El ataque ruso a Ucrania también es digital, pero ¿cuánto exactamente?

Esta pieza es parte de uno de los envíos del boletín semanal de Tecnología, que se manda cada viernes. Si quiere apuntarse para recibirlo, puede hacerlo en este enlace.

Rusia agredió a Ucrania con bombas y misiles ayer 24 de febrero. Llevábamos semanas pendientes de si iba a ocurrir o no. Uno de los asuntos recurrentes todos estos días ha sido la presunta guerra digital: cómo iba ser, qué peligros nuevos iba a añadir.

Hay que distinguir primero dos campos. La guerra digital se juega en dos frentes: desinformación y ciberataques. Primero, la desinformación:

• Ante todo hay que entender nuestra época. El tuit destacado de “Rusia ha invadido Ucrania” de la cuenta oficial @ukraine lleva, en el momento de escribir esta pieza, 13.000 retuits. Un par de horas antes la misma cuenta había tuiteado este meme: sumaba 250.000 retuits, casi 20 veces más. Debajo del tuit había una advertencia: “Esto no es un meme, sino nuestra y vuestra realidad ahora mismo”. En días así, un meme vale tanto como mil imágenes y declaraciones. Es increíble el poder del nazismo para seguir marcando el discurso de los líderes de Ucrania y Rusia.

• La información en la era digital tiene un problema y una ventaja. Lo peor es que son el mismo: todos podemos tener un altavoz similar en las redes. Si no es en Twitter, Facebook o YouTube puede serlo en Reddit o Telegram. Desde redes menores o canales ocultos puede ir colándose hasta redes más masivas y en lenguas distintas. Eso permite que todo este entramado de logos, siglas y canales sean un altavoz presuntamente legítimo de la inteligencia rusa. Quien quiera creer al presidente Putin lo tiene facilísimo. Solo necesita acudir a sus fuentes de información sesgada. Este cuadro está actualizado a febrero de 2022. (Hay uno en español: Diario Octubre).

• Ese es el problema y la ventaja es la misma. Hay más ojos sobre el terreno. Kiko Llaneras lo explicaba en su artículo para esta misma sección de ayer: TikTok de repente se ha convertido en una valiosa fuente de información. TikTok lo es ahora porque es la rede de moda; antes lo fueron YouTube, Facebook o Instagram. Su validez efectiva, sin embargo, depende de que haya gente detrás viendo esos vídeos y comprobando que sean verdad. Son la comunidad de inteligencia de fuentes abiertas, que lidera desde hace unos años Bellingcat, una fundación sin ánimo de lucro basada en Holanda y que se ha enfrentado a Putin en casos como el del opositor Alexei Navalni o el avión de Malaysia Airlines derribado en Ucrania en 2014.

• La analista Anna Applebaum avisaba de una obviedad, que retuiteó también la cuenta oficial de Ucrania. La mejor advertencia, casi la única, es ser cuidadosos con lo que nos creamos. Y sobre todo, con lo que nos queramos creer. Una prueba es el éxito de los memes de la cuenta de Ucrania en Twitter. Donde haya un buen mensaje emocional que se quite cualquier información detallada y matizada difícil de entender.

Los errores de apreciación no son solo humanos. Las propias redes se equivocan y generan aún más confusión. Twitter borró varias cuentas legítimas que documentaban la actividad militar rusa. La sospecha inicial fue que se debía a la queja masiva de usuarios rusos fraudulentos. En Twitter se encargaron de desmentirlo: nunca toman la acción solo por reporte masivo de una cuenta, precisamente para evitar que los adversarios lo aprovechen. Es una leyenda que lleva tiempo circulando.

• ¿Ha llegado el “ciber Pearl Harbour”? Estos avisos sobre desinformación están más vistos. Llevan años circulando y ahora quizá se enfrentan a su prueba mayor: una invasión real con misiles y tanques. Ya no es una elección o un asalto al Capitolio, ni siquiera una pandemia.

Pero con Ucrania el temor real era la ciberguerra que acabara con todas las ciberguerras: el famoso “ciber Pearl Harbour” que marcara un antes y después. Pero de momento, nada muy reseñable.

Esta cita de un funcionario ucranio en un teletipo de Associated Press del jueves pone las cosas en contexto. El artículo es sobre los ataques de denegación de servicio que afectaban a webs del Gobierno ucranio ayer jueves por la mañana: son ataques que sirven para impedir visitar la página o ralentizarla. Esto decía el teletipo: “Preguntado si los ataques continuaban este jueves por la mañana, el funcionario de Defensa Victor Zhora no respondió: ‘¿Es en serio?’, escribió en un mensaje. ‘Tenemos misiles balísticos encima’”.

Los expertos en ciberguerra llevan tiempo advirtiendo sobre la necesidad de poner la gravedad de estos ataques en contexto. Nadie sabe con certeza qué puede acabar ocurriendo ni cómo, pero sí se sabe que hasta ahora no ha ocurrido. Una de las mejores pruebas de que no ha pasado es que Rusia ha necesitado entrar con tanques en Ucrania para lograr sus presuntos objetivos. Los ataques de todo tipo que lanza desde 2014 han tenido distintos grados de éxito, han afectado a todo el mundo, pero no han avanzado su causa de modo definitivo.

Dicho esto, ¿hay algún país por ahí con el dedo sobre un botón que lanzaría un ciberataque que dejaría todo un país sin capacidad de reacción? Es difícil pero posible. De momento nadie lo ha visto.

Este extenso artículo de dos expertos en ciberseguridad trata de poner algo de evidencia en este campo dado a titulares grandiosos, más en días de tensión como los que llevamos pendientes de Ucrania:

La evidencia sugiere que la amenaza es exagerada. Rusia ha intentado durante ocho años que Ucrania abandone su política exterior pro Unión Europea y OTAN a través de una combinación de diplomacia, coerción y subversión que incluyó múltiples ciberoperaciones. Esos esfuerzos fracasaron. Y por eso Rusia ha cambiado a un instrumento de poder más costoso y arriesgado, pero también más potente: la fuerza militar.

Las ciberoperaciones no son irrelevantes, ni son imposibles los ciberataques sorpresa. Pero al evaluar su amenaza deberíamos distinguir lo que es posible en teoría de lo que es factible y, por tanto, probable en la práctica. Y ahí la evidencia indica claramente que es probable que las ciberoperaciones no sean capaces de sustituir el uso de la fuerza, ni de mejorar significativamente la eficacia militar.

Hay una opción derivada que puede tener consecuencias imprevistas. Además del ataque de denegación de servicio, en los últimos dos días un wiper, un programa malicioso que borra el contenido de los ordenadores que ataca, ha destrozado sistemas informáticos de centros clave de las defensas ucranias, no solo dentro del país, también en Lituania y Letonia.

Esa aparente internacionalización del conflicto ha llevado a temer por qué pasaría si ocurriera un nuevo NotPetya, un ataque contra sistemas dentro del país que se extendió por todo el mundo y provocó grandes daños en varias empresas globales. Este tipo de ataques pueden darse por voluntad, por casualidad o por error. ¿Cuál sería la respuesta si de repente empiezan a caer sistemas en Londres o Munich? ¿Cuál debería ser la respuesta? En este campo todo depende mucho de todo: depende del ataque, depende de si es muy evidente quién ha sido el atacante, depende de sus consecuencias reales, depende de los afectados. Es un territorio muy espinoso.

“No hay una bala ganadora disponible para Occidente. Hablar de lo cibernético como “el misil disuasivo de nuestra era es una locura”, escribe el profesor de la Universidad de Oxford Ciaran Martin. “El dominio ciber puede influir, pero no decidirá esta crisis. No lo digo para infravalorar el horror, ni la importancia de la dimensión ciber. Pero el realismo nos ayuda a prepararnos mejor. En Occidente, cautela y preparación sin pánico son la postura adecuada en ciberseguridad”, añade.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.