Puede haber sido ligeramente embarazoso para la UE que el 29 de marzo el sitio de noticias húngaro Direkt 36 diera a conocer cómo el Ministerio de Asuntos Exteriores de Hungría había sido hackeado durante varios meses desde diciembre de 2021 por la inteligencia rusa, unos días después de que la Comisión Europea anunciara con orgullo que había reforzado la ciberseguridad con un nuevo conjunto de medidas para endurecer las redes de los organismos de la UE contra la penetración.
Dado que la conexión húngara comprometió potencialmente los sensibles canales de comunicación con Bruselas, el incidente es otra dolorosa demostración de lo frágil que es realmente la ciberseguridad.
Este incidente no es un caso aislado (el hackeo del presidente del gobierno español es otro ejemplo reciente destacado) y estoy seguro de que hay muchos más incidentes similares que no se han denunciado.
De hecho, este mismo mes se han hecho nuevas advertencias sobre nuevos hackeos.
Con este telón de fondo, la Comisión Europea publicó el 22 de marzo un nuevo Reglamento de Ciberseguridad que pretende mejorar la “gobernanza, la gestión de riesgos y el control en el ámbito de la ciberseguridad” de sus instituciones.
Esto incluye un nuevo consejo interinstitucional de ciberseguridad, el impulso de las capacidades de ciberseguridad y las evaluaciones de madurez y una mejor ciberhigiene. Y lo que es más importante, el mandato del Equipo de Respuesta a Emergencias Informáticas (CERT-UE) recibirá responsabilidades adicionales en materia de inteligencia de amenazas, intercambio de información y coordinación de la respuesta a incidentes. Estas nuevas normas se suman a las iniciativas existentes para mejorar la ciberseguridad de la UE, facilitadas por Enisa, la Agencia Europea de Seguridad de la Información.
Pero el hackeo húngaro, que permitió a los servicios de inteligencia rusos leer por encima del hombro de un Estado miembro de la UE durante un largo periodo de tiempo, demuestra que la ciberseguridad está más interconectada que nunca y que debe garantizarse mucho más allá de las instituciones y agencias de la propia UE.
Requiere más incisividad de la que probablemente se consiga con una junta interinstitucional, que a primera vista suena a poco más que otra capa burocrática sobre el resto y un paralelismo con Enisa.
La UE y sus miembros dependen cada vez más de la infraestructura digital. Esto conlleva enormes riesgos de graves trastornos si esta interconexión se ve comprometida.
Mientras que los ciberataques habituales implican, naturalmente, el robo de información confidencial política y económica de la UE, la guerra en curso en Ucrania podría dar lugar a ofensivas cibernéticas más perjudiciales.
Los últimos meses han puesto de manifiesto ciberataques de diversa envergadura, potencia y éxito contra las comunicaciones digitales, las infraestructuras críticas e incluso los satélites. La UE y el mundo están en los albores de una nueva era digital, en la que el 5G y más allá, la IA, la computación cuántica, los drones inteligentes, las nanotecnologías y las innovaciones concomitantes permitirán una verdadera Internet de las cosas que conecta todos los dispositivos, pero que al mismo tiempo expone esas conexiones a grandes riesgos.
La cuestión, por tanto, sigue siendo qué pasos adicionales hay que dar para permitir un entorno digital seguro y protegido.
Las iniciativas de Enisa definitivamente conducen a desarrollos positivos y a la concienciación; sin embargo, suelen implicar la creación de capas y procedimientos burocráticos, y se centran en incentivar sin hacer cumplir. Se necesitarán nuevos paradigmas para detectar y defenderse de los nuevos intentos de explotar nuestra conectividad y mitigar sus efectos, y en este sentido, la UE puede aprender mucho de sus socios.
Como potencia de la OTAN, EE.UU. sigue siendo el Estado más capacitado del mundo en materia de cibercapacidades defensivas, ofensivas y de inteligencia, gracias a décadas de importantes inversiones y a una clara dirección política, y se podría hacer más para compartir técnicas con los aliados de la UE. Otros ejemplos son los Emiratos Árabes Unidos que, impulsados en parte por el fuerte aumento de los ciberataques, se han convertido en una fuerte potencia cibernética regional.
Su estrategia ha incluido la obtención de ayuda de expertos en cibernética, como Amazon Web Services y Deloitte, para ayudar a capacitar al personal local en tecnología, una técnica que los Estados de la UE también deberían adoptar en mayor medida con los socios adecuados.
Aunque hay diferencias clave en la forma de evaluar las capacidades cibernéticas ofensivas, para contrarrestar la amenaza de las potencias autoritarias, como miembros de la OTAN, muchos estados de la UE también podrían tratar de mejorar aún más sus capacidades cibernéticas ofensivas para evitar ser superados por la fuerte inversión de China y Rusia en esta área.
Sin embargo, la dificultad para la UE es que no se trata de una nación individual, sino de la combinación de 27 políticas y mentalidades de ciberseguridad, por lo que tendrá que buscar la manera de superar las divisiones que esto conlleva.
Por hacerlista
Para ello, la UE debería mejorar la ciberseguridad en torno a tres elementos clave: mejorar el conocimiento de la situación, reducir la superficie de ataque mediante contramedidas coordinadas y hacer cumplir las normas.
La UE se encuentra en una posición excelente para llevar a cabo los tres elementos, pero las normas tendrán que ser más estrictas y aplicarse en lugar de incentivarse. Siempre que el CERT-UE tenga la capacidad de procesar los datos entrantes, los incentivos podrían incluir sanciones por no cumplir los requisitos, ayudando a garantizar que los incidentes más graves sean perseguidos y haciendo que la UE ponga su considerable poder económico en contra de los Estados que albergan a los ciberdelincuentes.
El establecimiento de estas capacidades no es sólo un reto técnico, sino también organizativo. La ciberseguridad no se establece de forma aislada, sino que es lo más holística y descompartimentada posible.
Pero la ciberseguridad sólo puede ser tan fuerte como su eslabón más débil.