Unos hackers chinos montaron una campaña de años para robar investigación científica de gobiernos y universidades, de acuerdo con una denuncia del Departamento de Justicia de Estados Unidos.
Por otro lado, varios gobiernos, incluida la administración de Joe Biden, acusaron a Pekín de contratar a hackers criminales para infiltrarse en las empresas y los gobiernos más grandes del mundo a cambio de un beneficio económico.
Tan solo unas horas antes, un consorcio de agencias noticiosas informó que gobiernos de todo el mundo habían usado un software espía que les vendió una empresa israelí para monitorear periodistas, defensores de derechos, políticos de oposición y jefes de Estado extranjeros.
La avalancha de acusaciones representa una nueva normalidad de hackeos continuos vinculados con gobiernos que ahora podrían ser un rasgo permanente del orden mundial, según expertos en ciberseguridad y política exterior.
Los gobiernos se han vuelto más astutos al momento de explotar la conectividad de la era digital para promover sus intereses y debilitar a sus enemigos, al igual que los hackers independientes que a menudo venden sus servicios a los Estados, lo cual difumina la línea entre un ciberconflicto internacional y un crimen cotidiano.
El hackeo se ha convertido en una herramienta de uso generalizado de manipulación política, opresión y ganancia económica pura. Es barato, poderoso, fácil de subcontratar y difícil de rastrear. Cualquiera con una computadora o un teléfono inteligente es vulnerable.
Y hackear comparte un rasgo común con la mayoría de las armas desestabilizadoras de la historia, desde los dispositivos de asedio medieval hasta las armas nucleares: es mucho más eficaz para un uso ofensivo que defensivo.
No obstante, después de una década en la que los estrategas militares se preocuparon de que un ciberconflicto pudiera tener una consecuencia verdadera, los peligros emergentes de esta nueva era son un tanto distintos de los que alguna vez nos imaginamos.
En vez de parecerse a un nuevo tipo de guerra, el papel del hackeo en el siglo XXI es muy similar al del espionaje en el XX, según analistas y exfuncionarios. Es un juego interminable del gato y el ratón que juegan tanto Estados pequeños como grandes potencias. Conflictivo, incluso hostil, pero tolerado dentro de ciertos límites. A veces se le castiga o se le previene, pero se le supone constante.
Sin embargo, según los expertos, hay una diferencia importante. Las herramientas de espionaje las usan sobre todo los gobiernos en contra de otros gobiernos. La naturaleza casi democrática de hackear —más barato que crear una agencia de inteligencia— implica que los individuos privados también se pueden involucrar, con lo cual se enturbian más las aguas digitales. Además, debido a que puede escalar con facilidad, casi ningún blanco es demasiado pequeño, por eso casi todo el mundo está expuesto.
La competencia dentro de los límites
Desde los primeros ciberataques internacionales en la década de 1990, a los legisladores les ha preocupado que un gobierno pueda ir demasiado lejos al atacar los sistemas de otro y que haya el riesgo de que la escalada se convierta en una guerra.
Para 2010, Washington había institucionalizado su visión del ciberespacio como un “campo de guerra” —junto con la tierra, el mar, el aire y el espacio— que sería dominado por un nuevo equipo militar llamado Cibercomando. El hackeo era visto como un nuevo tipo de guerra que se debía desalentar y, si era necesario, ganar.
No obstante, muchos ataques han sido más espionaje que guerra.
Los operadores de China robaron patentes comerciales y militares. Rusia se entrometió en los correos del gobierno estadounidense y, después, divulgó algunos para lograr un impacto político. Los estadounidenses monitorearon a autoridades internacionales y filtraron virus en los sistemas de gobiernos hostiles.
Los gobiernos comenzaron a tratar a los hackers extranjeros más como espías extranjeros. Interrumpían una conspiración, acusaban y sancionaban directamente al responsable y reconvenían o castigaban al gobierno que lo respaldaba.
En 2015, después de una serie de este tipo de episodios, Washington llegó a un acuerdo con Pekín para limitar el hackeo. Los ataques chinos sobre blancos estadounidenses cayeron de inmediato, concluyeron algunos grupos de ciberseguridad. Volvieron a aumentar en 2018, en medio de un incremento en las tensiones durante el gobierno del presidente Donald Trump, el indicio de que habría una nueva norma en la que los ataques digitales aumentan o bajan según las relaciones diplomáticas.
Aunque en esencia los gobiernos abandonaron la disuasión al estilo militar, han llegado a castigar ataques especialmente graves. Corea del Norte sufrió cortes de internet a nivel nacional poco después de que el entonces presidente Barack Obama declaró que Washington iba a tomar represalias por un hackeo norcoreano. Obama consideró opciones similares en contra de Rusia por sus ataques durante las elecciones de 2016.
“Nuestro objetivo sigue siendo el de enviar un mensaje claro a Rusia y otros países para que no nos hagan esto, porque podemos hacerles daño”, dijo poco antes de dejar el cargo. “A veces lo haremos público. A veces lo haremos de tal manera que ellos lo sabrán, pero no todo el mundo”.
Una nueva zona gris
Para finales de la década, muchos coordinadores militares y de inteligencia se habían dejado convencer sobre una idea que expresó Joshua Rovner, un académico residente en la Agencia Nacional de Seguridad y el Cibercomando de Estados Unidos hasta 2019.
En un ensayo para el sitio War on the Rocks, Rovner escribió que, en casi todos los casos, el hackeo no se había convertido en una especie de guerra, sino en “una competencia abierta entre Estados rivales” que se parece al espionaje y a menudo es una extensión de este.
Esta nueva interpretación “pone en perspectiva la competencia en el ciberespacio, pero se requiere estar dispuesto a vivir en la ambigüedad”, agregó.
Las disputas de espionaje nunca se ganan. Hay victorias y derrotas en todas las partes y operan en lo que los teóricos militares llaman una “zona gris” que no es ni guerra ni paz.
Conforme los gobiernos han sabido qué tipo de respuesta provocará una operación, el mundo ha confluido poco a poco en reglas no escritas para la cibercompetencia.
Los académicos Michael P. Fischerkeller y Richard J. Harknett han descrito el resultado como “una interacción competitiva dentro de esos límites, en vez de una escalada en espiral a nuevos niveles de conflicto”.
La referencia de Obama a las represalias secretas y públicas fue un indicio de algo que desde entonces se ha convertido en un procedimiento estándar. Los hackeos de rutina pueden provocar una represalia secreta: por ejemplo, el desmantelamiento de los sistemas del gobierno responsable del incidente, para imponer un castigo sin correr el riesgo de una escalada o una mayor ruptura diplomática.
Sin embargo, los gobiernos pueden responder a los hackeos graves con un contrataque público, al denunciar el blanco y advertir a otros gobiernos que el incidente fue demasiado lejos. Por ejemplo, Estados Unidos dejó saber que sus hackers se infiltraron en la red eléctrica de Rusia, una escalada calibrada para convencer a Moscú de que la intromisión en las elecciones no valía la pena.
La conducta de Rusia en 2016 también provocó que las autoridades buscaran una “disuasión por medio de la negación”: métodos para reducir las probabilidades de éxito de hackeos similares. El objetivo fue aumentar el costo de esos ataques mientras se reducía el beneficio.
Al convocar a los gobiernos del mundo para que condenaran el ciberrobo chino de esta semana, el presidente Joe Biden intenta imponer un costo diplomático que le podría afectar más a Pekín que a Moscú. Es una táctica que al parecer funcionó con Obama. No obstante, con lo sensible de las relaciones, Pekín podría sentir que tiene menos que perder.
Un peligro descentralizado
En realidad, se puede hacer poco para evitar que los gobiernos decidan aceptar los riesgos que conlleva iniciar un ciberataque. Además, debido a que la cibertecnología de ofensiva ha superado de manera tan constante las medidas defensivas, es inevitable que algunos de esos hackeos tengan éxito.
Esa dinámica tan solo se está acelerando, pues los gobiernos están contratando a más firmas privadas o directamente a criminales para que realicen sus hackeos. Moscú fue uno de los primeros innovadores, al contratar a hackers independientes en el extranjero, incluido un canadiense de 20 años, para infiltrarse en las cuentas del gobierno estadounidense.
La industria oculta de la contratación de hackers ha explotado en años recientes. Los investigadores especializados en seguridad han identificado grupos muy capaces que tienen entre sus blancos a gobiernos, firmas financieras y legales, desarrolladoras de inmuebles, empresas energéticas del Medio Oriente y la Organización Mundial de la Salud.
Se cree que la mayoría es contratada por medio de plataformas de la red oscura que ofrecen anonimato para ambas partes. Aunque sus trabajos parecen beneficiar a ciertos gobiernos o corporaciones, a menudo es imposible identificar a sus empleadores, por lo tanto, se reduce el riesgo de las represalias.
El panorama cambiante es un indicio de la brecha entre lo que esperan los legisladores de la era de los ciberconflictos y lo que es en realidad. Los ataques de gran envergadura como el de Washington en contra de Irán o el de Rusia durante las elecciones de 2016 ocurren con menos frecuencia de la temida.
Más bien, la nueva normalidad son hackeos pequeños pero constantes: criminales con el respaldo de China saquean decenas de empresas durante años, autoridades paranoicas que espían a periodistas locales, políticos rivales… o incluso defensores de la nutrición que quieren un impuesto para las gaseosas. Todo esto cada vez cae más en las manos de terceros o software privados que tal vez son menos sofisticados, pero son más fáciles de propagar y de negar.
Ninguno de esos hackeos cambiará de manera drástica el orden internacional. Sin embargo, en conjunto, sugieren que estamos entrando en una era de omnipresencia de los robos digitales, la venta de influencias y el fisgoneo. Y ahora podría ser una era en la que, como muchas de las víctimas reportadas de Pegasus aprendieron esta semana, casi nadie es demasiado común para ser un objetivo.