa si es un ataque pequeño, o uno contra un miembro de la OTAN en Europa?

Bajo el Artículo 5 del tratado fundacional de la OTAN, una agresión contra un miembro de la alianza es considerada un ataque contra todos sus 30 miembros. Pero lo que no queda claro es qué ocurre si el ataque es cibernético, o cuán grande debe ser para que provoque una respuesta de las potencias dentro de la OTAN con mayor capacidad cibernética, Estados Unidos y Gran Bretaña.

El ciberespacio es un área particularmente desordenada. No hay tratados de control de armas que puedan limitar los hackeos por parte de actores respaldados por un Estado, que en todo caso son difíciles de rastrear a una fuente específica. La tecnología es barata y fácil de conseguir, y los hackers pueden actuar por su cuenta o ser contratados por otros, lo que dificulta aun más la atribución. La proliferación de freelancers y “hacktivistas” complica el cuadro.

En 2015, las potencias mundiales y otros países llegaron a un acuerdo en la ONU sobre 11 reglas de cumplimiento voluntario para regular la actividad digital. Pero las normas son sistemáticamente ignoradas. Moscú ayudó a redactarlas y poco después lanzó un ciberataque contra el sistema eléctrico de Ucrania y emprendió la operación que derivó en la interferencia en la elección presidencial estadounidense de 2016.

Los hackeos hoy en día son parte esencial de la rivalidad entre las grandes potencias. En 2016, la OTAN incluyó formalmente el ciberespacio como uno de los teatros potenciales de guerra, junto con tierra, mar y aire.

En ningún caso ha quedado más clara la militarización del ciberespacio que en los esfuerzos de Rusia por traer a Ucrania de vuelta a su esfera de influencia.

Para Serhii Demediuk, el segundo funcionario de mayor rango en el Consejo de Seguridad de Ucrania, un ciberataque ocurrido el mes pasado fue “parte de una operación rusa con todo, dirigida a desestabilizar la situación en Ucrania, a causar divisiones en la alianza euroatlántica y a tomar el poder por la fuerza”.

El ataque malogró servidores en los departamentos de emergencias y de seguros viales, usando un tipo de ransomware particularmente malicioso. Al final el daño fue mínimo, pero vino con un mensaje plasmado en varios sitios web del gobierno ucraniano: “Tengan miedo y esperen lo peor”.