En la primavera de 2007, Estonia se convirtió en el primer país del mundo en ser víctima de un ataque cibernético masivo y selectivo. Un enorme ataque distribuido de denegación de servicio (DDoS) paralizó las páginas web del gobierno y otros sitios web críticos, así como sistemas como la infraestructura bancaria, lo que obligó al país, uno de los más digitalizados en aquel momento, a desconectarse de Internet para permitir la recuperación de los servicios.
Desde entonces, los ataques a gran escala destinados a dañar las infraestructuras críticas y a desestabilizar a los países no han hecho más que aumentar. Un ejemplo de esto es, por ejemplo, Stuxnet, un virus de tipo gusano detectado en junio de 2010 dirigido contra la infraestructura de “alto valor” de Irán, que probablemente fuera patrocinado por un país; o también la declaración conjunta de Estados Unidos y Reino Unido sobre las actividades maliciosas supuestamente desarrolladas por el gobierno ruso.
Son muchas las potenciales consecuencias derivadas de los ciberataques a gran escala dirigidos contra países, pudiendo llegar incluso ser mortales. En este sentido, si se cortase el suministro de electricidad o agua a una ciudad, las empresas no podrían seguir con su actividad, y los pacientes en estado de salud crítico podrían morir. Por otra parte, un ataque a gran escala contra el sistema bancario podría paralizar los mercados financieros y provocar el fracaso de las empresas y el colapso de los sistemas económicos, mientras que aquellos ataques que interrumpen la red de transporte, como el control del tráfico aéreo, podrían tener consecuencias obvias.
La guerra cibernética entre países se ha convertido un peligro real en ciernes, por lo que muchos gobiernos, conscientes de este hecho, se preguntan qué pueden hacer para proteger a sus ciudadanos e infraestructuras.
El estado actual de la ciberseguridad a nivel nacional
Uno de los principales temores reside en el hecho de que los riesgos cibernéticos que afectan a los países no provienen únicamente de otras naciones, sino que organizaciones de ciberdelincuencia, terroristas, hacktivistas, etc. hacen uso de armas cibernéticas sofisticadas que, en algunos casos, cuentan con el respaldo de algún gobierno. Este es el caso de los ataques globales de 2017 WannaCry y Petya, que coparon los titulares. No es de extrañar que el Informe de Riesgos Mundiales 2018 del Foro Económico Global haya colocado los ciberataques en un lugar destacado tanto en sus índices de probabilidad como en sus índices de impacto. Por lo tanto, la mayoría de los estados no sólo son conscientes de las pérdidas financieras que pueden suponer, sino que también identifican los riesgos de la privacidad de los datos e incluso la seguridad física de los habitantes.
Conscientes de este hecho, la mayoría de los gobiernos nacionales adoptan ahora un triple enfoque de la ciberdefensa. En primer lugar, tienden a construir armas cibernéticas, es decir, a crear comités y grupos de expertos que se centran en explorar la mejor estrategia, legislación y enfoque para hacer frente a las amenazas cibernéticas. A continuación, se centran en programas de educación y sensibilización. En su mayoría, tratan de acabar con la escasez de profesionales de la seguridad cibernética a nivel mundial. Según un estudio de Cybersecurity Ventures, tan sólo hay unos 3,5 millones de profesionales en ciberseguridad en todo el mundo. Finalmente, establecen al menos un CERT (Computer Emergency Response Team) nacional civil, con el objetivo de hacer frente a las amenazas y ataques cibernéticos.
Los países suelen separar su ciberdefensa militar de sus defensas civiles, pudiendo tener un único CERT centralizado, o CERTs más pequeños especializados en sectores, para garantizar la seguridad de sus habitantes. Sin embargo, los CERTs son reactivos por definición, por lo que sólo actúan después de que un incidente cibernético se haya producido. Algunos CERTs, por el contrario, están adoptando una actitud más proactiva, optando así por recabar datos con el objetivo de alertar sobre posibles nuevos riesgos emergentes, aunque la efectividad de este enfoque es limitada, puesto que el ciclo general de detección, análisis, publicación e implementación puede prolongarse durante semanas.
En cualquier caso, la mayoría de los CERTs carecen de la capacidad legal y técnica para proteger proactivamente sus intereses nacionales de manera real o casi en tiempo real. Es precisamente esta una de las áreas que tiene que mejorar, ya que si no los CERTs no cuentan con los medios necesarios para bloquear de forma proactiva el ataque y defender las principales industrias, servicios públicos, hospitales, aeropuertos y otras instalaciones críticas.
Construyendo una ciberseguridad cibernética efectiva
De igual forma que se defienden las fronteras o se utilizan radares para vigilar los ataques aéreos para analizar las acciones del enemigo y tomar decisiones para optimizar la defensa, en ciberseguridad debe adoptarse un enfoque similar. Se necesitan tanto protecciones perimetrales como internas para protegerse contra cualquier tipo de amenazas, desde intentos de DDoS a gran escala hasta malware sigiloso y dañino. Todos los principales puntos de acceso a las infraestructuras críticas del país deben ser objeto de un seguimiento proactivo, y la información sobre amenazas debe llegar a un centro de operaciones para identificar, analizar y determinar de forma proactiva la respuesta correcta a las amenazas entrantes. Esto, además, puede combinarse con la prevención de amenazas en tiempo real para atrapar nuevas amenazas de malware evasivas antes de que se propaguen lateralmente a gran escala.
Esta capa general de visibilidad y análisis de amenazas debería ser un 'paraguas' sobre las propias defensas cibernéticas de las organizaciones y las fuentes de inteligencia, asegurando la resiliencia cibernética general en todo el país. Asimismo, esas protecciones deben ser lo más automatizadas posibles para garantizar una respuesta inmediata, con el objetivo de replicar la velocidad a la que pueden propagarse las amenazas actuales. Las protecciones deben estar impulsadas por la inteligencia en tiempo real y el conocimiento de la situación para garantizar que puedan defenderse incluso contra amenazas nuevas e inéditas.
En definitiva, Internet ha revolucionado todos los aspectos de la sociedad, incluyendo la diplomacia y la guerra internacional. Para defenderse de las nuevas generaciones de amenazas, el único enfoque válido de la ciberdefensa nacional se basa en la proactividad y anticipación, para que puedan identificarse los primeros signos de ataques y contenerlos automáticamente, antes de que puedan causar una perturbación generalizada.
Mario García, director general de Check Point para España y Portugal