Arturo Vidal 
Rusia ha lanzado una invasión a gran escala de Ucrania, enviando tropas al otro lado de la frontera y bombardeando ciudades en todo el país. Docenas de soldados ucranianos ya han muerto en el asalto, y millones de personas más en la región ahora están en peligro de muerte. Es probable que los países de todo el mundo también sientan algunos efectos, a través de las interrupciones físicas de los suministros agrícolas y energéticos, y las interrupciones digitales causadas por los ataques cibernéticos rusos. Este último, en particular, fácilmente podría terminar llegando a los Estados Unidos.
Es imposible predecir con certeza si tales ataques podrían ocurrir y cuándo, dice Michael Daniel, quien se desempeñó como asesor de seguridad cibernética del presidente Barack Obama y ahora es presidente y director ejecutivo de Cyber Threat Alliance, una organización sin fines de lucro. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras ya ha consejo emitido a empresas y otras organizaciones sobre cómo evitar invasiones digitales y responder si los piratas informáticos logran romper sus defensas. Pero los estadounidenses individuales reciben muy poca orientación gubernamental sobre lo que pueden o deben hacer para prepararse.
No es probable que el gobierno ruso, por el momento, apunte a la infraestructura digital estadounidense, me dijo Daniel. “Eso sería una gran escalada”. Pero las computadoras estadounidenses aún podrían verse comprometidas por los daños colaterales de los ataques rusos a los sistemas ucranianos, como ha ocurrido en el pasado. En 2017, por ejemplo, los piratas informáticos de la inteligencia militar rusa enviaron un malware conocido como no Petia en las redes informáticas ucranianas. A medida que la infección se propagó, un pequeño sistema hospitalario de EE. UU. perdió el uso de todas las máquinas con Windows en su arsenal, y docenas, si no cientos, de otros hospitales quedaron paralizados cuando un servicio de transcripción ampliamente utilizado para registros médicos electrónicos dejó de funcionar. Cualquier empresa que haga negocios en Ucrania, y cualquier persona o empresa que haga negocios con que compañía— podría ser vulnerable a este tipo de daños colaterales, dijo Daniel. “Nadie entiende completamente cómo Internet se interconecta y funciona en conjunto en algún tipo de nivel macro, por lo que poder trazar todas las permutaciones posibles de cómo algo podría tener un impacto es esencialmente imposible antes de tiempo”.
Herbert Lin, investigador principal del Centro para la Seguridad y Cooperación Internacional de Stanford, me dijo que los ataques directos todavía están sobre la mesa. Cuando se trata de piratería patriótica, dijo, “los rusos lo han elevado a una forma de arte”. Si EE. UU. continúa aumentando las sanciones y Rusia decide tomar represalias con ataques cibernéticos, Putin podría apuntar a la tecnología que respalda la infraestructura de EE. UU. Los bancos estadounidenses han sido reforzar sus ciberdefensas, pero “nunca han tenido que soportar un ataque cibernético total por parte de una nación tan poderosa en el ciberespacio como los rusos”, dijo Lin. Las autoridades municipales de energía y agua probablemente serían más vulnerables, dijo, porque muchas de ellas no tienen dinero extra para gastar en seguridad cibernética. Y si Rusia decide permitir que los ciberdelincuentes domésticos operen sin consecuencias, como se ha hecho en el pasado, simplemente podrían perseguir a las empresas y sistemas extranjeros que parezcan los objetivos más fáciles y lucrativos. Ninguno de estos es particularmente probable escenario, enfatizó Lin, pero cualquiera de ellos es posible.
Los expertos con los que hablé estaban divididos sobre cuánto deberíamos hacer tú o yo en previsión de posibles ataques. “No creo que los estadounidenses comunes deban realizar acciones físicas, como comprar gasolina o sacar efectivo del banco”, me dijo en un correo electrónico Jessica Beyer, codirectora de la Iniciativa de Seguridad Cibernética de la Universidad de Washington. Los archivos almacenados digitalmente no corren un gran riesgo, dijo, porque “las principales empresas de computación en la nube cuentan con una sólida seguridad”. CISA, por su parte, me dijo que aunque “actualmente no existe una amenaza cibernética específica y creíble para los EE. UU.”, los estadounidenses deberían mantener sus dispositivos actualizados, elegir contraseñas seguras y usar la autenticación multifactor. Daniel estuvo de acuerdo y enfatizó que el perfil de riesgo actual no requiere mucha más acción. “Lo que no queremos hacer”, dijo enfáticamente, es crear “corridas bancarias y escasez de gasolina por el pánico autoinducido”.
Lin dijo que sería prudente que las personas participen en algún comportamiento preparatorio modesto, como tener dinero extra a mano, empacar botiquines de emergencia, y mantener unos cuantos galones de agua por persona, pero, de nuevo, dijo, estas son cosas que la gente siempre debería estar haciendo, si tiene el dinero. También dijo que los servicios esenciales como la energía y el agua en las zonas urbanas podrían ser objetivos más tentadores que los de las zonas rurales, y que cuanto más cerca esté una persona de las organizaciones de importancia para la seguridad nacional, más vigilantes deberán estar. “No me gustaría ser socio de un alto general estadounidense en este momento”, dijo.
Quizás la forma más probable en que los estadounidenses sientan el efecto de cualquier ataque cibernético ruso sea a través de la guerra de información. “La única forma en que podrían sorprenderme con lo que están haciendo en este momento es si no lo usaran como una herramienta”, dijo Daniel. El principal objetivo de desinformación de Rusia serían los rusos, dijo, porque el gobierno querrá justificar la invasión ante sus ciudadanos. Pero sus tácticas también podrían extenderse hacia el oeste, dijo, por ejemplo, creando sitios web falsos del gobierno de EE. UU., lo que podría sembrar confusión.
La mayor amenaza digital de Rusia podría durar tanto como la crisis en Ucrania, o más. “Hay cosas que podrían ocurrir a través del ciberespacio que tienen un impacto en el mundo físico de las que podría tomar semanas, meses, años recuperarse”, dijo Daniel. Imagine, por ejemplo, que los atacantes destruyen transformadores y otras partes físicas de la red eléctrica. Los fabricantes estadounidenses pueden fabricar nuevos transformadores solo con cierta rapidez. En el peor de los casos, podríamos volver a armar las cosas durante mucho tiempo.
