Los círculos políticos de Washington debaten ahora cómo podría responder Vladimir Putin a una importante contracción de la economía rusa y a los claros indicios de que Moscú está perdiendo la guerra en Ucrania. Algunos plantean que un presidente acorralado, furioso y enfrentado a una derrota cercana, podría responder de forma brutal, trasladando el enfrentamiento por delegación de un nuevo frente de la Guerra Fría a un campo de batalla cibernético, donde Rusia tiene una mayor ventaja, y lanzando un ciberataque masivo contra Estados Unidos. Sin embargo, varios factores clave ponen en duda esta tesis.
Al igual que Irán y Corea del Norte, Rusia es conocida por ser responsable de algunos de los ciberataques más agresivos y a gran escala. Sin embargo, estas tácticas cibernéticas han desempeñado un papel más bien periférico, ya sea en apoyo de la guerra convencional o mediante campañas de desinformación que sirven para sembrar el caos y el pánico entre las sociedades objetivo. En 2007 se produjo por primera vez un ataque conocido respaldado por el Estado, que duró veintidós días, cuando la unidad de inteligencia militar rusa, la GRU, atacó servidores comerciales, gubernamentales y del Sistema de Nombres de Dominio (DNS) de Estonia, así como sistemas bancarios en línea. Los ataques se enmarcan en las categorías de denegación de servicio (DoS) y denegación de servicio distribuida (DDoS), que incluyen métodos como la inundación de ping, la distribución de spam, las redes de bots y los correos electrónicos de phishing.
En 2008, como parte de la guerra híbrida en medio de la ocupación de Abjasia y Osetia del Sur, Rusia desfiguró los sitios web estatales de Georgia. En 2015, tras la anexión de Crimea y la ocupación del este de Ucrania, un grupo proxy del GRU llamado Sandworm atacó la red eléctrica ucraniana y privó de electricidad a más de 200.000 personas durante seis horas. En 2017, el ataque de malware NotPetya dirigido a Ucrania tuvo un impacto sin precedentes que afectó a importantes empresas occidentales en Europa y Estados Unidos, como Mondelez International y Maersk, e incluso golpeó a la petrolera rusa Rosneft. Paralizó miles de redes. El coste global que provocó el malware alcanzó los 10.000 millones de dólares, lo que supone el ciberataque de mayor repercusión de la historia. Además, hace apenas un mes, Rusia intentó sin éxito atacar la red eléctrica ucraniana con un malware avanzado clasificado como wiper. En el extranjero, un grupo ruso de hackers llamado FancyBear se entrometió en las campañas presidenciales de Estados Unidos de 2015 y en las elecciones federales de 2016 a nivel de condado. Hasta aquí, si bien las tácticas cibernéticas rusas son comunes y variadas, representan una función secundaria en la guerra híbrida que Moscú lleva a cabo junto con las campañas de desinformación y las operaciones militares convencionales.
No obstante, los expertos en ciberseguridad especulan con una serie de consecuencias en el peor de los escenarios cibernéticos: Rusia podría intentar atacar las infraestructuras críticas de Estados Unidos, apagar las luces, atacar el funcionamiento de los cajeros automáticos y los sistemas de tarjetas de crédito, atacar la nube de Amazon, interrumpir el transporte y el suministro de agua potable y atacar las instalaciones de fabricación de las empresas farmacéuticas, las redes eléctricas y los oleoductos coloniales. Pero, ¿se manifestará tal amenaza?
Un ciberataque contra Estados Unidos no sólo contradiría la naturaleza históricamente periférica de la ciberguerra rusa, sino que la capacidad cibernética de Rusia sería insuficiente para la tarea. Durante los últimos años, Occidente ha sobrestimado en gran medida las capacidades militares rusas en la guerra convencional. Las agencias de inteligencia estadounidenses predijeron que la guerra de 2022 en Ucrania sería la más destructiva que el continente europeo ha visto desde el final de la Segunda Guerra Mundial, esperando que la caída de Kiev se produjera en cuestión de días.
Sin embargo, la guerra aún en curso y prolongada ha revelado las debilidades de las fuerzas armadas rusas, su arsenal militar y su liderazgo estratégico. Los funcionarios rusos, por su parte, subestimaron la fuerza de la resistencia ucraniana y la posición unida de la comunidad internacional. Gastando algo más del 4 por ciento del PIB del país en el ejército, el presidente ruso moviliza el apoyo interno al presupuesto militar articulando la amenaza externa de la OTAN. En una sociedad relativamente poco digitalizada como la rusa, hacer presión para gastar más en el presupuesto cibernético resultaría menos eficaz. Teniendo esto en cuenta, parece posible que Occidente también esté sobrestimando la competencia cibernética rusa.
Además, es poco probable que Rusia lleve a cabo un ciberataque contra Estados Unidos por miedo a las represalias en múltiples frentes. La sociedad rusa ya está experimentando las consecuencias de la guerra: una crisis económica y la presión psicológica de ser un paria mundial. En caso de un ciberataque ruso, las consecuencias de las represalias cibernéticas estadounidenses afectarían primero a la población. Dadas las condiciones actuales, privar a la gente de agua y electricidad podría desencadenar un descontento público a una escala sin precedentes. Décadas de liderazgo cada vez más autoritario han engendrado sin duda agravios públicos ocultos en lo más profundo de la sociedad. En algún momento, este descontento latente puede convertirse en indignación. Putin no puede permitirse el lujo de afrontar un mayor descontento interno ahora.
Las actuales capacidades cibernéticas de Estados Unidos también podrían contribuir al miedo a las represalias. En los últimos años, Estados Unidos ha desarrollado una impresionante ciberinfraestructura, ha reestructurado su sistema de gobierno y ha invertido en formación y educación cibernética. Como subrayan Richard Clarke y Robert Knake en su libro The Fifth Domain (El quinto dominio), siguiendo la estrategia de disuasión y contención de la Guerra Fría, Estados Unidos se ha abstenido en gran medida de participar en actividades de contraataque cibernético. Aunque durante mucho tiempo Estados Unidos se ha centrado en una política cibernética defensiva, hoy en día, el Mando Cibernético de Estados Unidos prioriza las medidas ofensivas. Así, en 2019, Estados Unidos atacó con éxito el servicio de inteligencia iraní y el sistema de lanzamiento de misiles como respuesta a un ataque iraní contra un dron estadounidense y unos petroleros estadounidenses. Anteriormente, en 2012, el gusano informático Stuxnet, diseñado en cooperación con Israel, se infiltró con éxito en las instalaciones nucleares de Irán.
Además de una preferencia ofensiva, un sistema de gobernanza más consolidado y un conjunto de normas han hecho avanzar la ciberseguridad de Estados Unidos. Una clara asignación de funciones y responsabilidades entre el Departamento de Seguridad Nacional y el Mando Cibernético de EE.UU. y la dirección correspondiente mejoró el sistema de notificación de incidentes y de intercambio de información. Facilitó la comunicación dentro de las agencias federales y entre el gobierno, el sector privado y el público. Las empresas privadas estadounidenses gastan ahora miles de millones de dólares en ciberseguridad, formación de empleados y canales cifrados. Estados Unidos también asume un papel de liderazgo en la colaboración con aliados estratégicos para compartir las mejores prácticas, detectar fallos en las redes y promover la ciberhigiene.
La cooperación internacional en este grado no es un activo del que se beneficie Rusia. Con el apoyo de los proyectos de investigación y desarrollo, la experiencia y la formación del Centro de Excelencia de Ciberdefensa Cooperativa de la OTAN, las represalias de Estados Unidos ante un posible ciberataque ruso podrían ser no sólo perjudiciales, sino incluso más profundas como respuesta multilateral. En base a todo esto, el miedo a las represalias podría, de hecho, impedir a Putin emprender operaciones cibernéticas ofensivas contra Estados Unidos.
Por último, Putin ha perdido la ventaja de lanzar un ataque por sorpresa. Por ejemplo, Rusia invadió Georgia durante los Juegos Olímpicos de Pekín en 2008, y Ucrania durante los Juegos Olímpicos de Invierno de Sochi en 2014. Cuando Putin emprendió la guerra contra Ucrania en 2022 -por casualidad, inmediatamente después de los Juegos Olímpicos de Invierno de Pekín-, Occidente se anticipó. Putin invadió Ucrania de todos modos. Es poco probable que vuelva a actuar imprudentemente de esta manera, teniendo en cuenta los fracasos que el ejército ruso ha experimentado desde la invasión. Además, sabiendo que Estados Unidos y los aliados europeos se han blindado, Putin no tiene ningún incentivo para atacar. Sin embargo, ¿esperaría Putin a un momento más favorable? ¿O bien, reduciría un posible ataque, por ejemplo, inmiscuyéndose en las elecciones de mitad de período de Estados Unidos en noviembre?
Sería engañoso, sin embargo, subestimar las capacidades cibernéticas rusas o los juegos mentales de Putin y perder la vigilancia. En 2020, a pesar de negar su participación, Rusia evidentemente hackeó la empresa de software estadounidense SolarWinds. Mediante la instalación de malware en el programa de software Orion actualizado de la compañía, el ataque afectó a miles de clientes, a un centenar de empresas como Microsoft e Intel, y a algunas agencias federales como el Departamento del Tesoro, el Pentágono y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras. Los ciberexpertos aclamaron el código utilizado como fenomenal. Y lo que es más sorprendente, si no fuera por una evaluación de la actuación y una investigación adecuada, el ataque podría haber pasado fácilmente desapercibido. Durante más de seis meses, Moscú rastreó correos electrónicos y otro tipo de tráfico de información sensible. ¿Podría haber ya un malware similar en las redes estadounidenses?
Ahora, al borde de una nueva Guerra Fría, Estados Unidos debe mantener la guardia en materia de ciberseguridad. Aunque hay factores significativos que ponen en duda la probabilidad de una inminente ciber-represalia rusa, Estados Unidos no debe despreciar la posibilidad de una actividad maliciosa en un futuro próximo. Debe mantener una visión sobria y no actuar precipitadamente.