Bloomberg Opinión — Hubo muchas razones por las que el presidente ruso Vladimir Putin decidió finalmente invadir Ucrania, pero una de ellas fue el fracaso de una alineación internacional sobre las consecuencias de dicha agresión.
La indiferencia tácita hacia el comportamiento de Rusia desde ambos lados del Atlántico -respecto a las anteriores invasiones de Georgia en 2008 y Ucrania en 2014, los ataques con agentes nerviosos a opositores políticos, el apoyo a un sangriento criminal de guerra en Siria- sin duda alentó las provocaciones del Kremlin.
Pero la culpa no es sólo de la indiferencia ante la reciente agresión cinética de Rusia. La insuficiente respuesta a sus operaciones militares no cinéticas contribuyó a dotar al Kremlin de un eficaz complemento virtual a la invasión tradicional.
En efecto, Occidente llevó a cabo una política de apaciguamiento digital en respuesta a los múltiples ciberataques. ¿Cómo hemos llegado hasta aquí y qué podemos hacer en el futuro?
En 2015, la dirección de inteligencia militar rusa lanzó un ciberataque que dejó sin electricidad a más de 200.000 ucranianos dos días antes de Navidad.
En junio de 2017, unos oscuros actores rusos comprometieron un popular software de contabilidad fiscal llamado M.E. Doc, que posteriormente se distribuyó a cientos de miles de clientes a través de una actualización de software corrupta.
El malware que aparentemente estaba destinado a los efectos locales se propagó a nivel mundial, dando lugar a miles de millones de dólares en daños. Se calcula que sólo a la empresa farmacéutica Merck & Co. le costó 1.300 millones de dólares.
Más recientemente, en EE.UU, hemos visto ataques de rescate por parte de cibercriminales rusos contra varias corporaciones e infraestructuras críticas, incluyendo el oleoducto Colonial y partes de la cadena alimentaria.
El ataque a SolarWinds Corp. de 2020, que afectó a cientos de las mayores corporaciones de Estados Unidos y a muchas agencias gubernamentales, se originó casi con toda seguridad en Moscú.
Por lo tanto, no debería sorprender que en los últimos días el mayor banco y las agencias de defensa de Ucrania informaran de que habían sufrido el mayor ataque de denegación de servicio de la historia del país. Esto, y los subsiguientes hackeos, prepararon el escenario para la ofensiva militar del jueves.
La ciberguerra es una poderosa capacidad asimétrica para cualquier Estado-nación que pretenda preparar el campo de batalla para una invasión; apoyar operaciones en el mar, en el aire o en la tierra; y lograr efectos disruptivos o destructivos contra objetivos digitales o físicos. Sin embargo, a pesar de esta eficacia militar, con demasiada frecuencia Occidente no ha respetado el papel de la ciberguerra como instrumento estratégico de proyección de poder.
Rusia utiliza el poder de la cibernética no necesariamente para causar daños generalizados, sino para operar con precisión por debajo del umbral percibido de la guerra, y por lo tanto más allá del alcance de las consecuencias políticas. Los ciberataques están en el corazón de la llamada guerra híbrida de Putin, central en el actual libro de jugadas del Kremlin.
Y los aliados occidentales han permitido que Rusia actúe prácticamente sin oposición -incluso cuando ha implicado la intromisión en las elecciones estadounidenses y europeas- evocando comparaciones legítimas con el apaciguamiento europeo de los nazis en el período previo a la Segunda Guerra Mundial.
Hay tres explicaciones para esta forma moderna de apaciguamiento digital.
La primera es que el cuerpo diplomático de Occidente simplemente no está preparado para entablar un diálogo influyente con otras ciberpotencias. Dicho de otro modo, nuestra diplomacia no es lo suficientemente técnica. No es una afirmación peyorativa, sino que la cultura diplomática no se ha adaptado a la dimensión digital de la geopolítica.
Tenemos que definir con precisión lo que constituye un ataque. ¿Por qué no trazar una línea roja para los ataques de denegación de servicio a gigabits por segundo contra los bancos, o para la ejecución arbitraria de código de defectos conocidos en el software comercial con una calificación en el Sistema de Puntuación de Vulnerabilidad Común superior a 8? Sobrepasar esa línea provocaría represalias inmediatas.
Cuanto más recurra Estados Unidos a descripciones vagas de la ciberagresión, más explotarán sus adversarios el dominio en su beneficio.
Este punto desemboca en el segundo, que es la vacilación a la hora de arriesgarse a una escalada, cuyas proporciones no se han probado y, por tanto, se desconocen.
Los gobiernos occidentales corren el riesgo de quedar paralizados por el miedo a que se crucen inevitablemente líneas rojas claras, desencadenando un ciberconflicto mundial en el que Occidente tiene más que perder que sus enemigos autocráticos.
Las democracias no sólo temen los ataques contra sus propias infraestructuras críticas militares y civiles, sino que quizás incluso quemen sus propias capacidades - mostrando a sus oponentes lo que tienen - en el proceso.
Este temor no es infundado, pero debe equilibrarse con la realidad de que la ciberagresión incontrolada tiene sus propias propiedades de escalada. En el ciberespacio, la tolerancia de cierto nivel de conflicto a corto plazo podría ser necesaria para establecer una disuasión creíble y duradera.
Por último, existe una falsa sensación de seguridad en las ciberdefensas occidentales frente a naciones-estado como Rusia que tienen tanto la voluntad como la capacidad de atacar. Durante demasiado tiempo, hemos confiado únicamente en las medidas técnicas para frenar las ciberagresiones.
Esta semana, el Departamento de Seguridad Nacional publicó una alerta denominada “Shields Up”, en la que señalaba que “el gobierno ruso entiende que la inutilización o destrucción de infraestructuras críticas -incluidas las de energía y comunicaciones- puede aumentar la presión sobre el gobierno, el ejército y la población de un país y acelerar su adhesión a los objetivos rusos”.
El departamento debe ser elogiado por comunicar las mejores prácticas al público. Pero aunque la aplicación de la autenticación de dos factores, la instalación de software antivirus y la aplicación de parches a los servidores vulnerables pueden ser eficaces contra la mayoría de los actores, no detendrán a los rusos.
EE.UU. necesita desarrollar un sentido de disuasión en el ámbito cibernético, y hacerlo requerirá respuestas más agresivas de las que ha estado dispuesto a emplear hasta ahora.
Ahora que los rusos han actuado con tanta fuerza en el ámbito físico, podemos encontrarlos aún más envalentonados en el ámbito cibernético.