¿CÓMO DEBERÍA ACTUAR UN PAÍS BAJO CIBERATAQUE?

Empecemos por aclarar que los países que manejan la posibilidad de sufrir un ataque cibernético importante, tienen diferentes concepciones sobre cómo responder a los mismos. Cómo deberían responder no equivale a decir cómo responderían. Los Estados Unidos, por ejemplo, no dudarían en atacar al agresor con métodos de ataques convencionales.

Una respuesta armada no es para los estadounidenses una respuesta descabellada. Sin embargo podría no ser la mejor. De hecho no es la mejor, por mucho que ellos insistan en sostenerla.

Un ciberataque masivo a un país es un escenario relativamente improbable, pero no imposible. Bajo un ciberataque masivo no es fácil identificar al agresor, por ende se correría el riesgo de lanzar un ataque contra un blanco incorrecto. Por otra parte se podría lanzar un ataque por parte de un país B a un país A desde un país C, pudiendo ser C un país neutral.

Por otra parte el país atacante podría ser un país poderoso, no fácilmente neutralizable mediante ataques convencionales. En todo caso la respuesta debería ser un ciberataque al país agresor, aunque eso también genera riesgos y cuestionamientos éticos y morales. El atacante podría no ser siquiera un país, sino un grupo terrorista bien organizado, aunque de momento es difícil imaginar un grupo terrorista tan preparado. De todos modos cabe hacerse una pregunta: ¿sobre quién caerían las bombas en ese caso?

De todos modos, un país bajo un ciberataque masivo es un país que falló en las tareas de prevención. La constante búsqueda de las debilidades de los propios sistemas, la educación y entrenamiento de operadores de sistemas, la inteligencia preventiva, deberían ir muy por delante de las medidas más drásticas.

El aspecto preventivo es claramente deficiente en países como los EEUU, donde un complejo mosaico de instituciones de inteligencia, organismos de las fuerzas armadas y otros, actúan sin una doctrina de ciberseguridad clara y sin una coordinación eficiente, si es que hay alguna.

Otros países, como Israel, tienen mucho más claro ese aspecto. Tienen las agencias gubernamentales especializadas bien coordinadas (o están en camino a lograr eso) y hablan de crear conciencia no sólo en los operadores de sistemas importantes, sino en la ciudadanía toda. Israel sabe que es un país tecnológicamente avanzado y que por eso necesita reglamentos, estándares y leyes sobre seguridad informática. También sabe que tiene que asegurarse de que los mismos se apliquen y cumplan. Obviamente por historia y por cultura eso es más fácil de lograr en Israel que en los EEUU.

Un país preparado para un ciberataque a sus estructuras vitales, como podrían ser la provisión de energía eléctrica, de agua y de gas, las redes ferroviarias, los sistemas de control de aeropuertos o similares, es un país que tendría preparadas las reacciones a esos ataques de antemano, mediante sistemas y acciones de respaldo y planes de contingencia.

De todos modos insistimos en que las acciones preventivas deberían ser las más importantes. Para eso se necesita de profesionales del área, de la ya mencionadas búsqueda de debilidades en los sistemas y de la inteligencia preventiva, pero sobre todo de la conciencia de que la ciberguerra es una posibilidad concreta.

Los servicios de guerra informática de un país debes saber identificar las acciones preparatorias para un ciberataque masivo o no, tomando las acciones correspondientes para neutralizarlo o al menos minimizarlo.

La disuasión no debería ser un tema secundario, aunque pocos la miran con coherencia. La postura estadounidense de amenazar con responder con un ataque convencional a uno cibernético podría ser ineficaz y hasta contraproducente. Ya dijimos, el país o grupo agresor podría ser difícil de identificar o ser demasiado poderoso, o los atacantes podrían estar operando desde un país neutral. Los ataques, además, seguramente dejarían un tendal de víctimas inocentes.

La ciberguerra está cambiando las reglas de la guerra. El estilo cowboy está quedando perimido. Eso, lamentablemente, no significa que necesariamente vaya a desaparecer.