Rusia ha lanzado un , enviando tropas sobre la frontera y bombardeando ciudades en todo el país. Ya han muerto decenas de soldados ucranianos en el asalto, y otros millones de personas en la región están ahora en peligro de muerte. Es probable que los países de todo el mundo también sientan algunos efectos, a través de las interrupciones físicas de los suministros agrícolas y energéticos, y las interrupciones digitales causadas por los ciberataques rusos. Estos últimos, en particular, podrían acabar llegando fácilmente a Estados Unidos.
Es imposible predecir con certeza si esos ataques llegarán y cuándo, dice Michael Daniel, que fue asesor de ciberseguridad del presidente Barack Obama y ahora es presidente y director general de la Cyber Threat Alliance, una organización sin ánimo de lucro. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras ya ha emitido consejos a las empresas y otras organizaciones sobre cómo evitar las invasiones digitales y responder si los hackers consiguen vulnerar sus defensas. Pero los ciudadanos estadounidenses reciben muy poca orientación gubernamental sobre lo que pueden o deben hacer para prepararse.
El gobierno ruso no es probable, por el momento, que tenga como objetivo la infraestructura digital estadounidense, me dijo Daniel. «Eso sería una gran escalada». Pero los ordenadores estadounidenses aún podrían verse comprometidos en los daños colaterales de los ataques rusos a los sistemas ucranianos, como ya ocurrió en el pasado. En 2017, por ejemplo, los hackers rusos de inteligencia militar enviaron el malware conocido como NotPetya a las redes informáticas ucranianas. A medida que la infección se extendía, un pequeño sistema hospitalario de Estados Unidos perdió el uso de todas las máquinas Windows de su arsenal, y docenas, si no cientos, de otros hospitales se vieron obstaculizados cuando un servicio de transcripción ampliamente utilizado para los registros médicos electrónicos se cayó. Cualquier empresa que haga negocios en Ucrania -y cualquier persona o negocio que haga negocios con que podría ser vulnerable a este tipo de daños colaterales, dijo Daniel. «Nadie entiende realmente por completo cómo se interconecta y funciona Internet en una especie de nivel macro, por lo que ser capaz de trazar todas las posibles permutaciones de cómo algo podría tener un impacto es esencialmente imposible antes de tiempo.»
Herbert Lin, investigador principal del Centro de Seguridad y Cooperación Internacional de Stanford, me dijo que los ataques directos siguen estando sobre la mesa. Cuando se trata de hackeo patriótico, dijo, «los rusos lo han elevado a una forma de arte». Si Estados Unidos sigue intensificando las sanciones y Rusia decide tomar represalias con ciberataques, Putin podría apuntar a la tecnología que sustenta la infraestructura estadounidense. Los bancos estadounidenses han reforzado sus ciberdefensas, pero «nunca han tenido que soportar un ciberataque completo por parte de una nación tan poderosa en el ciberespacio como los rusos», dijo Lin. Las autoridades municipales de electricidad y agua serían probablemente más vulnerables, dijo, porque muchas de ellas no tienen dinero extra para gastar en ciberseguridad. Y si Rusia opta por permitir que los ciberdelincuentes nacionales operen sin consecuencias, como ha hecho en el pasado, podrían simplemente ir a por las empresas y sistemas extranjeros que parezcan los objetivos más fáciles y lucrativos. Ninguno de ellos es particularmente probable escenario, subrayó Lin, pero cualquiera de ellos es posible.
Los expertos con los que hablé se mostraron divididos en cuanto a lo que uno debe hacer en previsión de posibles ataques. «No creo que los estadounidenses de a pie deban realizar ninguna acción física, como comprar gasolina o sacar dinero del banco», me dijo en un correo electrónico Jessica Beyer, codirectora de la Iniciativa de Ciberseguridad de la Universidad de Washington. Los archivos almacenados digitalmente no corren un gran riesgo, dijo, porque «las principales empresas de computación en la nube tienen una seguridad robusta». La CISA, por su parte, me dijo que aunque «actualmente no existe una amenaza cibernética específica y creíble para Estados Unidos», los estadounidenses deberían mantener sus dispositivos actualizados, elegir contraseñas seguras y utilizar la autenticación multifactorial. Daniel está de acuerdo y subraya que el perfil de riesgo actual no requiere mucha más acción. «Lo que no queremos hacer», dijo de forma contundente, es crear «corridas bancarias y escasez de gasolina por pánico autoinducido».
Lin dijo que la gente podría ser prudente para participar en algunos comportamientos modestos de preparación, tales como tener dinero extra a la mano, el embalaje de los kits de emergencia, y mantener unos pocos galones de agua por persona – pero, de nuevo, dijo, estas son cosas que la gente siempre debe estar haciendo, si tienen el dinero. También dijo que los servicios esenciales, como la electricidad y el agua, en las zonas urbanas pueden ser objetivos más tentadores que los de las zonas rurales, y que cuanto más cerca esté una persona de las organizaciones de importancia para la seguridad nacional, másmás vigilantes tendrán que estar. «No me gustaría ser el socio de un general estadounidense de alto rango en este momento», dijo.
Quizá la forma más probable de que los estadounidenses sientan el efecto de cualquier ciberataque ruso sea a través de la guerra de la información. «La única forma de que me sorprendan en lo que están haciendo ahora es que no lo utilicen como herramienta», dijo Daniel. El principal objetivo de desinformación de Rusia serían los rusos, dijo, porque el gobierno querrá justificar la invasión ante sus ciudadanos. Pero sus tácticas podrían extenderse también hacia el oeste, dijo, por ejemplo, creando sitios web falsos del gobierno de Estados Unidos, que podrían sembrar la confusión.
El aumento de la amenaza digital por parte de Rusia podría durar tanto como la crisis en Ucrania, o más. «Hay cosas que podrían ocurrir a través del ciberespacio que tienen un impacto en el mundo físico que podría tomar semanas, meses, años para recuperarse realmente», dijo Daniel. Imaginemos, por ejemplo, que los atacantes destruyen transformadores y otras partes físicas de la red eléctrica. Los fabricantes estadounidenses sólo pueden hacer nuevos transformadores con cierta rapidez. En el peor de los casos, podríamos estar recomponiendo las cosas durante mucho tiempo.
