Pero ¿en qué consisten este tipo de amenazas? ¿Qué tienen que ver con los ciberataques y la ciberseguridad?
Por Marta Beltrán y Miguel Calvo (*)
La situación fronteriza entre la guerra y la paz se denomina en muchas ocasiones paz formal o zona gris. Se recurre a esta nomenclatura cuando no se puede decir que haya una situación de guerra convencional o de conflicto bélico tradicional, pero tampoco de paz.
Este tipo de conflicto se observó por primera vez a principios de este siglo en los enfrentamientos entre Israel y otros países u organizaciones de Oriente Medio. Pero en los últimos años se ha empleado mucho en relación con diferentes situaciones en las que se han visto involucradas Rusia y antiguas repúblicas soviéticas (Estonia, Bielorrusia, Ucrania).
Las situaciones de paz formal se asocian con las amenazas híbridas porque se observa cómo un estado pretende influir en las decisiones de otro (o de un grupo de ellos como la OTAN o la Unión Europea) y para ello, en vez de recurrir al conflicto bélico, recurre a la manipulación de la población civil mediante acciones coordinadas en el tiempo que desencadenen el caos, la desmoralización, la desinformación, etc. Es decir, en un contexto de amenaza híbrida, el que ejerce esta amenaza explota vulnerabilidades humanas, sociales, económicas, tecnológicas, informativas, etc.
En la mayor parte de los casos no lo hace de manera abierta, sino que se oculta tras grupos de mercenarios, terroristas o criminales que suelen denominarse proxies (pantallas). De esta manera se contribuye al caos antes mencionado, y se dificulta la atribución de la amenaza y las potenciales respuestas de los países que la sufren. Las amenazas híbridas suelen darse en el límite de la legalidad dentro del derecho internacional. Por eso suelen materializarse mediante operaciones coordinadas y bien organizadas y financiadas, pero encubiertas.
Las amenazas híbridas son en muchos casos asimétricas. Son ejercidas por potencias que pueden invertir tiempo y recursos en materializarlas contra estados vulnerables que no pueden protegerse de la manera adecuada ni mucho menos contraatacar. Se han observado ejemplos en los que estas amenazas han sido la antesala o la preparación de una guerra convencional, mientras que en otros se han utilizado como una alternativa a este tipo de conflictos bélicos a los que estamos más acostumbrados.
Amenazas híbridas y ciberseguridad
Todos somos conscientes de la dependencia que nuestras sociedades tienen de la tecnología en la actualidad. Por eso no debe sorprendernos que el ciberespacio sea un espacio más (como lo son el terrestre, el aéreo o el marítimo), y probablemente el más importante, en el que materializar diferentes componentes de una amenaza híbrida. Para quien la ejerce, es un mecanismo a menudo eficaz, sencillo y barato de conseguir sus objetivos. Y que permite una buena dosis de anonimato.
Podemos pensar en algunos ejemplos de ciberataques que pueden ayudar a materializar una amenaza híbrida:
- Ataques a la confidencialidad.Se pueden filtrar a los medios de comunicación o a la opinión pública datos sensibles sobre los ciudadanos. Por ejemplo, salarios, ayudas recibidas, creencias religiosas, antecedentes penales, deudas. Pero suele ser mucho más efectivo filtrar información sobre los jefes de Estado, gobernantes o instituciones que puedan originar descontento entre la población, desconfianza o desafección. Por ejemplo, los salarios de nuevo, pero también datos relacionados con la vida personal, posibles casos de corrupción o de evasión de impuestos, etc.
- Ataques a la integridad.Este tipo de ataques suele afectar a infraestructuras críticas para la población. ¿Qué ocurriría, por ejemplo, si se pudiera cambiar el resultado de unas elecciones? ¿O si se pudiera alterar la base de datos del censo? ¿O el funcionamiento correcto de una potabilizadora de agua?
- Ataques a la disponibilidad.En este caso, los adversarios buscan que los ciudadanos no tengan disponibles servicios esenciales. Hemos visto ejemplos de países con inviernos muy crudos en los que se ha dejado a la población sin calefacción durante días o incluso semanas. O en los que se han borrado los discos duros de los sistemas de información de las Administraciones Públicas impidiendo que los ciudadanos accedan a los servicios de pago de impuestos o tributos, ayuda al desempleo, apoyo a la dependencia, etc.
Además, en cualquier contexto de amenaza híbrida se recurre a las noticias falsas y a las campañas de desinformación y de propaganda, amplificando los impactos de todos estos ataques en la población.
Resiliencia tecnológica como escudo
Por desgracia todavía no estamos preparados para responder a este tipo de amenazas como lo estamos para una situación de guerra convencional. Hay que destacar que la respuesta proporcionada o legítima en estos contextos es casi imposible. Las víctimas serían, en cualquier caso, ciudadanos inocentes.
Además, nunca se sabría a ciencia cierta quién está detrás de la amenaza. Los problemas en la atribución hacen que el enemigo o adversario se mantenga en el anonimato y no se pueda saber contra quién ejercer la respuesta. Y la escala de la respuesta no se podría medir con exactitud. No sería la primera vez que un ciberataque dentro del contexto de una amenaza híbrida acabara extendiéndose de manera incontrolada en el tiempo y en la geografía (lo hemos sufrido con algunas familias de ransomware recientemente).
Pero esto no significa que debamos cruzarnos de brazos. La diplomacia debe avanzar en paralelo a una mejora de nuestra resiliencia tecnológica. Nuestras infraestructuras, tanto públicas como privadas, debe ser más resistentes, deben tener capacidad de anticiparse, resistir, recuperarse y adaptarse. Es esto lo que nos debe ocupar en un contexto de tanta incertidumbre como el actual, porque lo que sí es seguro es que la creatividad del adversario para combinar distintos tipos de amenazas y su capacidad para ejercerlas a lo largo del tiempo que sea necesario está demostrando ser muy alta.
(*) Marta Beltrán es profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos; y Miguel Calvo es profesor del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos.