En medio de nuestra primera ciberguerra global, multilateral y totalmente impredecible, depende de cada uno de nosotros defendernos. Ninguna agencia de inteligencia está segura de cómo evolucionará la dimensión cibernética del conflicto de Ucrania; ningún ejército puede detener un ciberataque. La situación catapulta a todas las organizaciones digitales a un territorio desconocido.  

Si uno cree que las batallas libradas en el aire, la tierra y el mar hasta ahora han desafiado cualquier expectativa, tendrá que fijarse en el conflicto cibernético paralelo. Tres verdades hacen que éste sea un momento peligroso para todos nosotros, especialmente porque los reveses logísticos del ejército ruso pueden hacer más atractiva la agresión cibernética contra intereses privados.

Primera verdad: en la esfera digital, los presidentes y los generales no siempre tienen el control. Algunos ciberguerreros son mercenarios independientes que persiguen sus propios objetivos. El gobierno ucraniano reclutó adeptos digitales en todo el mundo a través de Telegram y les proporcionó una especie de manual del caos: «Estamos creando un ejército informático», tuiteó el ministro ucraniano de Transformación Digital, Mykhailo Fedorov. «Necesitamos talentos digitales… Seguimos luchando en el frente cibernético».  285.000 ciberguerreros simpatizantes se pusieron en marcha, según la periodista de Kiev Anastasiia Lapatina. «Decenas de sitios web de importancia estratégica han sido derribados, incluido el del Banco Nacional de Bielorrusia».   Además, el enigmático grupo de piratas informáticos Anonymous declaró estar «oficialmente en guerra cibernética contra el gobierno ruso», y se atribuyó el cierre del sitio web del Kremlin y la interferencia de los canales de difusión oficiales rusos. 

Pero el malware también ha asediado los sitios web y los ordenadores ucranianos, probablemente lanzados por agentes estatales rusos o sus apoderados.

La inestabilidad inherente a este tipo de guerra asimétrica en varios frentes supone un grave riesgo para los intereses privados, por muy distantes geográficamente, reacios o poco dispuestos que estén a convertirse en combatientes. Para corroborar este punto, British Airways canceló todas sus operaciones de corta distancia el 26 de febrero debido a un misterioso y catastrófico fallo informático, justo cuando Aeroflot, la aerolínea de bandera rusa, se quedaba fuera de prácticamente todos los mercados europeos. El 28 de febrero, Toyota detuvo la producción de vehículos en todo Japón porque las comunicaciones de los proveedores fueron víctimas de un «fallo del sistema» que se sospecha que fue causado por un ciberataque. «Esto nunca había ocurrido antes», dijo Tomohiro Takayama, del proveedor de Toyota, Kojima Industries. 

Las organizaciones vulnerables no pueden apelar a sus gobiernos para que las aíslen de este tipo de contragolpe cibernético, incluso si sólo son objetivos involuntarios. Esa capacidad de blindaje a nivel de Estado-nación o no existe o está muy bien disimulada hasta ahora.

Segunda verdad dura: determinar la culpa de un ciberataque es casi siempre un asunto dudoso. Incluso los ataques «rutinarios» vienen acompañados de pistas falsas entre las líneas de código que complican las represalias. Esta incapacidad típica para identificar positivamente a un culpable ha servido, hasta ahora, de freno a los impulsivos ataques de venganza. (El hecho de que Anonymous sea tan difícil de identificar presenta una oportunidad para las operaciones rusas de falsa bandera. Rusia podría autoinfligirse daños cibernéticos, culpar a Anonymous y crear un nuevo pretexto para nuevas acciones ofensivas). Un contraataque de represalia podría llegar de forma inesperada y causar estragos imprevistos.

Las organizaciones que contemplan contraofensivas privadas en el ciberespacio deben pensar dos veces en los posibles efectos de incendio. Los modelos gubernamentales de escenarios de escalada son aterradores. Los resultados van desde la interrupción de los sistemas de agua potable hasta la inutilización de redes eléctricas, oleoductos y refinerías.

Tercera verdad dolorosa: las ciberdefensas actuales son un híbrido fragmentado de iniciativas públicas y privadas. Los bancos, los sistemas de salud y las empresas energéticas no mantienen ejércitos privados, ni tienen tanques, ni lanzan bombas. En el ciberespacio, sin embargo, las organizaciones privadas deben hacer sus propias inversiones en medidas defensivas, y mantenerlas actualizadas. En caso de ciberataques a gran escala, rara vez son informados por los gobiernos.

En este turbio e inestable escenario bélico, la seguridad de las instituciones democráticas y los sistemas sociales occidentales depende no sólo del arte de gobernar o del poderío militar, sino de las decisiones de innumerables organizaciones privadas. La debilidad es contagiosa; una organización que no se protege a sí misma ofrece un vector para que los hackers maliciosos (black hat hackers) se aprovechen de otros.

Sin embargo, muchos parecen no haber recibido el memorándum. Una inquietante encuesta realizada por Vectra AI descubrió que el 80% de los equipos de seguridad de las empresas creían tener una visibilidad «buena» o «muy buena» de los ataques que penetran en los cortafuegos, aunque los costes de la ciberdelincuencia se estiman en 6 billones de dólares en 2021 y estaban aumentando incluso antes de la crisis de Ucrania. Prácticamente todas las víctimas de ciberataques corporativos creían que contaban con defensas sólidas.

Estos días difíciles deberían apagar los últimos destellos de esa complacencia. El conflicto de Ucrania nos enseña a invertir en la preparación cibernética, no en la gestión de crisis a posteriori. Todas las organizaciones deben revisar su tolerancia al riesgo cibernético y sus planes de continuidad del negocio en caso de que los problemas cibernéticos interrumpan el funcionamiento del mundo real.

Las defensas cibernéticas centradas en la protección de los perímetros de las redes corporativas se ven cada vez más superadas por los ciberataques modernos, especialmente en estos días de trabajadores remotos con sistemas domésticos inseguros y almacenamiento de datos en la nube. La detección y reparación rápidas posibilitadas por la IA ofrecen una estrategia de seguridad mucho más eficaz. Dado que el panorama digital general es tan desgobernado y anárquico, y que los recursos públicos no están equipados para salvar los activos digitales privados, no tenemos otra opción que maximizar nuestras ciberdefensas organización por organización.

Los pasos concertados y trascendentales dados en Occidente en los últimos días para apoyar a Ucrania nos permiten terminar con una nota de esperanza. Los ejemplos cooperativos y contundentes en los ámbitos diplomático, militar y económico no tienen precedentes en el siglo XXI. Debemos abogar por defensas igualmente concertadas, innovadoras y potenciadas por la IA en el ciberespacio.

El futuro digital más seguro y protegido que todos deseamos está a nuestro alcance. Pero no florecerá por sí solo. No lo conseguirán ni los presidentes ni los generales. Debemos luchar por él todos nosotros.