Los funcionarios se han preocupado durante años por un posible ataque ruso a sistemas críticos como la red eléctrica. | Justin Sullivan/Getty Images
La guerra en Ucrania está renovando los temores de un ataque cibernético ruso en los EE. UU., y el peligro de que tal ataque pueda convertirse en un conflicto más amplio entre las dos potencias.
Los funcionarios estadounidenses se han preocupado durante años por un posible ataque ruso a sistemas críticos como la red eléctrica, que según los expertos en energía es vulnerable a ataques que podrían cortar la energía durante horas, días, semanas o incluso meses. Es casi seguro que Estados Unidos respondería a tal ataque a la vida cotidiana de los estadounidenses, y los legisladores y formuladores de políticas han dicho que las opciones deberían incluir represalias militares o contraataques cibernéticos, no solo más sanciones económicas.
Washington nunca dejó en claro qué tipo de pirateo desencadenaría una escalada, a pesar de años de advertencias de las agencias de seguridad de que Rusia probablemente esté sentando las bases para un ataque a infraestructura crítica que Estados Unidos no estaría preparado para prevenir.
“Todas estas hipótesis sobre lo que constituye un ataque… de repente podrían pasar de hipotéticas a reales literalmente en los próximos días”, dijo el presidente de Inteligencia del Senado, Mark Warner (D-Va.), en una entrevista esta semana.
El presidente ruso, Vladimir Putin, emitió una ominosa advertencia a naciones como los EE. UU. en su discurso del jueves por la mañana anunciando la invasión, diciendo que “quien intente obstaculizarnos” enfrentará “consecuencias que nunca han enfrentado en su historia”.
Más tarde ese día, el presidente Joe Biden dijo desde la Casa Blanca que “si Rusia realiza ataques cibernéticos contra nuestras empresas, nuestra infraestructura crítica, estamos preparados para responder”, aunque no dijo qué implicaría esa respuesta.
Biden le dijo a Putin durante una cumbre el verano pasado que la infraestructura crítica de los Estados Unidos debería estar “fuera de los límites” del ataque digital, entregándole una lista de 16 sectores que el Departamento de Seguridad Nacional ha identificado.
Biden le dijo a Putin durante una cumbre el verano pasado que la infraestructura crítica de los Estados Unidos debería estar “fuera de los límites” del ataque digital y le entregó una lista de 16 sectores que el Departamento de Seguridad Nacional ha identificado como especialmente vitales al interés nacional. Estos incluyen energía, agua, servicios financieros, atención médica, defensa y suministro de alimentos.
Pero los piratas informáticos del gobierno ruso han incursionado repetidamente en la infraestructura crítica de EE. UU., incluido el sector energético, desde 2016, dijeron el FBI y el DHS. Una “Evaluación de amenazas mundiales” de 2019 realizada por la comunidad de inteligencia de EE. UU. encontró que Rusia tiene la capacidad de interrumpir los centros de distribución eléctrica en los Estados Unidos durante “al menos unas pocas horas”, y agregó: “Moscú está mapeando nuestra infraestructura crítica con el largo plazo objetivo de poder causar un daño sustancial”.
Un gran ataque a la red de EE. UU. podría ser especialmente devastador, sumiendo a partes del país en la oscuridad durante días o más, según el método de ataque. Texas ofreció un vistazo a este escenario el año pasado, cuando las fallas de energía provocadas por el clima frío dejaron a millones de personas sin electricidad. Más de 200 muertes estuvieron relacionadas con la tormenta, dos tercios de ellas por hipotermia.
Los piratas informáticos rusos demostraron su capacidad para hacer realidad tales amenazas al atacar la red de Ucrania en 2015 y 2016, dejando partes del país a oscuras durante varias horas cada vez.
Las bandas criminales de ransomware con sede en Rusia dejaron la lección aún más clara para los EE. UU. en dos violaciones de infraestructura críticas el año pasado: un ataque a la principal línea de suministro de combustible de la costa este que provocó aumentos de precios y escasez de gasolina, y otro que cerró más de una quinta parte de el suministro de carne de res de la nación
Si un ataque cibernético en la red fuera lo suficientemente masivo, EE. UU. podría considerarlo un acto de guerra al mismo nivel que un ataque físico contra las plantas de energía . Eso podría justificar una respuesta similar por parte de Estados Unidos y sus aliados de la OTAN.
“Afectar la red eléctrica de esa manera aquí en los EE. UU. definitivamente sería un gran paso adelante en términos de escalada”, dijo Michael Daniel, quien fue coordinador de seguridad cibernética de la Casa Blanca bajo el presidente Barack Obama y ahora dirige Cyber Threat Alliance. “Eso probablemente impulsaría al gobierno de EE. UU. a buscar una amplia variedad de herramientas que podría tener para tratar de señalar el nivel de seriedad con el que estamos tratando eso, y también para tratar de imponer costos e interrupciones a los rusos”.
El senador Angus King (I-Maine), quien copresidió una comisión de seguridad cibernética autorizada por el Congreso, dijo la semana pasada que EE. UU. necesitaría ofrecer una respuesta seria a los ataques a su infraestructura crítica.
“Hay una variedad de respuestas, pero para mí lo importante es que A, hay una respuesta, y B, los rusos saben que habrá una respuesta. Eso se llama disuasión”, dijo King. “Podrían ser sanciones, podría ser cualquier cantidad de cosas diferentes”.
NBC News informó el jueves que los funcionarios estadounidenses están considerando sus propios ataques preventivos contra la infraestructura crítica de Rusia para obstaculizar la invasión de Ucrania, con opciones como cerrar el servicio de Internet, interrumpir el suministro de electricidad o manipular los interruptores del ferrocarril. La secretaria de prensa de la Casa Blanca, Jen Psaki, descartó el informe como “fuera de lugar” y dijo que “no refleja lo que realmente se está discutiendo de ninguna forma”.
‘¿Qué tan profundo entraron?’
Las advertencias de un posible ataque ruso a la red eléctrica de EE. UU. se han intensificado en los últimos meses a medida que aumentaron las tensiones sobre Ucrania… La Agencia de Seguridad de Infraestructura y Ciberseguridad del DHS dijo en una alerta este mes que los propietarios y los operadores de infraestructura crítica deben fortalecer sus prácticas de ciberseguridad para contrarrestar las posibles amenazas rusas. Estos incluían plantas de agua, redes de comunicaciones y, en particular, la red eléctrica.
Por otra parte, la empresa de seguridad cibernética Dragos rastreó recientemente a un grupo de piratas informáticos que está “realizando reconocimiento en sitios de electricidad y gas natural aquí en los Estados Unidos”, dijo el fundador y director ejecutivo, Robert M. Lee, en una entrevista este mes.
La secretaria de Energía, Jennifer Granholm, instó a los ejecutivos de energía en una carta el miércoles a “prepararse al más alto nivel posible” para la piratería rusa. El año pasado, su departamento lanzó un plan de 100 días para mejorar las defensas cibernéticas de la red.
Aún así, Granholm escribió el miércoles: “No queda ninguna amenaza creíble específica para la patria de Rusia, que yo sepa”.
Las últimas advertencias siguen a años de esfuerzos del sector eléctrico de EE. UU. para absorber las lecciones de los apagones de 2015 y 2016 en Ucrania, cuyo sistema eléctrico comparte algunas de las vulnerabilidades de la red estadounidense. (Las centrales eléctricas de EE. UU. también usan más sistemas automatizados que sus contrapartes ucranianas, lo que complicaría la tarea de volver a ponerlas en funcionamiento). Pero esos preparativos aún no están completos.
“¿Estamos mejor que hace cinco o seis años cuando Rusia emprendió esa actividad en diciembre de 2015 en Ucrania? Absolutamente”, dijo Daniel, excoordinador cibernético de la Casa Blanca. “¿Creo que estamos donde diría que estamos muy bien? No, me temo que no podría decir eso.
Sin embargo, los expertos de la industria energética no están de acuerdo sobre si los piratas informáticos podrían provocar un corte de energía generalizado en los EE. UU.
Un apagón masivo sería difícil de lograr solo con un ataque remoto, dijo el consultor de riesgo cibernético Tom Alrich, quien dijo que requeriría que los rusos crearan un apagón en cascada en el que la falla de una pequeña parte de la red podría desencadenar interrupciones más amplias. Tal escenario se desarrolló en partes de Canadá, el Medio Oeste y el Noreste en 2003, cuando las ramas de los árboles tocaron las líneas eléctricas en Ohio y desencadenaron una serie de fallas que provocaron que millones de personas se quedaran sin electricidad durante varias horas.
Después de esos cortes, un organismo de establecimiento de estándares llamado North American Electric Reliability Corp. emitió una serie de reglas destinadas a prevenir ese efecto de bola de nieve en la red, dijo Alrich. En este punto, dijo, “sería casi imposible provocar una interrupción en cascada”, un escenario que requeriría entre 20 y 30 ataques en varias partes de la red.
Pero el ex funcionario de NERC, Tobias Whitney, dijo que existen varios escenarios en los que sería posible una interrupción a gran escala. Por ejemplo, los piratas informáticos podrían provocar interrupciones masivas al derribar un centro de control y un control de respaldo para un gran operador de transmisión o una subestación de transmisión crítica, dijo Whitney, quien ahora es vicepresidente de estrategia y política en la firma de seguridad cibernética Fortress.
Los expertos creen que los piratas informáticos rusos que intentan derribar parte de la red de EE. UU. probablemente ingresarían por una ruta secundaria: irrumpirían en las redes de un importante proveedor de energía al infectar una actualización de software de una compañía menos segura. Tal estrategia habría sido planeada durante mucho tiempo.
“Si lo han hecho, lo han hecho. Están sentados allí”, dijo Eric Byres, fundador y director técnico del grupo de seguridad cibernética aDolus. “Eso suele tardar de seis a 12 meses en ejecutarse, por lo que no lo harán mañana. La pregunta será qué tan profundo se metieron y qué tan destructivos quieren ser”.
Opciones para Biden
La siguiente pregunta es cómo respondería Estados Unidos.
Una opción, por supuesto, es que Biden imponga más sanciones, además de las sanciones económicas que anunció el jueves para bancos, oligarcas y otros objetivos en Rusia y su aliado Bielorrusia. Biden dejó mucho espacio para aumentar la presión más tarde: por ahora no anunció sanciones sobre la riqueza personal de Putin o las compañías de petróleo y gas de Rusia.
Una segunda posibilidad: Estados Unidos podría usar su propia temible capacidad cibernética para lanzar un contraataque contra Rusia.
El Comando Cibernético de los EE. UU. del ejército ha demostrado su capacidad para atacar a Rusia antes, por ejemplo, al cerrar temporalmente una fábrica de desinformación con sede en San Petersburgo durante las elecciones intermedias de 2018, como reveló más tarde The Washington Post. Estados Unidos también ha instalado sondas en la red eléctrica rusa desde al menos 2012, y bajo la administración de Trump comenzó a implantar malware allí a un ritmo nuevo y agresivo, informó The New York Times en 2019.
De manera similar, un ataque cibernético contra Rusia podría obstaculizar los sistemas críticos durante meses o más. El ejemplo más conocido, un gusano informático llamado Stuxnet que se cree que es obra de EE. UU. e Israel, saboteó el programa nuclear de Irán al destruir centrífugas antes de ser descubierto en 2010.
El tercer y más grave escenario es que un ataque a la red de EE. UU. podría desencadenar el Artículo 5 del tratado de la OTAN, que requiere que todos los miembros intervengan si un miembro es atacado. La OTAN declaró en 2019 que un ciberataque importante contra un estado miembro calificaría para tal respuesta.
Eso podría llevar a todas las naciones aliadas de la OTAN a un conflicto con Rusia, lo que aumenta la posibilidad de una respuesta coordinada contra Moscú que podría aumentar el conflicto de manera exponencial.
Estados Unidos incluso tiene un precedente de ejercer una fuerza letal contra un pirata informático: en 2015, utilizó un ataque con drones en Siria para matar a un operativo de alto nivel de ISIS sospechoso de ayudar a piratear las cuentas de redes sociales del Comando Central de Estados Unidos, publicando información personal de las tropas estadounidenses y usar Twitter para fomentar los ataques terroristas contra los estadounidenses.
Pero EE. UU. también ha dudado en ocasiones en ofrecer una respuesta contundente a la piratería rusa por temor a desencadenar un ciclo de escaladas que traería un daño mayor para Estados Unidos. Ese fue un factor en la lenta reacción de la administración Obama ante la interferencia de Rusia en las elecciones presidenciales de 2016.
Algunos expertos en seguridad y legisladores han argumentado durante años que una respuesta militar convencional, o “cinética”, debería ser una opción sobre la mesa para responder a un ciberataque importante. Pero siendo realistas, EE. UU. usaría la fuerza física solo si el ataque hubiera puesto en peligro la salud y la seguridad.
“Estados Unidos siempre se ha reservado el derecho de responder a la actividad cibernética maliciosa con herramientas cibernéticas y cinéticas”, dijo Mark Montgomery, director senior de la Fundación para la Defensa de las Democracias. “Si alguien nos ataca de manera significativa con una herramienta cibernética, puede esperar que nuestra respuesta esté en cualquier ámbito”.
La línea que divide estas diversas opciones nunca ha sido del todo clara, reconoció Warner.
“No estoy seguro de que hayamos puesto líneas rojas para nuestros adversarios, o que hayamos advertido completamente a los estadounidenses sobre las consecuencias”, dijo el presidente de inteligencia del Senado. “Hemos estado hablando de este potencial durante mucho tiempo. Gracias a Dios nunca hemos visto los efectos completos de un ataque”.