Una explicación común de por qué la Unión Soviética nunca usó armas nucleares durante la Guerra Fría fue la expectativa de que cualquier ataque hubiera podido provocar una respuesta nuclear devastadora. El miedo a esa ‘destrucción mutua asegurada’ fue suficiente para evitar que tanto la URSS como Estados Unidos lanzaran un ataque nuclear, incluso cuando pasaron décadas acumulando enormes arsenales.
Las armas cibernéticas son diferentes. Los ciberataques tanto de gobiernos como de hackers privados han aumentado en los últimos años. Muchos tienen motivaciones económicas detrás, pero otros involucran espionaje o, en varios casos de alto perfil, el sabotaje de infraestructura física. Existe un amplio consenso en que en algún momento un ataque cibernético se considerará un acto de guerra. Sin embargo, nadie sabe muy bien dónde está la línea.
La situación es más peligrosa que nunca. La cruenta invasión rusa de Ucrania invoca el fantasma de una espiral que empieza con ciberataques y termina en una guerra abierta con Estados Unidos. La administración Biden ya entregó al presidente ruso Vladimir Putin una lista de 16 sectores críticos para la seguridad económica y nacional de Estados Unidos que deben quedar fuera de cualquier ciberataque. “Responderemos cibernéticamente”, dijo Joe Biden a los periodistas el verano pasado después de reunirse con Putin en Ginebra. El presidente no expuso exactamente lo que eso implicaba, pero agregó, crípticamente, “Putin sabe”.
Del 4 al 5 de mayo, expertos cibernéticos de la administración Biden, el ejército y la academia se reunieron en la Universidad de Vanderbilt para discutir los nuevos perfiles del conflicto moderno en un evento organizado por Brett Goldstein, un exalto funcionario del Pentágono y científico informático que ahora es asesor especial del rector de Vanderbilt. Goldstein dice que en los próximos 5 a 10 años Estados Unidos debería desarrollar una estrategia de ‘destrucción cibernética mutua asegurada’ como una forma de disuasión. “Es esencial que aprendamos las lecciones del éxito del concepto de destrucción nuclear mutua asegurada”, señala, advirtiendo que las vulnerabilidades de Estados Unidos solo van a crecer.
El Departamento de Defensa está preparando una nueva estrategia cibernética este año que probablemente incluirá un papel más prominente para la disuasión. Autoridades estadounidenses y expertos en políticas han estado debatiendo si es mejor disuadir los ataques con la promesa de represalias en el ciberespacio u otros lares, o tratar de prevenirlos adoptando medidas cibernéticas ofensivas que incapaciten a los rivales para realizarlos. La estrategia de la administración Biden se basará en la disuasión integrada, es decir, el concepto de que los ataques pueden prevenirse mediante amenazas de sanciones económicas u otras respuestas que dependen de varios resortes del poder de Estados Unidos.
Legisladores de ambos partidos y expertos ajenos al gobierno están presionando por su propia visión de la disuasión. Una iniciativa bipartidista ordenada por el Congreso que concluyó el año pasado, llamada Comisión Solárium del Ciberespacio, favorece una variación del tema “disuasión cibernética en capas”, la cual combina el fortalecimiento de las defensas técnicas contra los ataques con el fomento de normas internacionales contra, por ejemplo, ciberataques dirigidos a la infraestructura civil.
La fe de Goldstein en que la amenaza de una respuesta catastrófica puede prevenir los ciberataques patrocinados por países es atípica. Decidir cuándo responder sería complicado, porque determinar quién ha hecho qué puede ser complicado. Los mejores hackers a menudo ocultan sus identidades. Los hackers rusos, por ejemplo, han dejado pistas para que se crea que son norcoreanos o iraníes, según expertos en ciberseguridad.
A diferencia de las armas nucleares, que no se han utilizado desde la Segunda Guerra Mundial, las armas de la guerra cibernética son de fácil acceso y se usan regularmente para ataques de diversa gravedad. “Las líneas rojas son notoriamente difíciles de definir en el ciberespacio”, escribió Emily Goldman, estratega del Comando Cibernético de Estados Unidos, en un artículo de 2022 para la revista The Cyber Defense Review. Argumentó que las sanciones, las acusaciones penales y otras medidas disuasorias han demostrado ser ineficaces: “Más de lo mismo no producirá resultados diferentes”.
El general Paul Nakasone, líder del Comando Cibernético (parte de la milicia estadounidense y conformado por 6 mil personas) y uno de los oradores en el evento de Goldstein, ha desestimado los paralelismos nucleares. “La disuasión cibernética no es disuasión nuclear”, dijo al Congreso en abril. Durante los últimos años, él ha supervisado un aumento en las continuas operaciones cibernéticas ofensivas del Pentágono fuera de las fronteras de Estados Unidos, bajo una estrategia que describió como “defensa adelantada”.
Estados Unidos comenzó a cambiar su enfoque cuando la injerencia rusa en las elecciones presidenciales de 2016 hizo que el Tío Sam superara su renuencia a los ciberataques contraofensivos, según Jonathan Reiber, responsable de la estrategia cibernética del gobierno en 2015 cuando era el director de estrategia para la política cibernética en el Departamento de Defensa. En 2018, el Congreso cambió la definición legal de operaciones cibernéticas ofensivas, clasificándolas como actividad militar tradicional. Ese mismo año, la administración Trump emitió un memorando confidencial que, de acuerdo a algunos legisladores, facultaba al Departamento de Defensa para llevar a cabo dichas operaciones sin que la Casa Blanca las aprobara.
Nakasone dijo al Congreso que tanto el cambio legal como el memorando han sido “muy útiles”. La administración Biden está revisando el citado memo, y los defensores de la estrategia de “defensa adelantada” temen que pueda decidir restringir la capacidad del Comando Cibernético para actuar de manera efectiva.
Un problema de usar la amenaza de ciberataques como elemento disuasorio es que la superioridad cibernética es inherentemente efímera, según Nakasone. Mientras el poder de un arsenal nuclear está siempre presente, las armas cibernéticas dependen de la explotación de vulnerabilidades en los códigos, que pueden ser parchadas y desaparecer tan rápido como se descubren. Entonces, a diferencia de las armas nucleares, el arsenal cibernético y las rutas de acceso deben cambiar todo el tiempo. La capacidad de Estados Unidos para encontrar y explotar tales vulnerabilidades es significativa, pero su capacidad para llevar a cabo ataques contra objetivos específicos puede fluctuar.
Algunos académicos sostienen que la “defensa adelantada” es un eufemismo para que Estados Unidos emprenda sus propios ataques. En un documento de marzo para la organización Atlantic Council, la experta en coerción cibernética Jenny Jun planteó que la estrategia deja “mucho margen para el juicio erróneo y la interpretación errónea” sobre cómo responderá Estados Unidos y que en lugar de ser un elemento disuasorio, podría alentar a los adversarios a atacar primero en lugar de esperar a verse comprometidos.
En medio de tal incertidumbre sobre la naturaleza de la guerra cibernética, Erica Lonergan, una directora sénior de la Comisión Solárium del Ciberespacio, dice que los debates sobre la disuasión se han vuelto estérilmente “binarios”. La mejor manera de prevenir grandes ciberataques puede no ser amenazar o ejecutar operaciones cibernéticas, dice, sino confiar en otros instrumentos del poder nacional. En 2018, la administración Trump listó el uso de armas nucleares como una respuesta potencialmente apropiada a un ataque estratégico no nuclear, una categoría que podría incluir un ciberataque catastrófico. La administración Biden se reserva el derecho de elegir cómo responde, incluso con la fuerza militar, e insiste en que un ciberataque contra cualquier aliado de la OTAN podría desencadenar una respuesta conjunta de los 30 países.
Un desafío es que la falta de una definición clara del concepto de “guerra cibernética” ha tentado a los países a probar los límites, llevando a cabo ataques más pequeños bajo el supuesto de que no serán suficientes para provocar una respuesta importante. Algunos expertos advierten que la capacidad de Estados Unidos para establecer normas en torno a tales ataques se ha visto socavada por su propia historia de ataques cibernéticos, programas de espionaje digital dirigidos a civiles (incluidos líderes aliados) y el ataque Stuxnet contra las instalaciones nucleares de Irán hace más de una década, una campaña en la que se cree participaron Estados Unidos e Israel.
Michael Daniel, excoordinador de ciberseguridad en la era de Obama, dice que Estados Unidos podría hacer mucho más para disuadir la proliferación de ciberataques que caen debajo del umbral de la guerra en el ciberespacio. La pregunta es, “¿se puede usar el poder nacional del gobierno para reducir el volumen de actividad maliciosa en el ciberespacio y reducir su impacto en Estados Unidos?”.
Un pequeño y quizás temporal consuelo es que la guerra de Rusia con Ucrania no ha resultado hasta ahora en la guerra cibernética que muchos expertos presagiaban. Una teoría que lo explica, presentada por el investigador Lennart Maschmeyer de ETH Zurich, es que no son tan efectivas como mucha gente cree. Maschmeyer ha estudiado el impacto de los ciberataques rusos contra Ucrania desde 2014; “realmente no han logrado casi ningún impacto estratégico medible”, apunta. Otra explicación podría ser que Rusia no planeó ninguna ciberguerra, pues anticipaba una rápida victoria militar. Eso podría cambiar a medida que avanza el conflicto, y una investigación reciente de Microsoft indica que Rusia ha estado utilizando ciberataques “destructivos e implacables” contra los servicios e instituciones ucranianas.
También es posible que la disuasión esté funcionando y Rusia haya temido llevar a cabo ataques cibernéticos fuera de Ucrania porque eso podría desencadenar el Artículo 5 de la OTAN, la cláusula de defensa colectiva, y arrastrar a otras naciones al conflicto. Para Goldstein, esta vacilación es señal de una oportunidad estratégica: “Es posible que estemos viendo los primeros indicios de cómo podría ser la disuasión”.
Consulta aquí nuestra edición más reciente: