Los ataques de Rusia a Ucrania suelen ocurrir mediante mecanismos convencionales, pero “se combinan con ciberactividad maliciosa”, que “ciertamente los fortalece y los hace mucho más efectivos”. Así lo explicó a La Tercera el abogado británico Russell Buchan, académico de Derecho Internacional de la Reading University y miembro senior del Centro de Seguridad Cibernética de la OTAN.

De paso por Santiago, invitado a Chile por la Universidad Gabriela Mistral para exponer en el seminario “Gobernanza en ciberseguridad: cyber law y desafíos del sector público y privado”, Buchan explicó a este medio que el auge de la inteligencia artificial (IA) ha transformado el panorama digital global: hoy cualquier persona puede identificar vulnerabilidades, evadir la detección y lanzar ataques sofisticados.

En conversación con La Tercera, el académico de Reading se refirió a cómo Rusia, Irán y Corea del Norte emplean tácticas híbridas para desafiar a Europa y a la OTAN, y por qué considera urgente que los países adopten una estrategia de ciberseguridad que involucre a toda la sociedad. “Todos los miembros, todas las capas, todos los aspectos de la sociedad deben practicar una buena ciberhigiene”, instó el miembro senior de la OTAN.

¿Cómo evalúa el estado actual de la ciberseguridad en Europa?

Las estadísticas son bastante claras. Ha habido un aumento exponencial en la tasa de actividad cibernética maliciosa. No tiene precedentes en su escala, su alcance, en su sofisticación, y podría haber muchas razones para eso. Pero una cosa que realmente me viene a la mente es el amanecer de la inteligencia artificial. Ha habilitado masivamente a todos los miembros de la sociedad: no solo a los Estados, no solo a los poderosos actores no estatales, empresas y corporaciones, sino hasta al individuo. Les ha permitido identificar una gama mucho más amplia de víctimas. Les ha permitido identificar vulnerabilidades mucho más fácilmente en redes y sistemas informáticos. Les ha ayudado a evitar la detección, etc. Entonces, creo que la IA ha sido una gran impulsora de la actividad cibernética maliciosa que hemos visto en los últimos meses, tal vez incluso en los últimos años.

¿Y qué opina de las estrategias que Rusia ha empleado en su guerra híbrida contra los países europeos, especialmente los que apoyan a Ucrania?

Creo que mi primera reflexión al respecto es que, por supuesto, la guerra de Rusia con Ucrania y su antagonismo con los Estados que la apoyan son, en gran medida, convencionales. En el sentido de que las tácticas que se están utilizando son las que quizás hayamos visto históricamente. Pero, claro, ahora también se combinan con ciberactividad maliciosa. En ese sentido, no creo que la ciberactividad maliciosa haya reemplazado esos mecanismos convencionales, pero ciertamente los fortalece y los hace mucho más efectivos. Así que supongo que el gran ejemplo serían las estrategias de ciberinterferencia, la desinformación, la presentación incorrecta del conflicto.

Por ejemplo, que Rusia es la víctima y Ucrania y los Estados europeos y occidentales son los agresores, utilizando campañas de desinformación para negar que atacan directamente a civiles e infraestructuras civiles, incumpliendo así sus obligaciones con el derecho internacional humanitario. Además, realizan actividades cibernéticas disruptivas contra los Estados que los apoyan, desestabilizando los trenes de suministro digitales y las economías.

Además, y por supuesto, lo más importante, la guerra de propaganda, que, como ya he dicho, no se trata solo de presentar a Ucrania como el agresor, sino también de que Ucrania, como agresor, cuenta con el apoyo de estos otros Estados. Como dije, mucho de esto está sucediendo ahora en línea y permea todos los aspectos de la sociedad. Así que están utilizando todo tipo de sitios web, plataformas de redes sociales e incluso ciertas actividades comerciales como canal para difundir su desinformación.

Estas amenazas, ¿diría que se dirigen principalmente a los gobiernos o que los ciudadanos también pueden sufrir las consecuencias?

Sí, absolutamente. Creo que la propaganda es multifacética y multidimensional. Así que, sin duda, gran parte de esa ciberinterferencia, de esa ciberpropaganda, se dirige a los gobiernos para disuadirlos de suministrar armas a Ucrania, de imponer sanciones a Rusia y de estrechar aun más las relaciones con Ucrania. Pero creo que los informes dejan claro que esas ciberoperaciones de las milicias se dirigen a todos los sectores de la sociedad, incluso a los ciudadanos individuales. Y creo que, como dije, hay objetivos muy ambiciosos.

Por supuesto, se trata de aumentar la reputación y la posición de Rusia. Pero también de desestabilizar la opinión nacional, y quizás más bien la seguridad y la estabilidad nacional en los Estados donde se ataca a esos individuos. Y, por supuesto, la ciberseguridad lo facilita bastante. Porque se propaga por todo el sistema. Así que, ya saben, un pequeño empujón en una red social puede compartirse miles, sino millones, de veces. Y luego se propaga rápidamente por todo el mundo.

También diría que los informes demuestran que Rusia está utilizando esas operaciones cibernéticas para atacar la diáspora rusa en otros Estados. Sabemos que hay muchos rusos que viven en el extranjero y critican la postura de Rusia. Y tienen una voz muy fuerte. Si nos fijamos en los medios de comunicación, este tipo de exiliados rusos son entrevistados constantemente y critican al Estado ruso. Por lo tanto, esas operaciones cibernéticas buscan silenciar y deslegitimar a esa diáspora rusa en particular.

¿Hay más países que representan una amenaza para los miembros de la OTAN aparte de Rusia?

Sí, es interesante usar la palabra “amenaza” en este contexto. Creo que “amenaza” no es algo binario. No se trata de que seas una amenaza o no lo seas. Hay una gran zona gris en el medio. Así que algunos Estados podrían considerarse un desafío para la OTAN o plantear dificultades estratégicas para su trabajo y sus políticas. Y, sin identificar países específicos, sé que al menos en un país, el mío, hay un gran debate sobre si China debería presentarse como una amenaza o como un desafío. Y la diferencia entre los lenguajes que se utilizan allí es, obviamente, bastante reveladora. Así que, puede haber varios Estados en medio de ese espectro a los que probablemente sea mejor referirse como desafíos.

Pero además de Rusia, creo que Estados como Irán, que es, como sabemos, un actor internacional muy agresivo y maligno que brinda una cantidad significativa de apoyo a grupos terroristas prescritos, y Corea del Norte también creo que está bastante claro que representa una amenaza considerable para la OTAN y las naciones democráticas liberales en general.

¿Y cómo cree que están preparadas la Unión Europea y la OTAN para responder a un ciberataque?

Eso es complicado porque, por supuesto, no son organizaciones particularmente comparables. En la OTAN, sus miembros individuales son más prominentes en esa organización. Mientras que la Unión Europea tiene sus propios órganos y organismos de toma de decisiones. Por lo tanto, la forma en que responden a las ciberamenazas puede ser muy diferente. Lo único que diría, y esto es desde fuera, mirando lo que están haciendo, es que la ciberseguridad se ha convertido ahora en un problema muy acuciante para esas organizaciones. Y aunque puedan responder de diferentes maneras, está muy claro que la ciberseguridad es una prioridad de primer nivel junto con otras amenazas planteadas por las tecnologías nuevas y emergentes.

Acabamos de ver a la Unión Europea adoptar una declaración regional sobre la aplicación del derecho internacional al ciberespacio. Esa no fue la primera declaración regional del mundo. La Unión Africana tomó la iniciativa en ese sentido. Pero creo que es significativo que la UE diera seguimiento a eso muy poco después de básicamente una posición común de cómo los Estados de la Unión Europea ven la aplicación del derecho internacional al ciberespacio.

Y obviamente el derecho internacional tiene un papel muy importante para garantizar que el derecho internacional se respete en el ciberespacio. Por supuesto, la OTAN es diferente: es una organización de paz y seguridad. En realidad, se trata de proteger a los miembros de la OTAN de la agresión. Por lo tanto, adopta un enfoque más militar.

Pero creo que un vistazo rápido a los medios de comunicación o a cualquiera de los informes que salen de los funcionarios de la OTAN, incluido el secretario general, es muy claro que la OTAN ve el ciberespacio como una amenaza militar o al menos puede ser una amenaza militar. Y eso debe abordarse mediante medios militares convencionales o también podría abordarse mediante capacidades cibernéticas. Así que creo que se están preparando muy bien para una misión de actividad cibernética.

Si tuviera que darle una recomendación a un ministro de Defensa de un país miembro de la OTAN, ¿qué le diría para asegurarse de que protejan a su gobierno y a sus ciudadanos?

Gran pregunta. Esto no solo se le aplicaría a cualquier ministro de Defensa de la OTAN. Se le aplicaría a cualquier ministro de Defensa del mundo. Creo que, ante todo, el mejor enfoque para la ciberseguridad es cuando los Estados adoptan un enfoque que abarque a toda la sociedad. Todos los miembros, todas las capas, todos los aspectos de la sociedad deben practicar una buena ciberhigiene. Las personas deben tener contraseñas seguras. Los ciudadanos deben cambiar sus contraseñas regularmente. Las personas deben tener un umbral mínimo de ciberalfabetización. Es absolutamente crítico.

Las empresas deben tener sus políticas de ciberseguridad establecidas. Los funcionarios y empleados deben recibir capacitación sobre cómo proteger los datos, cómo proteger las redes, cómo proteger sus sistemas. Y también deben existir protocolos de ciberseguridad para que las empresas sepan cómo responder a la ciberactividad maliciosa, cómo expulsar a los actores maliciosos de sus sistemas, cómo mitigar los efectos adversos de las ciberoperaciones.

Y luego, por supuesto, el propio Estado necesita adoptar leyes que protejan a los miembros individuales de la sociedad, que aseguren que sus agencias de aplicación de la ley sean capaces cibernéticamente para que puedan investigar la actividad cibernética maliciosa. Creo que los Estados deben trabajar arduamente en todos los niveles de la sociedad para garantizar que esas capacidades se utilicen de forma responsable, legal y ética.