AGENCIA MATERIA

El teórico de la guerra alemán Carl Von Clausewitz decía que “la guerra es un acto de violencia para obligar a nuestro enemigo a hacer nuestra voluntad”. Pero, ¿se puede ejercer esa violencia desde un teclado? Sobre esa idea han discutido expertos en tecnología, seguridad y teóricos de la guerra. Aunque su conclusión no es unánime, la ciberguerra parece inevitable tanto tecnológica como políticamente.

La revista especializada Journal of Strategic Studies dedica su última edición a este asunto. Un artículo publicado el año pasado en la misma publicación por el investigador y profesor de Estudios de la Guerra del King’s College de Londres, Thomas Rid, cuestionaba su misma existencia: “La ciberguerra nunca tuvo lugar en el pasado, no está habiendo ciberguerra en el presente y es improbable que ocurra en el futuro”. Buena parte de la argumentación de Rid se apoya en las ideas de Clausewitz sobre la motivación política, el carácter instrumental y el potencial letal de la guerra. En palabras del teórico alemán del siglo XVIII: “Toda guerra es, simplemente, violenta. Si un acto no es potencialmente violento, no es un acto de guerra”. Para Rid, “el código no viene con su propia carga explosiva”.

Sin embargo, en el turno de réplica de la mesa de debate virtual que se ha convertido el Journal of Strategic Studies, su colega en el King’s College, John Stone, defiende que los ciberataques sí pueden ser considerados un acto de guerra. Para él, la condición de letalidad no es determinante. La clave es más la capacidad y consecuencias de ejercer la violencia sobre las personas pero también sobre las cosas. De hecho, la moderna doctrina militar estadounidense insiste en la neutralización de las capacidades del enemigo más que en acabar físicamente con su ejército.

“Estos efectos violentos no tienen por qué ser letales: pueden romper cosas más que matar gente y aún entran en la categoría de guerra”, escribe. Con la tecnología se ha llegado a una situación inexistente en el pasado: “La intervención de la tecnología permite que pequeños actos de fuerza, como teclear desde un ordenador, puedan provocar grandes cantidades de violencia, sea letal o no”, añade Stone.

Los 175 millones de registros comprometidos en casi 1.000 brechas de información ocurridas en 2011, que recoge un informe de Verizon, serían un buen ejemplo de esta violencia de baja intensidad que no necesita ser letal para producir un gran impacto. El problema, como reconoce Gary McGraw, jefe tecnológico de la empresa de seguridad de software industrial Cigital, es que los políticos, los medios y hasta su propio sector mezclan ciberguerra con ciberespionaje o cibercrimen, creando un estado de alarma que oculta el peligro real de las ciberarmas.

“Stuxnet ofrece el primer gran ejemplo de ciberarma, no sólo por su impacto, sino por la relativa simplicidad de su capacidad de ataque”, sostiene McGraw. A pesar de esa simplicidad, el virus creado por expertos de Estados Unidos e Israel inutilizó el sistema SCADA de control de procesos de la planta nuclear iraní de Natanz desde 2009. Ya antes, en 2007, los israelíes infiltraron código malicioso en el sistema de defensa antiaérea sirio cegándolo a la incursión de un avión hebreo que acabó destruyendo una supuesta instalación nuclear.

Ambos casos son para McGraw el mejor ejemplo de que acciones virtuales tienen efectos en el mundo físico. “En ambos casos, las instalaciones fueron dañadas o destruidas y los objetivos de guerra fueron parcialmente conseguidos por los atacantes”, recuerda. Con esto, McGraw contradice la idea de Rid de que un ciberataque “nunca dañará un edificio”.

EL ATAQUE DE STUXNET A diferencia de lo que pasaba en los tiempos de Clausewitz, las sociedades de hoy son muy dependientes de la tecnología. Y es una tecnología muy insegura. En su aportación al debate, el fundador de la consultora sobre sistemas SCADA Digital Bond, Dale Peterson, advierte de que, cuatro años después del ataque a la planta iraní, las infraestructuras que usan SCADA siguen siendo vulnerables a ataques como el del Stuxnet. Junto a los sistemas de control distribuido (ICS), los SCADA hacen funcionar centrales, redes eléctricas, refinerías, sistemas de transporte, redes de abastecimiento de agua y muchas infraestructuras consideradas críticas.

“El primer paso para conseguir cibercapacidad ofensiva implica desarrollar una ciberarma. Esto es muy sencillo porque los sistemas de control industrial son inseguros por defecto. Tienen menos seguridad que el PIN de cuatro dígitos usado en las tarjetas de crédito”, sostiene. Estados Unidos, por ejemplo, tiene un acuerdo con los grandes fabricantes de sistemas SCADA e ICS para que le cedan equipos para realizar pruebas de intrusión. “Otros países están siguiendo sus pasos, aparentemente por razones defensivas. Sin embargo, el equipamiento puede ser usado para muchos fines incluyendo el desarrollo de ciberarmas ofensivas”, añade.

Uno de estos sistemas puede costar 100.000 dólares. Es dinero, pero es mucho más fácil de conseguir que una bomba atómica. La idea de la proliferación, de la reducción del umbral requerido para la ciberguerra, también es destacada por los expertos. En este mundo desigual, los pequeños también tienen su opción contra los grandes. Parafraseando a Clausewitz y como demuestran la interceptación electrónica de un dron estadounidense por parte de los iraníes, las acciones del Ejército Electrónico Sirio o el espionaje industrial-militar entre Estados Unidos y China, la ciberguerra es la continuación de la política por otros medios.

¿TÚ QUÉ OPINAS?