La digitalización es, sin duda, una oportunidad sin precedentes para el desarrollo de las sociedades, pero al mismo tiempo comporta una amenaza de similar magnitud. Compartimos a escala global un único espacio de comunicación e intercambio de información no exento de vulnerabilidades susceptibles de explotación para fines maliciosos. A medida que avanza la penetración digital lo hacen también los riesgos derivados de ella.
Una de las amenazas de la ciberseguridad a la que se enfrentan las sociedades, de elevado alcance potencial, son los ciberataques de origen estatal instrumentalizados como herramientas de la llamada “guerra híbrida”. Una serie de Estados emplea los ciberataques de manera ofensiva contra otros Estados o empresas como medio para la consecución de sus objetivos políticos, económicos, energéticos o militares (fundamentalmente Rusia, Corea del Norte, Irán, China e Israel).
Este aspecto supone una vulnerabilidad en sí misma, pues frente a la concepción imperante en las sociedades occidentales (salvo Israel) que abordan la ciberseguridad desde un enfoque táctico-defensivo, algunos estados disponen de una estrategia de explotación ofensiva de las vulnerabilidades digitales de sus adversarios como arma de poder que sustentan sobre una cuidada planificación y una elevada asignación de recursos a largo plazo. Rusia, por ejemplo, dispone de una doctrina militar propia enfocada a la obtención de influencia en el exterior contrarrestando las capacidades digitales de sus adversarios que denomina “C4ISR”, haciendo alusión a los términos command, control, communications, computers, intelligence, surveillance y reconnaissance.
Hoy día, además, la actuación ofensiva en la Red ofrece una serie de ventajas a los “Estados atacantes” que la convierten en una herramienta muy atractiva. Son patentes las dificultades técnicas de atribución inequívoca de la autoría y la inexistencia de consecuencias reales sobre la autoría, más allá de poder resultar objetivo de un eventual ciberataque a modo de represalia.
Esta vulnerabilidad de las sociedades “no ciberatacantes” debe ser contrarrestada, y si bien en ningún caso se plantea la adopción de una estrategia ofensiva de legitimidad dudosa, es imprescindible la implementación de una política defensiva estratégica a largo plazo dotada de los suficientes recursos para hacer frente a las cibercapacidades en expansión de los atacantes potenciales.
Por otra parte, este tipo de ataques surgen la mayor parte de las veces de contextos geoestratégicos del ámbito internacional en la que se mueven los Estados. Sin embargo, las víctimas de los mismos son frecuentemente operadores económicos privados por un lado y, por otro, ciudadanos afectados, por ejemplo, por ver comprometidos sus datos personales o por la paralización de servicios públicos esenciales. Por tanto, dado que las consecuencias trascienden del ámbito de las relaciones internacionales y afectan de manera directa a la ciudadanía y al tejido empresarial, es un imperativo el establecimiento de una estrategia de ciberseguridad en el que cada entidad o sujeto conectado a la Red adopte individualmente medidas proactivas de protección en un marco colaborativo público-privado.
Infraestructuras críticas
A modo de ejemplo, uno de los ámbitos en el que los ciberataques se suceden con cada vez mayor profusión, implicando intereses corporativos, estatales y ciudadanos, generando un riesgo creciente, es el de las infraestructuras críticas.
Recientemente, la Administración norteamericana ha reconocido públicamente por primera vez la detección de intentos de ciberataque por actores rusos contra infraestructuras críticas en los sectores de la Energía, el Agua y la Aviación, entre otros. Igualmente, el malware NotPetya, considerado responsable del mayor ciberataque hasta la fecha, ha sido atribuido a una amenaza persistente avanzada (APT) de origen ruso.
A partir de 2016 se inició un nuevo periodo en el que los ciberataques a infraestructuras energéticas se orientan hacia el sabotaje
El Department of Homeland Security (DHS) de Estados Unidos publicó junto al FBI (Federal Bureau of Investigation) una alerta técnica el 15 de marzo de este año que detallaba las tácticas, técnicas y procedimientos (TTP’s) empleados por los hackers rusos. Este se trata de un hito de especial relevancia al implicar el reconocimiento de la capacidad efectiva de acceso malicioso de terceros a los sistemas de control de algunas instalaciones estadounidenses clave.
Aunque los ataques a infraestructuras energéticas son conocidos desde 2013, puede observarse una evolución de los mismos. En un principio se enfocaban hacia el espionaje industrial y económico. Sin embargo, a partir de 2016 se inició un nuevo periodo en el que los ciberataques se orientan hacia el sabotaje. En este sentido, Ucrania ha sido considerada como un banco de pruebas para las capacidades rusas tras los ataques sufridos por su red eléctrica en 2015 y 2016 que lograron apagones masivos durante horas mediante el malware Crashoverride.
Posteriormente, en agosto de 2017 se detectó un ataque a una planta petroquímica en Arabia Saudí en cuya investigación se implicaron varias agencias estatales estadounidenses. El objetivo iba más allá del mero sabotaje y pretendía provocar una explosión. El malware fue codificado para actuar contra Triconex, un sistema de control industrial (ICS) desarrollado por Schneider Electric ideado para el control de diversos sistemas en instalaciones industriales. Se calcula que Triconex habría vendido más de 18.000 licencias de uso en 80 países que podrían terminar siendo objetivo de un ataque.
Asimismo, un estudio del tráfico de red llevado a cabo entre el 1 de marzo y el 30 abril de este año realizado por el principal organismo iraní asociado a la actividad de sus probables APTs, el Instituto de Investigación del Ciberespacio de Irán, revela indicios de interés para un potencial ciberataque contra redes españolas; concretamente, contra redes de entidades implicadas en la transformación digital de los servicios públicos y contra redes de universidades e institutos de investigación. No puede descartarse que estas actividades, probablemente de intento de intrusión en las redes y recolección de información, continúen desarrollándose y puedan obtener éxito en el futuro facilitando un ciberataque, pese a no ser en apariencia España un objetivo prioritario de la política exterior iraní.
Conclusiones
Aquellos países que integran los procedimientos de la guerra híbrida en sus doctrinas de seguridad nacional continuarán realizando operaciones ofensivas en el ámbito digital con creciente intensidad, pues no es esperable un cambio de percepción por parte de estos actores de la falta de legitimidad de sus estrategias nacionales, ni un cambio de regulación internacional que disuada el uso de estas prácticas de manera efectiva. Al contrario. Cabe esperar un aumento de la inversión de estos Estados en sus capacidades, lo que derivará en un mayor nivel de sofisticación de sus operaciones. Los ataques serán diseñados de manera minuciosa y ejecutados a medio plazo con la realización de acciones previas de intrusión difícilmente detectables para la víctima.
Tales acciones presentan un potencial de daño elevado para amplios sectores de la sociedad pudiendo afectar a la prestación de servicios clave y generar un daño económico de enorme magnitud.
Las sociedades digitalizadas podrán contrarrestar las amenazas a la seguridad de la información únicamente mediante el establecimiento de un modelo estratégico-defensivo de ciberseguridad dotado de los recursos necesarios a largo plazo que implique a sector público, ciudadanos y empresas en estrecha colaboración. Las compañías de seguridad privada con equipos especializados en ciberseguridad pueden resultar una aportación esencial en esta coyuntura global en la que las amenazas crecientes en el espacio digital han llegado para quedarse.
