Mientras estamos comprometidos con el desarme, contra la producción y el comercio de armas, por la eliminación total de las armas nucleares y su amenaza, la guerra está cambiando radicalmente las características que conocemos (o creemos conocer), asumiendo características cada vez más sutiles e incontrolables, desarrollando tipos de «armas» que ni siquiera podemos imaginar, e incluso es difícil de definir. Seamos claros, la guerra siempre se ha transformado, adoptando (a menudo introduciendo) todas las innovaciones, sólo para fijar esquemáticamente las ideas, la pólvora, la caballería, la guerra de trincheras, las armas químicas, la aviación, los submarinos, los misiles, los aviones teledirigidos, y así sucesivamente con los horrores. Cada innovación (el término «progreso» me parece totalmente inapropiado) ha supuesto un salto cualitativo, ciertamente no para bien. Pero los horrores que se vislumbran en el horizonte parecen conducir a un mundo que gira hacia la barbarie y para el que el término «civil» parece absolutamente fuera de lugar.

Uno de los saltos de calidad (como el lenguaje nos condiciona, no encuentro un término opuesto a «calidad») son los llamados robots asesinos, en términos más técnicos armas autónomas, que con los desarrollos -que alguien llama «prodigiosos», yo «alarmantes» – de la inteligencia artificial (inteligencia artificial, IA-), identifican al enemigo sin que se intervenga en la decisión humana y deciden atacarlo: Pressenza se ocupa de esto desde hace ya algún tiempo[1]. En la IA parece que jugaremos la próxima competición tecnológica (y no sólo) global: tal vez alguien esté feliz, esperando ansiosamente algún tipo de robot que realice todas las operaciones humanas, ¡en mi opinión no hay mucho para estar feliz! Haremos que piensen por nosotros, ¿enviaremos nuestros cerebros a la basura?

Otro término circula con creciente insistencia en los periódicos y los medios de comunicación social, cyber war, o cyberwarfare, literalmente (no sería malo recuperar el español en lugar de adoptar términos de los americanos, de los cuales muchos ni siquiera saben el significado) la guerra cibernética. Salió a la luz con la interferencia de los piratas cibernéticos (hackers) de Moscú en las elecciones norteamericanas, pero fue inaugurado con gran estilo (aunque pocos lo recuerdan, ¡independencia de la información!) por los ataques cibernéticos, o digitales, de los Estados Unidos e Israel a las plantas de enriquecimiento de uranio de Irán. Las guerras, se dirá, son menos «sangrientas», aunque los ciberataques a Irán fueran acompañados de la misteriosa (?) muerte de una serie de científicos nucleares iraníes; ¡y si los ciberataques pudieran confundir los controles y mandos de los misiles nucleares estratégicos, exacerbando el riesgo de una guerra nuclear por error!

Pero intentemos seguir en orden.

Todos los orígenes

Como siempre, es instructivo ver quién estuvo en el origen (aunque probablemente con el ritmo actual de innovación hubiera sido sólo cuestión de tiempo, y muchos estaban trabajando en ello). Sin entrar en detalles, el primer arma cibernética real es considerada Stuxnet, un worm[2] (literalmente, un gusano) informático muy complejo desarrollado desde 2006 por Estados Unidos e Israel (aunque nunca se ha confirmado), probablemente en años de investigación y millones de dólares invertidos, con los que en el año 2010 golpeó a los sistemas que controlaban las centrifugadoras del programa de enriquecimiento de uranio iraní, perjudicando a las que parecen ser unas 1.000, si bien no quedó claro cuál fue el impacto.

Los principales ataques cibernéticos han afectado, además de las centrífugas de Irán, a los sistemas urbanos de Atlanta, al sistema sanitario de Gran Bretaña, a una planta siderúrgica en Alemania, a un casino en Las Vegas, a una planta petroquímica en Arabia Saudí, a los sistemas de misiles de Corea del Norte y al ataque de Corea del Norte a Sony.

¿Qué es la ciberguerra?

En términos generales, la guerra cibernética se refiere al uso de ataques digitales por parte de un país para sabotear los sistemas informáticos (ordenadores, sistemas de control o redes) de otro país con el fin de causar daños significativos. Las guerras del futuro también serán libradas por los hackers utilizando códigos informáticos para atacar la infraestructura del enemigo. A diferencia de los ataques militares estándar, un ciberataque puede lanzarse instantáneamente desde cualquier distancia, sin que haya ninguna prueba clara de su preparación, mientras que a menudo es extremadamente difícil incluso rastrear a los autores del ataque. Su eficacia y peligro radica en el hecho de que las economías modernas dependen cada vez más de las redes y de los sistemas de información (administración, infraestructuras, redes eléctricas, bancos… por no hablar de los sistemas militares), y son especialmente vulnerables a este tipo de ataques.

Por cierto, durante mucho tiempo he argumentado -en contra de los amantes de la modernidad y del progreso sin más- que la exasperada mejora tecnológica (evito deliberadamente el término «progreso»), esclavizada a la lógica ciega del poder militar y del beneficio en lugar de al progreso social y colectivo real, hace que las sociedades contemporáneas sean cada vez más frágiles y vulnerables, y que los sistemas de control de todos los sistemas de armamento, incluidas las armas nucleares, sean más susceptibles a posibles errores que pueden ser fatales. Y como veremos en la práctica, el tema que nos ocupa es una prueba irrefutable de ello, aunque pueda llegar tarde.

Se hacen algunas distinciones que me parecen apropiadas. Incluso los ciberataques graves, como los contra bancos o empresas, no deben considerarse actos de ciberguerra porque (o hasta que) no implican la intervención del Estado, pero también está claro que es difícil identificar la naturaleza de un ataque, y que las consecuencias podrían seguir siendo muy graves. Estrictamente hablando, incluso los actos de ciberespionaje no forman parte de los casos de guerra, pero incluso aquí la frontera parece borrosa. Pero estas distinciones no son en la práctica caprichosas ni capciosas: ¿cómo determinar si un ataque cibernético es tan grave que equivale a un ataque material que requiere una reacción militar? ¿Cómo establecer un umbral a partir del cual una reacción armada, tal vez un misil o un arma nuclear, se convierte en «legítima»? ¿Cuántas veces hemos visto estallar guerras por un pretexto que, en retrospectiva, resultó ser endeble? A los niños también se les cuenta el cuento de hadas del lobo y el cordero, pero parece que, como adultos, muchos lo olvidan justo cuando sería más importante. Considerémonos afortunados si hasta ahora los ciberataques sólo han conducido a la adopción de sanciones o a la expulsión de diplomáticos. Existe, sin embargo, una «zona gris» entre el espionaje, la piratería cibernética y la guerra cibernética, que podría llegar a ser crítica en el futuro. Es un concepto y un acto tan nuevo que no existe un derecho internacional que lo regule, lo que deja margen para la arbitrariedad.

No parece casualidad que el primer manual de ciberseguridad (si es que a alguien se le da seguridad) -el Manual de Tallinn sobre el Derecho Internacional Aplicable a la Guerra Cibernética– tenga una paternidad de la OTAN, ya que fue escrito (y actualizado en una segunda edición, 2009-2012[3]) por el grupo «Cooperative Cyber Defence Centre of Excellence» (CCDCoE), afiliado a la OTAN, con sede en Tallin, la capital de Estonia (véase https://en.wikipedia.org/wiki/Tallinn_Manual). Entonces, si quieres gastar $50, también hay esto: «Cyber Warfare and the Laws of War», 2014.

La gravedad del riesgo

Según los servicios de inteligencia de Estados Unidos, más de 30 estados están desarrollando capacidades ofensivas de ataque cibernético, y el gran secretismo ha levantado la sospecha de que ya ha comenzado una «carrera armamentista» cibernética oculta.

Zulfikar Ramzan (director técnico de la Renaissance Society of America y antiguo director de investigación de Sourcefire, una empresa especializada en seguridad de la información) es muy claro sobre la posibilidad de un ataque cibernético: «Creo sin duda que el problema no es si ocurrirá, sino cuándo.”[4] Además, desde hace años se sabe oficialmente de una serie de países que se están formando ante el estallido de una ciberguerra[5] (y quién sabe, pero es muy probable, que también desarrollen herramientas de ciberguerra).

Obviamente los programas de guerra cibernética de los distintos países están cubiertos por un estricto secreto, pero la opinión que parece prevalecer es que Estados Unidos tiene una ventaja sobre los demás. La estructura es compleja debido a que Estados Unidos forma parte del Comando Cibernético, que tiene la doble misión de proteger los sistemas de información del Departamento de Defensa, pero también de llevar a cabo «operaciones militares en todo el ciberespacio para permitir acciones en todos los ámbitos, garantizar la libertad de acción de Estados Unidos/Aliados en el ciberespacio e impedir que nuestros adversarios hagan lo mismo»[6]. Se cree que los Estados Unidos han desarrollado varias formas de armas cibernéticas contra Irán (como se mencionó anteriormente), Corea del Norte y los llamados Estados islámicos. En agosto de 2017, el Presidente Trump elevó el Comando Cibernético al Comando de Combate Unificado, al mismo nivel que el Comando del Pacífico o el Comando Central de Estados Unidos. Agencias como la CIA y la NSA tienen sus propias capacidades de espionaje cibernético y en el pasado han estado involucradas en la implementación de armas cibernéticas.

En cuanto al establecimiento de estándares internacionales, el especialista David Sanger, en el Boletín de los Científicos Atómicos, afirma apodícticamente: «… a los estadounidenses a menudo no les importan mucho los implantes que los EE.UU. colocan en sistemas extranjeros [los programas diseñados para dañar los sistemas informáticos se implantan, pero no actúan inmediatamente, permanecen latentes y están listos para ser activados]. Por supuesto, si estableciéramos reglas globales que prescribieran que los sistemas de las empresas públicas están fuera de los límites o que los sistemas electorales están fuera de los límites, deberíamos estar preparados para someternos a esas mismas reglas. No está nada claro para mí que nuestras agencias de inteligencia estén dispuestas a renunciar a lo que han ganado con la inserción de implantes en sistemas extranjeros»[7].

Las armas cibernéticas, sus objetivos

Las herramientas de la guerra cibernética pueden variar de extremadamente sofisticadas a absolutamente simples, las comunes en la «caja de herramientas» estándar de los hackers (virus, malware[8], etc.), dependiendo de los efectos que el atacante quiera conseguir.

Los objetivos directos de la ciberguerra son obviamente militares – para evitar que los comandos se comuniquen con las tropas o para identificar a las tropas enemigas – pero a medida que las economías modernas se basan cada vez más en los sistemas de información, muchos gobiernos temen que la infraestructura crítica se vea afectada y paralizada: muchos sistemas industriales fueron construidos hace décadas y pueden ser muy vulnerables a los ataques cibernéticos. Una ciberguerra podría causar miles de millones de dólares de daños, socavar la vida democrática de un país.

Además, ya no debemos pensar en una guerra cibernética pura: las capacidades de guerra cibernética forman parte cada vez más de las estrategias y métodos militares generales, y el concepto ha sido absorbido por un conjunto más amplio de opciones militares, como ha ocurrido en el pasado con otras tecnologías, como la aviación o los submarinos. ¡La guerra es cada vez más compleja, integrada e incontrolable!

¿Una próxima carrera armamentista de la ciberguerra?

El citado artículo del Boletín especifica que «existe un riesgo real de que nos encontremos en las primeras etapas de la carrera armamentista de la ciberguerra: los países se dan cuenta de que es necesario tener una estrategia de ciberguerra y aumentarán el gasto para acumular armas, como en todo lo que se refiera a los armamentos. Esto significa que habrá más países que almacenen ataques inmediatos (ataques de día cero), lo que significa más agujeros en el software que no están parchados, lo que nos hace a todos menos seguros. Y los países con arsenales de armas cibernéticas pueden significar que los conflictos cibernéticos pueden aumentar más rápidamente. Uno de los grandes problemas es que estos programas tienden a desarrollarse en secreto, con muy poco control y transparencia y con reglas poco claras de participación.»

Y señala con razón que el problema no es «si la guerra cibernética puede ser menos destructiva». Por supuesto que sí, pero también puede ser más destructiva, en un sentido más amplio, si acaba dañando todo un sistema de servicios durante mucho tiempo. Nadie sabe exactamente quién morirá como resultado. Podría ser alguien que esté recibiendo un suministro de oxígeno, pero podría ser alguien que no puede ver por dónde conduce o camina porque el alumbrado público está apagado.”

Riesgos de ataques cibernéticos a las armas nucleares

La realidad de las amenazas y los riesgos de los ataques cibernéticos se hace muy clara cuando los peligros se relacionan con los sistemas de armas nucleares. La alarma se ha disparado desde hace mucho tiempo y ahora hay un gran número de análisis e informes.

En este contexto, presento un voluminoso informe oficial británico de hace dos años[9]. En una entrevista de enero de 2017 con el autor del mencionado informe[10], afirma, respondiendo a la pregunta explícita de si un hacker podría realmente detonar una ojiva nuclear o lanzar un misil nuclear: «Creo que la respuesta es afirmativa, aunque en mi opinión esto es muy improbable y varía en función del actor o sistema en cuestión. Los sistemas más vulnerables son probablemente los más modernos y complejos, en particular los que controlan las armas nucleares en un estado de alerta alto [la cursiva es mía]. El software y los sistemas asociados de armas nucleares podrían ser alterados mientras se construyen, se podrían enviar señales electrónicas a las armas nucleares, o tal vez los fabricantes podrían tratar de comprometer indirectamente su uso confundiendo esos sistemas y manipulando la información en la que se basan. Sin embargo, también debemos considerar quién podría querer esto. Los hackers más sofisticados son propiedad del estado y es difícil ver cómo podrían querer causar un lanzamiento o una explosión nuclear. Es mucho más plausible que estos hackers quieran impedir el funcionamiento de estos sistemas. E insiste en que los riesgos son «más graves para los países que mantienen los sistemas en plena alerta para utilizarlos rápidamente… quizás la mayor preocupación y en el sur de Asia» [India y Pakistán[11]]. «La evolución hacia sistemas más complejos e interconectados para las armas nucleares y su gestión es, en mi opinión, una evolución peligrosa que aumenta el riesgo de que los hackers entren o simplemente que las cosas salgan mal. … Este es especialmente el caso durante una crisis en la que estos sistemas están bajo presión y presión temporal».

Un artículo en el Boletín del año pasado[12] destaca tres aspectos cruciales: «En primer lugar, las armas nucleares y sus sistemas son complejos y ofrecen a los atacantes muchos objetivos. Una vulnerabilidad de la seguridad cibernética no sólo afecta a las armas en sí mismas, sino también a los sistemas de comunicación, las plataformas de lanzamiento e incluso los sistemas de planificación. Algunos sistemas clave -por ejemplo, las redes eléctricas- ni siquiera son propiedad del gobierno, pero podrían alterar directamente los sistemas nucleares vitales. En segundo lugar, las soluciones técnicas por sí solas no son suficientes. …Tercero, la creciente amenaza cibernética a los sistemas de armas nucleares requiere una revisión más amplia, en Estados Unidos y otros países con armas nucleares, de sus doctrinas, políticas, posturas, estructuras, procedimientos y bases tecnológicas nucleares.

También hay un artículo británico[13] que añade observaciones alarmantes que me parecen cruciales: «Los ciberataques podrían alterar un sistema para que piense que está siendo atacado, o para que proporcione a los seres humanos información engañosa sobre el estado de sus armas nucleares, reduciendo su capacidad para utilizarlas cuando sea necesario.

En 2010, 50 misiles nucleares escaparon bajo las narices de los oficiales de la base de la Fuerza Aérea Francis E. Warren en Wyoming. Durante casi una hora, los misiles Minuteman III, cada uno con un alcance de más de 12.800 km, permanecieron fuera de control y fuera de comunicación. Si la necesidad hubiera surgido, el personal del centro de control no habría tenido ninguna forma de lanzarlos. Tampoco tenían forma de saber si los misiles estaban siendo manipulados por algún enemigo desconocido.

Resultó que este aterrador episodio se debió enteramente a una sola falla del hardware del sistema de comunicación base.

Vamos a reírnos de ello…

… citando un curioso artículo de hace unos días en el Boletín titulado «Estupidez artificial»[14].

[1] Pressenza Budapest, Llamado a la prohibición internacional de la utilización de la inteligencia artificial como arma, 09.11.2017, https://www.pressenza.com/es/2017/11/llamado-a-la-prohibicion-internacional-de-la-utilizacion-de-la-inteligencia-artificial-como-arma/; A. Baracca, Los inquietantes escenarios de las armas autónomas, 20.12.207, https://www.pressenza.com/es/2017/12/los-inquietantes-escenarios-de-las-armas-autonomas/; Red Italiana de Desarme, Del debate en la ONU sobre la necesidad de un nuevo Tratado sobre «robots asesinos», 16.04.2018, https://www.pressenza.com/it/2018/04/dal-dibattito-sede-onu-forte-convergenza-sulla-necessita-un-trattato-sui-killer-robots/; Stop Killer Robots, Campaña Internacional contra Armas Autónomas, 11.07.208, https://www.pressenza.com/it/2018/07/stop-killer-robots-campagna-internazionale-contro-le-armi-autonome/.

[2] De Wikipedia: «En la seguridad informática, un gusano es una categoría particular de malware que puede replicarse a sí mismo. Es similar a un virus, pero, a diferencia de éste, no necesita vincularse a otros programas ejecutables para propagarse, sino que para ello utiliza otros ordenadores, por ejemplo, el correo electrónico y una red informática.»

 

[3] Schmitt Michael N., Tallinn Manual on the International Law Applicable to Cyber Warfare. Nueva York, Estados Unidos de América: Cambridge University Press, 2013.

[4] Informe Especial: La ciberguerra y el futuro de la ciberseguridad, 2016, p. 8, http://book.itep.ru/depository/cyberwar/SF_cyberwar.pdf

[5] S. Ranger, los gobiernos y los estados nación están ahora oficialmente entrenando para la ciberguerra: Una mirada al interior, Techrepublic, 20 septiembre 2016, https://www.techrepublic.com/article/governments-and-nation-states-are-now-officially-training-for-cyberwarfare-an-inside-look/.

[6] S. Ranger, ¿Qué es la ciberguerra? Todo lo que necesita saber sobre el aterrador futuro de los conflictos digitales, ZDNet, 7 septiembre 2018, p. 8, https://www.zdnet.com/article/cyberwar-a-guide-to-the-frightening-future-of-online-conflict/.

[7] Elisabeth Eaves: David Sanger sobre el arma perfecta, Boletín de los Científicos Atómicos, 5 septiembre 2018, https://thebulletin.org/2018/09/david-sanger-on-the-perfect-weapon/?utm_source=Bulletin%20Newsletter&utm_medium=iContact%20email&utm_campaign=September7.

[8] El malware es un programa especial para PC diseñado con el único propósito de causar daños al usuario. Un virus es un tipo particular de malware diseñado específicamente para replicarse a sí mismo infectando otros archivos informáticos. El malware puede dividirse en software malicioso que requiere un programa anfitrión apropiado (virus, troyanos, etc.) para ejecutarse, y malware completamente autónomo que no requiere ningún programa anfitrión (gusanos, zombis, rootkits) para ejecutarse. Hoy en día, el malware es en realidad un sistema de varias capas, cada uno de ellos procedente de servidores diferentes que a veces se encuentran en países diferentes con códigos maliciosos diferentes que, a continuación, se combinan. Por otro lado, está el ransomware, un tipo de malware que no permite ciertas características del ordenador infectado y que requiere un rescate («ransom» en inglés, y «ware», diminutivo de malware) que los hackers exigen como pago para poder eliminar el bloqueo: introducido para extorsionar dinero de las empresas o los consumidores.

[9] A. Futter, Cyber Threats and Nuclear Weapons, New Questions for Command and Control, Security and Strategy, Royal United Services Institute, luglio 2016, https://rusi.org/publication/occasional-papers/cyber-threats-and-nuclear-weapons-new-questions-command-and-control.

[10] Amenazas Cibernéticas a las Armas Nucleares: ¿Deberíamos preocuparnos? Una conversación con el Dr. Andrew Futter, NTI, 25 enero 2017, https://www.nti.org/analysis/atomic-pulse/cyber-threats-nuclear-weapons-should-we-worry-conversation-dr-andrew-futter/.

[11] Me refiero a mi artículo en Pressenza del 27 de julio de 2017: Las armas nucleares: la noble carrera entre India y Pakistán…. ¡quién se incinera primero!, https://www.pressenza.com/it/2017/07/armi-nucleari-la-nobile-gara-fra-india-pakistan-si-incenerisce/ (en italiano).

[12] P. Stoutland, Growing threat: Cyber and nuclear weapons systems, Bulletin of the Atomic Scientists, 18 octubre 2017, https://thebulletin.org/2017/10/growing-threat-cyber-and-nuclear-weapons-systems/.

[13] J. Denler, No nuclear weapon is safe from cyberattacks, Wired UK, 28 septiembre 2017, https://www.wired.co.uk/article/no-nuclear-weapon-is-safe-from-cyberattacks.

[14] T. Gaulkin, Artificial stupidity, Bulletin of the Atomic Scientists, 11 septiembre 2018, https://thebulletin.org/2018/09/artificial-stupidity/.