Una clase de aeróbic, una profesora con mascarilla, convoyes militares de fondo y la difusión en Facebook. Mezclados, estos elementos representan una de las últimas imágenes de nuestra sociedad actual, el reflejo de la nueva normalidad. Pero repasemos lo ocurrido. 

Khing Hnin Wai es una profesora de Educación Física que se encontraba al aire libre grabando una clase de aeróbic para luego subirla a su cuenta de Facebook. Hasta aquí, todo normal. ¿Cuántas clases deportivas se han podido grabar en este año de pandemia? Pero si observamos en el fondo de las imágenes, mientras la instructora realiza los ejercicios, se puede apreciar un control de seguridad delimitado por vallas y fuerzas militares y como a los pocos segundos aparecen vehículos militares. Poco después, el jefe del Estado Mayor de Myanmar, el general Min Aung Hlaing, anunciaba el estado de emergencia en el país. Esta clase se había convertido en la grabación de un golpe de estado.

La mañana del primero de febrero, mientras Khing Hnin Wai grababa su clase, se produjo el golpe militar. Los militares golpistas argumentan que en las pasadas elecciones generales de noviembre, que dieron el triunfo al partido Liga Nacional para la Democracia de la Premio Nobel de la Paz, Aung San Suu Kyi, hubo fraude electoral, a pesar de que los observadores internacionales no habrían detectado irregularidades, y prometen nuevas elecciones el próximo año. Desde el inicio del golpe de Estado se han producido manifestaciones por todo el país pidiendo el retorno de la democracia, el reconocimiento de los resultados electorales y la liberación de los detenidos, mientras Naciones Unidas confirma hasta la fecha decenas de muertos. La joven y débil democracia surgida en 2011 se tambalea y los fantasmas de la dictadura militar que gobernó durante cinco décadas reaparecen a través de un vídeo de Facebook.

A la misma velocidad que se extendía la noticia del golpe, se viralizaba el vídeo de la clase de aeróbic, aunque también surgían las primeras dudas. ¿Era un vídeo real o un montaje? ¿Es posible que la profesora no se diera cuenta que convoyes militares estaban pasando a su espalda? Aunque el escenario es cuanto menos inusual para unas clases, lo cierto es que en su cuenta de Facebook podemos encontrar otros vídeos anteriores similares con el mismo fondo: la gran y solitaria avenida Yaza Htarni que lleva al Parlamento, situada en la capital del país, Naypidó. Facebook mostraba de esta manera unas imágenes para la historia que no habían podido recoger los medios de comunicación. 

Por su parte, la Junta Militar tomó el control de las comunicaciones y decretó el corte de internet en el país, tal y como confirmó una de las principales operadoras del país, Telenor. ¿El motivo? El Ministerio de Transportes y Comunicaciones de Myanmar habría ordenado a las operadoras de telefonía móvil el cierre temporal de la red de datos en el país, dejando operativos los servicios de voz y SMS, con el argumento de evitar la difusión de noticias falsas y garantizar la estabilidad del país. Era el inicio de una serie de interrupciones que se han ido repitiendo en las últimas semanas. Esta situación comportó que millones de personas no pudieran hacer uso de internet en un país en el que aproximadamente el 40% de la población está conectada, impidiendo de esta manera el uso de las comunicaciones digitales con el exterior y la difusión de mensajes, fotografías o vídeos que podrían comprometer a los golpistas. 

Este hecho es un ejemplo más de los cambios que ha comportado el espacio cibernético en nuestras sociedades, incluso en la gestión de los golpes de Estado. A lo largo del siglo XX, uno de los objetivos principales de cualquier golpe o movimiento insurreccional en sus primeras fases no ha sido otro que intentar hacerse con el control de las comunicaciones, según las tecnologías existentes en cada época, como han podido ser la telefonía, la radio o la televisión. En nuestros días, debido a que el entorno digital se ha erigido como la principal vía de comunicación de millones de personas, también se ha convertido en un objetivo prioritario para culminar con éxito un golpe militar. 

Sin embargo, la interrupción de internet no es una práctica exclusiva de los episodios golpistas, sino que es una práctica cada vez más extendida por parte de los gobiernos. Según la organización de derechos digitales Access Now, durante el año 2020 se produjeron más de 150 cortes intencionados de la Red en 29 países, la mayoría situados en Asia del Sur, África y Oriente Medio –India lidera esta lamentable práctica con más del 70% de los casos registrados, seguida de Yemen, Etiopía y Jordania– con los argumentos de mantener, de nuevo, el orden y la estabilidad política, pero con el telón de fondo de silenciar protestas y evitar las posibles denuncias de violaciones de derechos humanos. De hecho, tal y como señala el mismo informe, la situación de bloqueo de internet en Myanmar no es nueva, sino que desde 2019 se impuso un apagón digital en los estados de Rakhine y Chin, donde gran parte de la población es de etnia rohingya. 

Debido a la actual dependencia de internet, en el último año estos cortes no han tenido únicamente consecuencias desde una perspectiva de ocio, sino que ha limitado la capacidad de millones de ciudadanos para comunicarse, expresarse o informarse. Por ejemplo, millones de usuarios utilizan la Red para estar en contacto con sus familiares y amigos o para compartir sus opiniones, pero también como el principal ámbito para informarse, sobre todo a través de las distintas redes sociales que se han convertido para muchos en los medios de comunicación en sí mismos. A través de estas aplicaciones los usuarios siguen a determinados medios informativos y leen sus contenidos por las distintas notificaciones que les aparecen. En otras ocasiones, las noticias les llegan a través de los distintos grupos a los que pertenecen o mediante la viralización de las propias noticias. 

En los últimos años el crecimiento de las redes sociales ha sido tan meteórico que nos impide distinguir su alcance y sus límites. Sirva como ejemplo el uso de los productos de la compañía de Mark Zuckerberg. En el primer trimestre de 2020, alrededor del 65% de las personas conectadas a internet –es decir, casi 3.000 millones de personas– habría utilizado algún producto de la compañía norteamericana, como por ejemplo Facebook, Instagram, Messenger o WhatsApp. Y esta posición otorga un poder que no es neutral. En las últimas semanas, paralelamente al golpe de Estado en Myanmar, Facebook ha sido noticia por su choque frontal con el gobierno australiano, el cual estaba tramitando una propuesta de ley para que las compañías tecnológicas pagaran a los medios de comunicación por los contenidos compartidos en sus plataformas. Como muestra de su rechazo a esta iniciativa, la compañía estadounidense bloqueó los contenidos informativos, dejando de esta manera a los usuarios australianos sin acceso a las noticias. 

Si bien los objetivos que se persiguen con la interrupción de internet por parte de un gobierno o de militares golpistas son distintos al bloqueo de determinados contenidos por parte de una compañía tecnológica –en este último caso, económicos–, lo que debe ponernos en alerta es la fragilidad con la cual los ciudadanos podemos ver limitados nuestros derechos como consecuencia de nuestra dependencia digital. 

A partir de las revueltas que se iniciaron a finales del año 2010 en el norte del Magreb y en Oriente Medio, conocidas como las primaveras árabes, internet en general y las redes sociales en particular, abrían un nuevo horizonte esperanzador para aquellas sociedades que estaban bajo regímenes autoritarios. Sin embargo, tan sólo una década después, la realidad apunta en otra dirección. Casi con total seguridad muchos gobiernos están tomando buena nota de los beneficios que les puede reportar la interrupción de internet en determinados momentos. Las libertades digitales se han convertido también en derechos fundamentales que hay que defender. En nombre de la estabilidad y el orden se han cometido algunas de las mayores atrocidades del siglo pasado, no permitamos que internet sea otra vía más para silenciarnos en el siglo XXI. 

Con anterioridad a la crisis sanitaria, el ciberespacio ya se había erigido como un entorno central en el funcionamiento de las sociedades más avanzadas tecnológicamente, pero la propagación del coronavirus evidenció de forma incuestionable las oportunidades que nos ofrecía a la vez que nos mostró algunos de los riesgos a los que estamos expuestos. Campañas de phishing, distribución de malware, ataques DDoS, creación de dominios web falsos o la distribución de aplicaciones fraudulentas fueron algunas de las principales actividades maliciosas durante la pandemia, pero sin ser una novedad con respecto a las actividades que se venían desarrollando años atrás. La novedad, en este caso, residía en el uso del señuelo del covid-19 para atraer la atención del usuario.

La nueva normalidad no ha traído consigo un descenso de este tipo de actividades, más bien al contrario. En los últimos meses no han sido pocas las noticias relacionadas con ataques informáticos, algunas de las cuáles han evidenciado el enorme impacto que pueden tener en sectores estratégicos de un país.

En diciembre de 2020, la compañía tecnológica estadounidense SolarWinds, que desarrolla software para la administración de redes y sistemas de tecnologías de la información, anunció que había sufrido un ataque informático a través del malware Sunburst y que las actualizaciones de software que enviaba a sus clientes contenían códigos maliciosos ocultos. Entre los clientes afectados se encuentran agencias y departamentos del gobierno estadounidense como el Pentágono, el Ejército, la NASA, los Departamentos de Estado, de Comercio, del Tesoro y de Energía así como algunas de las principales compañías tecnológicas como Microsoft, FireEye o Cisco. Además, algunos países entre los que se incluyen Reino Unido, España o Bélgica también se vieron afectados en mayor o menor medida. Aunque en un primer momento algunas compañías tecnológicas sugerían que detrás de este ataque se encontraba un actor estatal, el entonces secretario de Estado Mike Pompeo no dudó en señalar directamente a Rusia como el autor del ataque.

Posteriormente, en mayo de este año, se produjo un nuevo ciberataque que afectó a los sistemas informáticos de una de las principales redes de oleoductos de Estados Unidos, la compañía Colonial Pipeline, que transporta alrededor del 45% del combustible consumido en la costa este del país, y que le obligó a paralizar sus actividades. Como consecuencias directas, colas en las gasolineras y problemas en el suministro de combustible. Como consecuencias estratégicas, un ataque a una infraestructura crítica y un impacto en las cadenas de suministro internacionales. Los distintos análisis coinciden en señalar que la autoría de este ataque se debe a un grupo delictivo de origen ruso mediante el ransomware DarkSide, cuya actividad no es novedosa, sino que se remonta al verano de 2020. A pesar de que la compañía habría pagado alrededor de cinco millones de dólares en criptomonedas para recuperar el control de sus sistemas, las implicaciones del ataque han mostrado un impacto a gran escala. Ante uno de los mayores ciberataques sufridos por el país contra su infraestructura energética, el gobierno estadounidense declaró el estado de emergencia regional.

Semanas después de este incidente, JBS, uno de los mayores productores de carne a nivel mundial, cerró sus plantas de Estados Unidos, Austria y Canadá como consecuencia de otro ciberataque de ransomware. De nuevo, una grupo delictivo ubicado en Rusia y repercusiones en los suministros de los productos a nivel internacional. En los últimos días, la compañía ha confirmado que realizó el pago de 11 millones de dólares a los delincuentes para evitar la filtración de datos de la compañía así como de sus clientes.

Sin embargo, ni estos ciberataques han sido los únicos, ni tenemos que irnos al otro lado del Atlántico para comprobar las consecuencias de este tipo de incidentes. En España, según el último balance de ciberseguridad que publica anualmente el Instituto Nacional de Ciberseguridad, durante el año 2020 se gestionaron 133.155 incidentes, lo que representa alrededor de un 19% más que los incidentes gestionados durante el año 2019. De estos, 1.190 corresponden a incidentes sobre operadores críticos del país.

A nivel mediático, el ataque informático que tuvo lugar el pasado 9 de marzo de 2021 y que comportó la interrupción de los sistemas del Servicio Público Estatal de Empleo (SEPE), organismo adscrito al Ministerio de Trabajo y Economía Social, ha sido el incidente que posiblemente mejor ha visibilizado las consecuencias de un ciberataque en los últimos meses contra un organismo estatal. En un contexto social y económico complejo, en que muchas de las ayudas económicas derivadas de la pandemia se encontraban en trámites, se produjo la paralización de muchos de estos procesos durante más de dos semanas, tanto a nivel virtual como presencial. Una de las principales dudas radicaba en si los atacantes habían podido sustraer información confidencial de los ciudadanos o si el pago de las prestaciones podría realizarse con normalidad. Un mes después se confirmaba que se habían perdido un gran número de solicitudes del paro y los ERTE, miles de personas no pudieron cobrar a tiempo sus prestaciones, y no se había podido recuperar la total operatividad del sitio web. Los análisis señalan que este ciberataque se produjo a través del ransomware Ryuk, un programa malicioso que, de nuevo, no es desconocido y tendría acento ruso.

Pero esto no acaba aquí. Hace tan sólo unos días, el pasado 9 de junio, el Ministerio de Trabajo y Economía Social anunciaba que había sufrido una nueva brecha de seguridad. Hasta la fecha, la escasa información que ha trascendido apunta a que podría tratarse nuevamente del ransomware Ryuk y que, al igual que en los casos que tuvieron lugar en Estados Unidos, los atacantes habrían solicitado un rescate para restablecer los sistemas.

En conjunto, el éxito de estos ataques en los últimos meses nos muestra las vulnerabilidades de las sociedades digitales a la vez que nos plantea dudas sobre los actuales sistemas de seguridad y de resiliencia. Los atacantes están explotando la actual dependencia digital para conseguir sus objetivos, bien sean económicos o políticos. Por otro lado, las técnicas utilizadas para realizar los ataques son cada vez más sofisticadas y están en constante evolución. En este sentido, el uso del ransomware muestra una adaptación de los actores maliciosos, así como un cambio en sus objetivos, centrándose actualmente en organismos críticos que les permitan obtener mayores beneficios económicos y estratégicos.

Lo que se ha expuesto en estas líneas son tan sólo unos ejemplos de incidentes que nos deberían servir de aviso para lo que está por venir. En el caso concreto de España, a pesar de estar avanzando en el fortalecimiento de su estructura nacional de ciberseguridad, su desarrollo todavía es lento en comparación al crecimiento de las amenazas cibernéticas. Y no, no se trata únicamente de desarrollar el aspecto tecnológico de la ciberseguridad, sino de comprender que este tipo de incidentes tienen un enorme coste económico, geopolítico y estratégico para el país. Por ello, deberíamos ser más exigentes y apostar decididamente por implementar un esquema de ciberseguridad integral, realizando una inversión tecnológica y en recursos humanos acordes a los desafíos actuales, que nos permitiera restablecer nuestras redes y sistemas a la mayor brevedad posible y posicionarnos como un país de referencia en estas cuestiones.

Sin embargo, quien escribe estas líneas también es consciente de que este deseo choca con una realidad cortoplacista. Mientras tenían lugar algunos de los acontecimientos expuestos, la atención mediática del país y la presión de la ciudadanía se centraban en reclamar una ampliación de los horarios para tomar cañas y copas en libertad. La ciberseguridad nos puede preocupar, pero sobre todo que la cerveza esté bien fría.

La llegada de la nueva normalidad a finales de junio de este año mostraba una sociedad española que despertaba de una resaca pandémica sin tener apenas tiempo de reaccionar. Llegaba el verano y era tiempo de dejar atrás la pesadilla de miles de muertos y un confinamiento interminable. Era tiempo de terrazas, selfies y cervezas con los amigos.

Pero si algo era indispensable en esas primeras semanas de libertad era mostrar a todo el mundo nuestra felicidad a través de las redes sociales, muchas de las cuáles nos habían permitido comunicarnos con nuestras familias y amigos durante el encierro. Un informe de App Annie señala que durante el primer trimestre de 2020 se produjo un incremento del 20% del tiempo diario que utilizamos las redes sociales y aplicaciones móviles en relación al mismo período de 2019. Las aplicaciones de comunicación utilizadas tanto para el teletrabajo como para nuestro ámbito personal como Facebook, Twitter, WhatsApp, Skype o el Hangouts de Google fueron tan sólo algunas de las apps más beneficiadas, sin olvidarnos de la explosión de Zoom. Pero, sobre todo, lo que se produjo fue un mayor consumo de Internet para la práctica totalidad de nuestras actividades, desde las comunicaciones, teletrabajo, comercio online o consumo de ocio digital a niveles desconocidos hasta la fecha.

Sin embargo, durante el confinamiento y la ‘nueva normalidad’ también hemos podido ver cómo se han intensificado prácticas habituales en nuestra sociedad como la difusión de mentiras, engaños y odio digital. Los científicos han sido vapuleados, insultados, tachados de ignorantes por parte de usuarios que ni siquiera sabemos quiénes son, amparados por el anonimato que les proporciona Internet, lo que les ha permitido vomitar sus odios sin ningún tipo de control. Pero lo peor lo encontramos en la aceptación sin reservas por parte de los usuarios de esta información.

En un momento de crisis excepcional hemos abrazado ideas sin conocer el origen de quién está detrás de estas informaciones, aceptando como validas teorías desperdigadas en nuestros smartphones, procedentes de usuarios desconocidos, de los cuáles no sabes ni su nombre ni formación, pero que en unos cientos de caracteres nos dan clases magistrales de ciencia, lo que resulta cuanto menos alarmante. La difusión de estas teorías ha sido posible gracias al amplio uso, dependencia e ignorancia digital por parte de los usuarios, un hecho que viene produciéndose desde hace años, pero que ha mostrado su fortaleza durante los últimos meses. Mientras intentábamos desenmascarar desde nuestros sofás el origen de la pandemia y las fuerzas ocultas que operaban tras este virus, otros han visto la ocasión de obtener un beneficio económico de esta crisis.

El uso de Internet va más allá de las redes sociales y teorías de la conspiración, donde encontramos la participación de otros actores. Por ejemplo, el aumento del uso de Internet y nuestra dependencia digital no pasó desapercibida para los delincuentes que vieron una oportunidad para llevar a cabo sus actividades. Mientras las redes sociales se llenaban de mensajes que nos advertían de las conspiraciones de un gobierno socialcomunista que sólo pretendía robarnos las libertades, los delitos informáticos experimentaron un notable crecimiento durante los últimos meses. Si bien en los últimos años hay una tendencia creciente de estas actividades, el confinamiento era el escenario idóneo.

Un informe de Interpol del pasado verano identificaba algunos de los delitos cibernéticos que utilizaron la pandemia como telón de fondo, entre los que destacan las estafas a través de phishing, distribución de malware, la creación de páginas webs fraudulentas o incluso la difusión de noticias falsas. Aunque el alcance de estas actividades difiere según las distintas regiones, su impacto ha sido global, y ha tenido un mayor impacto en aquellas sociedades que tienen un mayor desarrollo digital. Durante esta crisis, hemos podido identificar el uso simultáneo de, al menos, dos elementos complementarios. Por un lado, los denominados cibercriminales operan con un esquema similar a través del uso de técnicas de ingeniería social. Este método consiste en engañar a la víctima y hacerle creer que, por ejemplo, está accediendo a una página web legal, cuando en realidad se encuentra un sitio web falso que contiene archivos maliciosos. Por otro lado, estas actividades delictivas han utilizado la temática de la COVID-19 como gancho para atraer nuestra atención, explotando los miedos de los usuarios en la pandemia, como se ha podido comprobar en la multitud de páginas falsas que ofrecían productos sanitarios en momentos de escasez nacional.

También se ha detectado el envío masivo de correos electrónicos falsos que aparentemente procedían de instituciones oficiales, como la Organización Mundial de la Salud, y decían tener información sobre la evolución del coronavirus, pero que en realidad contenían archivos maliciosos que una vez ejecutados infectaban los dispositivos de las víctimas. A partir de aquí los atacantes obtenían información personal o profesional de la víctima como pueden ser credenciales bancarias, la lista de contactos del teléfono móvil, o acceso a las imágenes guardadas en los dispositivos. El objetivo en muchos de estos casos no sería otro que obtener un beneficio económico a cambio de recuperar la información.

Pero imaginemos que estas actividades tienen como objetivo, no robar nuestras credenciales individuales para pedirnos un puñado de bitcoins, sino obtener información sensible de organismos públicos y privados que gestionan sectores vitales para nuestras sociedades como el sanitario, el industrial, la defensa o la energía. La distribución de archivos maliciosos a través de estos ámbitos podría tener consecuencias desconocidas en la seguridad nacional, más allá de los cuantiosos costes económicos. En los últimos meses se han detectado acciones de actores vinculados o patrocinados por terceros Estados, como las campañas de phishing contra funcionarios europeos y diplomáticos con el objetivo de obtener información sobre la situación de la economía de los países afectados, o actividades de ciberespionaje entre Estados realizadas con el objetivo de tener acceso a los sistemas de infraestructuras críticas nacionales. También han sido noticia los ataques contra los laboratorios que estaban investigando sobre el desarrollo de una vacuna para hacer frente a la pandemia, tal y como denunció el Centro de Ciberseguridad del Reino Unido el pasado verano, o los ataques contra el sector público de Mongolia.

A pesar de que este último tipo de actividades afecta a cuestiones tan sensibles como la soberanía o la seguridad, han pasado prácticamente desapercibidas en comparación a la distribución de mensajes que decían contener la verdad sobre el coronavirus. En la actualidad, identificamos las redes sociales con Internet, cuándo éstas son tan sólo una parte reducida del potencial que nos ofrece este entorno digital. Sin embargo, nos hemos entregado a ellas y hemos abrazado una nueva fe, la digital, a través de la cuál todo se convierte en verdad por el simple hecho de compartirse un tweet o por un mensaje de WhatsApp, a la vez que no nos deja ver otras realidades digitales y sus repercusiones. Nuestra visión limitada de lo que representa el entorno digital es clave en el desarrollo de actividades maliciosas y nos expone a consecuencias que todavía desconocemos.

La pandemia ha mostrado el enorme desarrollo digital de nuestras sociedades y todos los beneficios que genera –lo que deberíamos celebrar como un logro sin precedentes en la historia–, pero también ha mostrado lo mucho que queda por hacer y comprender como usuarios. Por ello, al finalizar el año, puede ser que el problema no haya sido el confinamiento físico, sino evidenciar que nuestra sociedad hace años que está autoconfinada en el ámbito digital y ni siquiera éramos conscientes de ello.

En los últimos años los ataques informáticos se han convertido en una preocupación creciente, no sólo de los gobiernos occidentales, sino también por parte de la sociedad civil y del sector privado. A pesar de las distintas iniciativas nacionales y europeas para crear un entorno digital seguro, según el último Eurobarómetro sobre ciberseguridad publicado a principios de año, las principales preocupaciones de los ciudadanos europeos en la Red se centraban en el cibercrimen y la privacidad. El 75% de los encuestados consideraban, además, que podían ser víctimas de un ciberataque.

Esta preocupación la encontramos también en el sector privado, y se refleja en las inversiones que los organismos y empresas están realizando en los últimos años para garantizar la protección de sus datos una vez que han analizado el coste económico y de reputación que puede implicarles un ataque cibernético, cada vez más frecuentes. De hecho, según un informe del Foro Económico Mundial de 2019, los ciberataques se han convertido en la segunda mayor preocupación en el ámbito empresarial.

En este contexto de inseguridad digital, una de las mayores preocupaciones la encontramos en la posibilidad de que un ciberataque provoque la muerte de personas. Actualmente los gobiernos ya contemplan en sus documentos estratégicos que pueda producirse ataques informáticos contra alguna infraestructura crítica –es decir, aquellas que ofrecen servicios esenciales en sectores estratégicos como el agua, la luz o el transporte– y que éste pueda poner en peligro vidas humanas. Pero también hay que tener en cuenta que a esta posibilidad ha contribuido la idea que nos hemos hecho del ciberespacio a través de la literatura y el cine, en la que la ciencia ficción se ha trasladado a nuestra realidad y ya no participamos como lectores o espectadores, sino como potenciales víctimas de un ataque informático que provoca una catástrofe mundial. Pero, en ocasiones, la realidad es menos espectacular que la ficción.

A mediados de septiembre se produjo un ciberataque que paralizó los sistemas informáticos del Hospital Universitario de Düsseldorf, en Alemania, que consistió en un ataque por ransomware que provocó la encriptación y el secuestro de los servidores del hospital. Este incidente afectó al normal funcionamiento del centro sanitario impidiendo el acceso a los historiales clínicos de los pacientes, a los servicios de urgencias o suspendiendo operaciones ya programadas. En estas circunstancias, una paciente que necesitaba atención urgente no pudo ser atendida y tuvo que ser derivada a otro hospital a treinta kilómetros de distancia pero, debido a su estado de salud, falleció de camino.

A partir de este lamentable suceso, algunos responsables de ciberseguridad y analistas no han dudado en calificar este incidente como la primera muerte por ransomware. Si bien el titular es atractivo, esta muerte debería replantearnos cuál es la situación de la ciberseguridad.

En primer lugar, es evidente que hay una conexión entre el ataque informático y la muerte de esta persona, ya que provocó un retraso en su atención en un momento de urgencia en el que es necesaria una rápida intervención médica. Pero el hecho de plantear que es la primera muerte por ransomware da a entender que la muerte ha sido provocada por el ciberataque prácticamente sin tener en cuenta cuestiones básicas como el estado de salud de la paciente. Sino se hubiese producido este incidente, ¿habría conseguido salvar su vida? ¿Fue el retraso en su atención la causa de su muerte? En la actualidad, debido a la gran dependencia que nuestras sociedades tienen del entorno digital, deberíamos tener desarrollados planes y estrategias para hacer frente a este tipo de incidentes que nos permitan mantener en funcionamiento -aunque de forma limitada- nuestros sistemas hasta que éstos se restablezcan por completo. Esto también es ciberseguridad.

Por otro lado, un elemento central de este incidente es determinar la autoría y los objetivos de este ataque. Aunque en un primer momento podía entenderse en el contexto de los ataques informáticos que está sufriendo el sector sanitario durante esta pandemia, las investigaciones policiales apuntan a que los atacantes tenían como objetivo, no este centro sanitario, sino los sistemas informáticos de la Universidad Heinrich Heine, a la cual el Hospital Universitario de Düsseldorf está asociado. De hecho, cuando la policía consiguió contactar con los atacantes y les informaron de que el ataque estaba afectando a un centro sanitario, éstos facilitaron la información necesaria para desencriptar los sistemas -no es un proceso inmediato, pueden tardar horas o días en restaurar por completo los sistemas-. Por otro lado, aunque en un primer momento se desconocía el origen del ataque, en los últimos días se han publicado noticias que apuntan a que lo habría realizado -¡oh, sorpresa!- un grupo de hackers con origen en Rusia. Otra vez. Y tal vez lo sea, pero debemos ser más exigentes con este tipo de investigaciones y que no todo lo que se desconoce acabe en el cajón de ‘un grupo de hackers rusos’. Hasta la fecha, se desconoce el motivo del ataque.

Pero sin duda, lo más llamativo es que según afirmó el presidente de la Oficina Federal de Seguridad de la Información -la agencia alemana encargada de la seguridad informática y de las comunicaciones-, las autoridades de ciberseguridad alemanas ya habían advertido a principios de año sobre esta vulnerabilidad y sus posibles consecuencias. Pero como ha ocurrido otras tantas veces –¿alguien recuerda WannaCry?–, los atacantes habrían aprovechado que no se habían realizado las actualizaciones de los parches de seguridad para realizar el ataque.

Este suceso nos muestra que todavía no estamos preparados para hacer frente a determinados incidentes cibernéticos. A pesar de que la responsabilidad es de quién ha realizado el ataque informático, debemos ser críticos y preguntarnos si se podía haber hecho más por evitar la muerte de esta persona y no señalar únicamente que ésta pueda considerarse la primera muerte por ransomware. Por un lado, encontramos que los atacantes aprovecharon una vulnerabilidad que había sido detectada con anterioridad y que no se había reparado, por lo que la actualización de los sistemas continúa siendo una de las tareas pendientes por parte de empresas y organismos. A su vez, también ha mostrado las limitaciones de las estrategias y planes de ciberseguridad, incapaces de dar respuesta a situaciones que, aunque excepcionales, hace tiempo que están sobre la mesa y con toda seguridad se producirán en otro momento.

Por ello, es necesario actualizar y agilizar los mecanismos de respuesta a este tipo de ataques, sobretodo en sectores básicos de nuestra sociedad como es la salud, a través de planes que contemplen distintos escenarios y que permitan atender a casos urgentes como el aquí expuesto. Continuamos enfocando la seguridad desde una perspectiva tradicional, material, pero no digital.

La situación de excepcionalidad provocada por el covid-19 ha dejado al descubierto muchas de las carencias que los gobiernos occidentales tenían escondidas bajo la alfombra, como ha demostrado la crítica situación del sector sanitario o la vulnerabilidad social de muchos ciudadanos, latente antes de esta pandemia, pero que ha terminado de explotar. En el caso de España, a la irreparable muerte de miles de personas y al impacto nacional que ha comportado en algunas fases la práctica paralización de buena parte del país, se suma la dificultad del Gobierno para articular una rápida –y a veces confusa– respuesta, en un contexto que ha puesto en evidencia la total dependencia que el país tiene del entorno digital. Y no sólo desde el punto de vista tecnológico, sino económico y social.

La declaración del estado de alarma el pasado mes de marzo por la crisis sanitaria comportó uno de los mayores desafíos para el sector de las telecomunicaciones, que debido al confinamiento de los ciudadanos se enfrentaba al enorme desafío de garantizar el funcionamiento de las redes nacionales. Y en parte ha sido gracias a que este sector ha podido gestionar la enorme demanda de los usuarios que se ha podido mantener con cierta normalidad la actividad de muchas empresas y de la administración pública. Pero sin duda, aquellas compañías y negocios que mejor han adaptado sus actividades al ámbito online –o, como mínimo, a través de la venta telefónica– han sido las que han podido sortear con mejor suerte este temporal en comparación a las que directamente han tenido que cerrar a la espera de poder retomar su actividad de forma presencial.

En este sentido, el comercio online ha sido fundamental para garantizar bienes y servicios básicos, como la entrega de alimentos y bienes de primera necesidad a nuestros mayores. A su vez, ha posibilitado que muchas personas pudieran obtener los elementos necesarios para adaptar un espacio de su vivienda para realizar su trabajo, lo que no sólo ha permitido que millones de personas pudieran teletrabajar y mantener así sus puestos de trabajo, sino también que la rueda de la economía siguiera en funcionamiento. Esta situación de excepcionalidad ha potenciado la experiencia del teletrabajo a escala nacional y quién sabe si de forma definitiva se va a incorporar al debate político, lo que comportaría un cambio en nuestra forma de entender y relacionarnos con nuestro entorno laboral y familiar. Fomentar el teletrabajo aprovechando las oportunidades que nos ofrecen las tecnologías digitales sería un cambio significativo en España, pero para ello hará falta no sólo un cambio en la visión empresarial, sino también adaptar tanto la infraestructura como la propia mentalidad a una nueva forma de trabajar. Antes del covid-19, España se situaba por debajo de la media europea en este aspecto y muy lejos de Países Bajos, Finlandia, Luxemburgo, Austria o Dinamarca, los países dónde más extendido está el teletrabajo.

Por otro lado, la disponibilidad de Internet ha permitido la comunicación entre familiares y amigos que de otra manera hubiese sido imposible. Mucha gente ha tenido que pasar sola esta cuarentena y todavía hoy no ha podido desplazarse o estar con sus seres queridos. Sólo gracias a las tecnologías y a que se ha garantizado el acceso a Internet ha sido posible mantener un contacto visual y afectivo difícil de entender sin la Red.

Pero de nuevo, mientras se potenciaba el entorno digital como vía para mantener la actividad económica y las relaciones personales, y aprovechándose de que gran parte de la sociedad ha permanecido en casa haciendo un uso intensivo de Internet, los bulos y noticias falsas han corrido como la pólvora sirviéndose de un elemento esencial para propagarse: la sobreinformación. La humanidad no había vivido en directo, 24/7, una crisis de estas características, pero el confinamiento ha generado una demanda constante de información por parte de una ciudadanía hambrienta por conocer el origen del virus, por saber como curarlo, y por qué no decirlo, porque tenía que matar las horas de aburrimiento. Y aquí es dónde los bulos han tenido una amplia aceptación y difusión para todos los gustos: desde el posible origen del virus (del murciélago al pangolín), a las distintas teorías de la conspiración que incluyen gobiernos y actividades científicas secretas, pasando por los remedios para curar el virus haciendo gárgaras con sal o ingiriendo orina de bebé.

Independientemente del origen que más nos guste o del remedio milagroso que alguno haya querido probar quisiera poner la atención en un elemento central de esta cuestión: cada una de estas opciones ha sido verdad en algún momento. Los grupos de WhatsApp –o cualquier otra aplicación de mensajería instantánea– han creado corredores de información que sin ninguna necesidad de ser contrastada han obtenido el estatus de verídica. Una verdad que tenía el salvoconducto emocional y que se considera incuestionable, ya que esa información nos ha llegado a través de grupos de familiares y amigos. Si un ser querido nos envía esa información, será verdad, y como tal la distribuimos a otros contactos. Otro ejemplo es la creencia de que el virus puede desaparecer con el aumento de las temperaturas y la llegada del verano. Pero tampoco han hecho falta estudios científicos para afirmar que esto va a ser así.

A pesar de que esta situación de excepcionalidad es indudablemente una crisis sanitaria, sus efectos son tan amplios que tienen consecuencias en todos los sectores de nuestra sociedad, bien sea en el ámbito financiero, sanitario, político, social o educativo. Y en todos ellos se han evidenciado las limitaciones que nuestro sistema actual tiene para hacer frente a situaciones excepcionales. Si bien ha sido gracias a las tecnologías digitales que hemos podido mantener en algunos sectores unos niveles aceptables de productividad, hemos podido teletrabajar, mantener el contacto con nuestros seres queridos o informarnos de una situación que todavía tardaremos un tiempo en entender, también se ha evidenciado la fragilidad de una sociedad que exige respuestas inmediatas y que para ello está dispuesta a creerse el primer tweet que aparezca en su pantalla.

Estas semanas hemos visto imágenes impensables hace tan sólo unos meses como un Congreso prácticamente vacío que debatía el estado de alarma, ruedas de prensa telemáticas, o propuestas de que los centros educativos de enseñanza primaria y secundaria, así como los centros universitarios, debían adaptarse casi de inmediato a un formato exclusivamente virtual. Pero lo que en realidad han mostrado son las limitaciones materiales, organizativas y de adaptación de una sociedad que todavía tiene un largo camino por recorrer para estar inmersa en la era digital. Para lograr este objetivo debemos empezar por comprender que nuestras sociedades tienen que ser más flexibles y adaptarse a escenarios cambiantes, pero no con viejas recetas. La solución al drama económico y social que deja tras de sí el coronavirus no puede ser únicamente –y de nuevo– la construcción, la hostelería, el turismo o la automoción. España no debe apostar sólo por soluciones cortoplacistas, sino tomar nota de las carencias que ha reflejado la pandemia y apostar por un cambio que involucre a toda la sociedad en los próximos años, donde la digitalización ocupará un lugar central.

Por ello, el reto consiste en planificar nuevos escenarios partiendo de la descomunal dependencia que nuestra sociedad tiene del ciberespacio. Obviar este hecho podría suponer, en el peor de los escenarios, un colapso casi total de las sociedades más avanzadas tecnológicamente. Imaginemos un fuerte rebrote dentro de unos meses –u otro suceso que nos haga estar de nuevo confinados en casa–, pero esta vez sin Internet. Ya va siendo hora de que nos demos cuenta de que Internet no es únicamente las redes sociales o lo que nos permite ver series online, sino que la dependencia del entorno cibernético hace que sea esencial garantizar su disponibilidad y acceso como un elemento central para el funcionamiento de nuestra sociedad.

Actualmente España se encuentra en un período de transición hacia una sociedad digital, pero todavía con enormes desigualdades entre los distintos sectores y territorios nacionales. Por lo tanto, uno de los principales retos a corto y medio plazo debería ser, por un lado, disminuir la brecha de desigualdad social y, por otro, reforzar la seguridad del entorno digital para garantizar su disponibilidad. Y seguridad no significa incrementar la vigilancia de la población y secuestrar la privacidad de los usuarios, sino garantizar el funcionamiento de las redes y sistemas que nos permitan mantener nuestra vida diaria y evitar así una nueva paralización del país.

Inauguradas por la entonces ministra de Defensa en funciones, Margarita Robles, el director del Departamento de Seguridad Nacional, Miguel Ángel Ballesteros, o la directora general del INCIBE, Rosa Díaz, estas jornadas tenían como objetivo “contribuir a la consolidación de la cultura de ciberseguridad en nuestro país, promoviendo el intercambio de información entre todos los agentes implicados y difundiendo el conocimiento de los expertos en estas materia”.

Sin duda, uno de los temas recurrentes en los últimos años en este tipo de jornadas, en declaraciones políticas o en revistas especializadas es la idea de fomentar y promover una cultura de ciberseguridad en el entorno digitalcultura de ciberseguridad, aunque raramente encontramos una explicación sobre qué es o en qué consiste. ¿En tener conocimientos en seguridad de la información? ¿Conocimientos, aunque sean básicos, de informática? ¿Nociones básicas de seguridad en Internet?

Una de las pocas definiciones en relación a esta idea la expone ENISA –la Agencia Europea de Ciberseguridad– en su informe Cyber Security Culture in organisations que define la cultura de ciberseguridad como “los conocimientos, opiniones, percepciones, actitudes, normas y valores de las personas en relación a la ciberseguridad y cómo se manifiestan en el comportamiento de las personas con las tecnologías de la información”. Si bien es una definición que nos aproxima a este concepto, el mismo documento presenta también una de las limitaciones frecuentes de la cultura de ciberseguridad: tanto el informe como la definición están pensados y dirigidos exclusivamente a la ciberseguridad de la organizaciones y al papel que los directivos, los directores de seguridad de la información, los recursos humanos, el área de marketing o comunicaciones internas tienen en las empresas en relación a las cuestiones de ciberseguridad.

El conjunto de informes y recomendaciones sobre seguridad digital coinciden en que solo es posible crear una estructura de ciberseguridad si todos los actores implicados –administraciones públicas, empresa, sociedad civil, universidades, etc.– son conscientes de los retos digitales que afrontan nuestras sociedades contemporáneas. Pero todavía hoy, gran parte de las recomendaciones, jornadas, y buenas prácticas se centran, principalmente, en el sector privado y profesionales de la materia. Para evitar malos entendidos, esta afirmación no posee ninguna connotación negativa, al contrario. La empresa privada no solo ha sido, es y será esencial en el desarrollo y protección de las infraestructuras digitales, siendo la cooperación público-privada un elemento central de la transformación digital. Pero como país debemos ser ambiciosos y dar un paso –o dos– adelante y llegar a la parte de la cadena más frágil de la transformación digital: el usuario.

La cultura de ciberseguridad recuerda en buena medida a la idea recurrente de ‘cultura de seguridad y defensa’ o ‘cultura defensa’, que precisamente se ha tratado en este foro. En un artículo anterior, el profesor Fernando Flores planteaba cuáles eran las acciones que se estaban realizando para aproximar las cuestiones de Seguridad Nacional a la ciudadanía y quién era el encargado de realizarlas, más allá de la repetición en los discursos oficiales de la necesidad de fomentar la cultura de defensa. Pues bien, estos mismos interrogantes deberíamos replantearlos a través del prisma de la ciberseguridad: ¿qué se está haciendo para que la sociedad civil –es decir, el usuario– conozca, comprenda y en consecuencia valore y adquiera juicio sobre la ciberseguridad? ¿Quién debería llevar a cabo esta labor?

En los últimos años se están destinando importantes recursos para concienciar a los usuarios sobre un uso responsable de Internet y de los dispositivos inteligentes. En este sentido, encontramos la publicación de documentos relacionados con buenas prácticas y recomendaciones que nos advierten de los peligros de la Red a la vez que nos aconsejan pequeños gestos que nos ayudan a estar menos expuestos a estos riesgos, como pueden ser cambiar de forma periódica las contraseñas, no abrir vínculos de los cuáles desconocemos su origen o mantener actualizado el software de nuestros dispositivos. Sin duda, el INCIBE es el organismo de referencia que impulsa el uso seguro del entorno digital en España a través de cursos relacionados con la ciberseguridad, de convenios con universidades o la publicación de una gran cantidad de material –desde documentos técnicos a otros enfocados principalmente a la sociedad civil–. Pero en este punto lo que nos deberíamos preguntar es qué porcentaje de población no vinculada con el sector de la seguridad digital tan siquiera conoce este organismo. Si estos documentos o campañas de concienciación tan sólo abarcan una proporción reducida de la ciudadanía, algo estamos haciendo mal.

Por otro lado, tal y cómo se ha expuesto anteriormente, la empresa privada y determinados organismos públicos son quiénes tienen la iniciativa en cuestiones de ciberseguridad. Pero si realmente se pretende fomentar y potenciar la cultura de ciberseguridad, ésta debe superar el ámbito de las empresas tecnológicas y de un sector de las administraciones públicas y divulgarse al conjunto de la ciudadanía. Por mucha inversión tecnológica que se haga en asegurar las redes y sistemas, por muchos documentos que se publiquen y por muchos eventos que se realicen, si éstos no tienen repercusión en la sociedad civil, tan sólo representan una retroalimentación dentro del mismo sector.

Debido a la enorme conectividad y dependencia actual del entorno digital todos los sectores de la sociedad necesitamos conocer y valorar –dentro de unos niveles adecuados de comprensión– el estado actual del desarrollo tecnológico y comprender las repercusiones que tiene nuestro comportamiento en Internet. Cultura de ciberseguridad es conocer los peligros que pueden implicar subir nuestra vida, minuto a minuto, a las redes sociales; es exigir que los operaciones de telecomunicaciones garanticen la privacidad de nuestros datos; es educar en el uso responsable de los dispositivos inteligentes desde niños y que no sea tan sólo una herramienta utilizada por los padres para que sus hijos no molesten; es enseñar que no todo vale para conseguir un like; es valorar los niveles de seguridad de nuestro smartphone por encima de la calidad de la cámara…

No debemos caer en la repetición de que hay que fomentar la cultura de ciberseguridad sin antes dotarla de contenido. La educación y cultura de ciberseguridad deberían ser un objetivo prioritario en una sociedad que todavía no ha comprendido el cambio que ha comportado la revolución digital.

Entre ambas imágenes, un mundo. Para muchos, la muerte del dictador representaba el fin de la dictadura y el inicio del camino hacia la democracia, que tuvo que sortear inmensos obstáculos, entre ellos un nuevo intento de golpe de Estado. Hoy, el traslado del dictador desde su lugar de exaltación a un entorno privado se ha presentado desde sectores conservadores –y supuestamente, no tan conservadores– como una forma de abrir heridas, de mirar más al pasado que al futuro y de querer dividir al país.

En el largo proceso de exhumación de Franco, España se ha enfrentado de nuevo a su pasado y ha puesto sobre la mesa la percepción que tenemos sobre nuestra historia, que para muchos todavía es presente. Justo ahora que se acaban de cumplir 44 años de la muerte del dictador, su figura ha vuelto a sobrevolar la política nacional y, de hecho, se ha colado con fuerza en el Congreso de los Diputados por parte de aquellos que dicen no querer mirar al pasado, pero que recurren a la historia de forma interesada para rememorar figuras como Don Pelayo, el Cid Campeador, los Reyes Católicos o Blas de Lezo, y a la exaltación de procesos históricos que supuestamente representan la nostalgia de un pasado glorioso, como la Reconquista.

Para la mayoría de las generaciones más jóvenes, algunas de estas referencias históricas son tan solo personajes y acontecimientos que han tenido que estudiar en algún momento para aprobar un examen o que se encuentran representados en algunas plazas de sus pueblos y ciudades, vistas como vestigios de un pasado que ignoran y que sirven para hacerse algún que otro selfie.

Y no nos engañemos, lo mismo ocurre con el franquismo, ese período que parece muy lejano y del cuál hemos oído hablar, pero que desconocemos totalmente a pesar del gran impacto que tiene en la sociedad en la que vivimos. Es habitual encontrar entre estos jóvenes quienes consideran que la dictadura fue un período autoritario, en el que hubo excesos, pero que también hubo cosas buenas –nos salvó del comunismo, había trabajo, orden y seguridad–, lo que implícitamente representa un triunfo póstumo del franquismo y una derrota del sistema democrático que, apoyándose en el consenso de la Transición, relegó su presencia en las escuelas y en las conversaciones familiares como algo sobre lo que era mejor no hablar. Por el camino, la desmemoria de un fallido golpe de estado contra un gobierno elegido democráticamente en las urnas, una guerra civil de casi tres años, miles de muertos de los dos bandos, un país devastado, más de medio millón de exiliados, miles de represaliados una vez finalizada la guerra, una dictadura de casi cuatro décadas y, no menos importante, el robo de la identidad nacional solo para la mitad vencedora de la guerra civil.

En España todavía es frecuente identificar la bandera nacional y reafirmar la identidad española con ser un facha. Llevar una bandera constitucional que legalmente representa a todos los españoles no debería ser motivo de disputa de la identidad nacional, lo que debería llevarnos a replantearnos nuestra excepcionalidad a través de la historia. Como ejemplo, en los últimos meses hemos podido comprobar cómo en las numerosas manifestaciones en países europeos y latinoamericanos, los partidos políticos y ciudadanos de las distintas tendencias políticas enarbolaban las banderas nacionales sin que nadie cuestionara su identidad. En cambio, en nuestro país, muchos jóvenes que exaltan su condición patriótica han encontrado en los partidos de extrema derecha y en el imaginario del franquismo un lugar en el cual identificarse. Pero no porque sean fervientes franquistas, sino por una cuestión simbólica que choca con el desconocimiento que muchos tienen de la dictadura mientras disfrutan de los derechos y libertades de la democracia.

Por otro lado, respecto al uso y exaltación de algunos de los personajes y acontecimientos históricos señalados anteriormente, es conveniente recordar que forman parte de la historia común de nuestro país, no tan sólo de una parte. Independientemente del conocimiento que tengamos sobre ellos, son procesos históricos que han ido moldeando nuestro presente, pero que deben contextualizarse en su época. Décadas de dictadura y la dejadez democrática han permitido que se apropien de ellos los que miran con nostalgia al pasado, que a su vez son los mismos que desprecian nuestra historia cuando afirman que el pasado no importa –solo para los aniversarios de exaltación patriótica– y que nos invitan a mirar a un futuro… prometedor. Una democracia consolidada debe mirar de frente a su pasado para reconocer y superar esos miedos que pueden cuestionar nuestros valores democráticos. No se trata de remover el pasado, se trata de conocer nuestra historia, que nos pertenece a todos, y no permitir que el olvido nos lleve a repetir los errores del pasado.

A las generaciones que hemos vivido siempre en democracia, nos parece un hecho consustancial disfrutar de los derechos civiles y políticos de los que hoy en día disfrutamos –con todos los defectos que queramos señalar– a pesar de que son muy recientes y una excepcionalidad en la historia de la humanidad. Pero al desconocer de dónde proceden y como se han conquistado, podemos ponerlos en riesgo sin ser conscientes de las repercusiones que ello puede tener, despreciando de esta manera los terribles esfuerzos que miles de personas realizaron para que hoy España sea una democracia, imperfecta, pero desarrollada.

Actualmente los jóvenes tenemos que hacer frente a problemas políticos, sociales y económicos de nuestra época, que no son pocos. Pero sin duda, la larga crisis social y política catalana y el cuestionamiento de la unidad nacional ha marcado un punto de inflexión para muchos de éstos jóvenes, en el que la incapacidad de respuesta del actual sistema democrático y el desencanto por un futuro incierto, ha comportado que muchos jóvenes hayan buscado –y encontrado– en un pasado idealizado los referentes que no tienen en la actualidad. A pesar de esto, también es preciso señalar que no es una cuestión exclusiva de España, sino que en los últimos años estamos siendo espectadores de cómo las democracias occidentales no están ofreciendo respuestas y oportunidades a las demandas juveniles –y no tan jóvenes– y se ha producido una vuelta al nacionalismo como un intento de solución a los desafíos de nuestro tiempo.

No se trata, pues, de despreciar todo el proceso que nos ha traído a la consolidación de la democracia, pero si de aceptar que el olvido impuesto por la Transición, que ha servido durante décadas, ahora se muestra caduco y no tiene respuestas para los desafíos actuales. La inaceptable falta de memoria y de conocimiento que los jóvenes tenemos de nuestro propio país tiene un precio, y es el que estamos pagando como sociedad. Durante el último año se han publicado decenas de libros y artículos que plantean cuestiones que se creían superadas, como replantearse que es el fascismo o intentar edulcorar determinados discursos de odio –véase cualquier tertulia de ‘expertos’ políticos que han aflorado en los últimos tiempos y que tenemos la suerte de disfrutar a todas horas–. Pero una democracia fuerte, consolidada, no puede permitirse ser dubitativa por más tiempo frente a la dictadura franquista ya que puede llegar a corroer los pilares sobre los que se asienta nuestra democracia y nuestro futuro como sociedad.

A pesar de la distancia temporal, entre las imágenes del entierro de Franco y su exhumación el mes pasado –que el golpista Tejero pueda asistir a la inhumación del dictador a gritos de ¡Franco, Franco! es un anacronismo a las puertas del año 2020–, los jóvenes no tenemos conocimiento de cómo hemos llegado hasta aquí, sino hagan la prueba y atrévanse a preguntar. En una época en la que tenemos toda la información disponible a un solo click, nos da pereza conocer nuestra propia historia si ésta no se puede contar en 280 caracteres o en una serie de Netflixclick. El vacío existente, por parte de varias generaciones, sobre nuestra historia es ya una brecha insalvable y podría ser uno de los talones de Aquiles del actual sistema democrático –y de nuestros derechos– a medio y largo plazo, por lo que es urgente reconsiderar el conocimiento que tenemos de nuestro país. No podemos permitir que las raíces democráticas se pudran mientras miramos a otro lado y dejamos paso a los que les gustaría devolver a España a una de las páginas más negras de la historia europea del siglo XX.

Pero estas sospechas sobre las aplicaciones que utilizamos en nuestros teléfonos móviles no surgen con esta aplicación. Por señalar un ejemplo, el verano anterior saltó la noticia de que la app oficial de La Liga de Fútbol Profesional utilizaba los micrófonos y la geolocalización de los teléfonos móviles con el objetivo de detectar aquellos locales que no pagaban los derechos de emisión de los partidos, previo consentimiento del usuario que posiblemente no tuvo tiempo de leer el apartado de “Condiciones Legales”. En los últimos años encontramos una gran cantidad de informes que alertan sobre las consecuencias que tienen para nuestra privacidad el uso de las redes sociales, principalmente por la exposición masiva que hacemos de nuestra vida a través de las fotografías, pero también deberíamos centrarnos en el uso que el resto de aplicaciones que tenemos instaladas en nuestros teléfonos móviles hacen de nuestros datos.

Recientemente la ONG británica Privacy International realizó una investigación sobre algunas de las aplicaciones más descargadas para Android entre las que se encuentran aplicaciones de música (Shazam, Spotify), de viajes (Tripadvisor, Skyscanner, Kayak), de salud y ejercicio (My Fitness Pal), de juegos (My Talking Tom), de contenido religioso (King James Bible, Muslim Pro) o la clásica linterna, entre otras. El análisis concluye que de las 34 apps analizadas, 20 de ellas envían datos del usuario desde el momento en que se abre la aplicación… a Facebook. De nuevo, la compañía de Mark Zuckerberg aparece en informes que denuncian el uso que se hace de nuestros datos, en muchos casos sin el conocimiento de los usuarios que utilizan esta plataforma. Pero en este caso el informe destaca el hecho de que estas aplicaciones comparten información con la red social tanto si el usuario tiene cuenta de Facebook como sino la tiene.

Al descargar e instalar estas y otras aplicaciones, en muchos casos se advierte que nuestros datos pueden ser utilizados o cedidos a terceros, condiciones que habitualmente aceptamos sin mayores problemas cuando hacemos click en la casilla “He leído y acepto los términos y condiciones” (como es el caso señalado anteriormente de la app de LaLiga, o de My Fitness Pal, tal como indica el informe de Privacy International). Los problemas surgen al aceptar determinadas condiciones que no hemos leído pero que aceptamos de manera inmediata para poder tener esa app en nuestro smartphone. También es conveniente señalar que en otros casos, a pesar de no tener la autorización expresa del usuario, muchas de estas app también recopilan y distribuyen nuestros datos.

Un estudio publicado conjuntamente por investigadores del International Computer Science Institute (Berkeley, California) IMDEA Networks Institute (Madrid) o la Universidad de Calgary, afirma que de las más de 88.000 aplicaciones de la Play Store de Google analizadas, alrededor de 12.500 consiguieron información de los dispositivos a pesar de que el usuario había rechazado ceder estos datos. Es habitual que gran parte de las apps justifiquen que la obtención de los datos de los usuarios y su geolocalización tienen como objetivo mejorar la “experiencia del usuario”, mejorar sus servicios y ofrecer anuncios personalizados. Es cierto que en determinadas aplicaciones la localización del usuario es indispensable para ofrecer el servicio –como es el caso de las aplicaciones de transporte o mapas– pero muchas otras no tienen esa justificación. ¿Por qué la clásica app de la linterna que tenemos en nuestros smartphones necesita conocer nuestra localización? ¿Acaso ofrecerá más o menos luz según el lugar dónde nos encontremos? ¿Por qué nuestro reproductor de música o de buscador de viajes envía información a Facebook si ni siquiera somos usuarios de esa red social? A pesar que en mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos, la directiva europea relativa a la protección de los datos personales, todavía existe un enorme vacío y desprotección de los usuarios que puede comportar riesgos, no solo en relación a la privacidad de los usuarios, sino también en el ámbito de la defensa, como ocurrió a principios del año pasado.

La app Strava es una conocida red social de deportistas que funciona a través de Internet y que realiza el seguimiento de las actividades por el GPS. Esta aplicación permite, entre otras funciones, registrar y compartir las rutas que los corredores o ciclistas realizan, incorporarse a grupos dónde encontrar otros contactos o competir con otros usuarios. El problema surgió cuando esta aplicación publicó un “mapa de calor” mundial, en el cual se podían ver los recorridos de los usuarios y se descubrió que también permitía ver el recorrido que estos habían realizado en instalaciones militares. Evidentemente, la localización de muchas instalaciones militares o infraestructuras críticas pueden realizarse a través del conocido Google Maps, pero la novedad residía en que la app podía realizar un seguimiento de los movimientos de los usuarios alrededor de éstas. Este hecho, unido al uso de otras aplicaciones que requieren el uso de geolocalización o la publicación de fotografías con uniformes militares, podrían aportar datos sensibles tanto del personal como de las instalaciones militares, pudiendo llegar a tener graves consecuencias en la propia seguridad del personal militar, sobretodo en misiones en el exterior.

Imaginemos una operación en un país como Afganistán. El porcentaje de la población que utilizaba Internet en 2017 se situaba alrededor del 11% y no es difícil imaginar que, debido tanto al nivel de desarrollo de las infraestructuras como por la situación socioeconómica del país, la población que dispone de acceso a estas aplicaciones es muy bajo. El mapa de calor de Strava podría llegar a ser incluso inexistente, a excepción de aquellos lugares en los que hay personal occidental desplazado –tanto civil como militar– que utiliza ésta aplicación y podría servir para determinar la posición de las instalaciones y del personal en contextos críticos.

Si bien es cierto que después de este suceso el Departamento de Defensa estadounidense prohibió a sus trabajadores el uso dispositivos móviles, de pulseras de actividad y de aplicaciones que hicieran uso de la geolocalización –sobretodo en operaciones en el exterior debido al riesgo que podría comportar para las misiones– el episodio de Strava demostró que todavía existe una gran brecha entre la percepción que tenemos de las tecnologías digitales y las cuestiones relativas a la seguridad.

A pesar de los informes que advierten de los riesgos de estas aplicaciones, el número de sus descargas continúa creciendo a pasos agigantados. La consultora App Annie publicó a principios de año el informe The State of Mobile App 2019 que revela que los usuarios descargamos 194 mil millones de aplicaciones durante 2018 –cerca de la mitad realizadas desde China– lo que significa que cada usuario tiene instaladas, de media, decenas de aplicaciones. Sin duda, uno de los factores que explican en parte su expansión y popularidad es que, en su mayoría, las aplicaciones son gratuitas. De esta manera podemos descargar todo tipo de app sin ningún coste aparente, lo que ha supuesto la generalización y normalización de estas aplicaciones para prácticamente cualquier actividad cotidiana –desde comprar viajes, consultar el tiempo, pedir comida a domicilio, comprar ropa, hacer deporte–, pero sin ser conscientes de las consecuencias que puede tener la información que aportamos.

Como hemos visto en el caso Strava, el uso de estas aplicaciones puede resultar sensible cuando su uso lo realizan miembros de las Fuerzas Armadas –extensible a las fuerzas y cuerpos de seguridad del Estado–, quiénes utilizan los teléfonos móviles y sus aplicaciones como cualquier otro ciudadano en su trabajo, a la vez que les permiten buscar y reservar sus vacaciones, escuchar música de camino al trabajo, controlar las calorías que queman al día y, como no, subir fotografías a sus redes sociales. Pero hay que tener en cuenta que desde el momento en que activamos estas aplicaciones y compartimos información de localización o actividades, perdemos el control sobre el uso y destino de estos datos y únicamente podemos confiar en que las compañías que las desarrollan no hagan un uso indiscriminado de esta información, aunque la realidad es otra.

Es conveniente advertir del riesgo que supone el uso aparentemente inofensivo de estas aplicaciones debido a la inmensa cantidad de información que generan y alertar sobre el hecho que todavía estamos lejos de ser conscientes de las consecuencias que, de forma involuntaria, pueden tener el uso de estas tecnologías en el personal de las Fuerzas Armadas –tanto en el ámbito laboral como personal– así como en los propios organismos de Defensa.

Centrándonos en las primeras, hay la impresión generalizada de que la ciudadanía española todavía las percibe como un asunto lejano, incluso secundario –a pesar de que una encuesta de la Comisión Europea indica que los españoles tenemos más confianza en las instituciones europeas que en las nacionales–. Pero lo cierto es que estas elecciones se realizan en un contexto político y social europeo decisivo para el futuro de la Unión, en las que más de 500 millones de ciudadanos de los 28 países de la UE –Reino Unido participará en las elecciones debido a que todavía no hay acuerdo para el Brexit– elegiremos a los 751 representantes que conformarán el Parlamento europeo para los próximos cinco años. Desde las últimas elecciones europeas, celebradas en 2014, se han incorporado a la agenda cuestiones muy sensibles como la cuestión de los refugiados, el progresivo avance de la extrema derecha –ya podemos afirmar que también en España–, la marcha por primera vez en la historia de un estado miembro o el propio papel de la UE en el tablero internacional.

En este escenario complejo, la UE ha advertido –una vez más– sobre la posibilidad de que se produzcan intentos de injerencia en las próximas elecciones europeas, con Rusia de nuevo como la principal amenaza. La Comisión Europea apunta principalmente a dos riesgos para garantizar la seguridad en estas elecciones: por un lado, las campañas de desinformación y las noticias falsas y, por otro, una posible intromisión en el propio proceso electoral. El primer escenario es de sobra conocido: difusión de noticias falsas para desprestigiar a los gobiernos occidentales, influir sobre la población y, en última instancia, alterar el comportamiento electoral de la ciudadanía. Es evidente que un período electoral es un momento propicio para la difusión de bulos, bien sea para favorecer a uno u otro partido o, simplemente, para generar controversia. Pero también es conveniente precisar que la desinformación no es una actividad exclusivamente rusa, sino que esta actividad puede provenir de otros Estados, de instituciones privadas, de medios de comunicación así como de los propios partidos políticos con el objetivo de influir en el voto de la población. Sin ir más lejos tenemos algunos ejemplos recientes en España.

Pero gracias a la repetición constante del peligro que representan para nuestras democracias las noticias falsas, confundiendo estas actividades con ataques informáticos, ha calado en la ciudadanía y en la percepción que tenemos ante una posible injerencia en los resultados electorales. Según el Eurobarómetro sobre Democracia y Elecciones publicado el pasado mes de noviembre, en período preelectoral el 84% de los españoles nos preocupamos por la desinformación y las noticias falsas que circulan por Internet –la media europea se sitúa en el 73%–, mientras que el 74% de los ciudadanos estamos preocupados ante la posibilidad de que se manipulen las elecciones mediante ataques informáticos –trece puntos por encima de la media europea–. Pero la pregunta que deberíamos hacernos es si nuestro sistema de votación –cada país tiene uno distinto– puede ser susceptible de ser atacado.

En la mayoría de los países europeos se han incorporado las tecnologías durante el proceso electoral, pero ello no significa ni que el voto sea totalmente electrónico ni que el voto sea online. La implantación de un sistema de voto electrónico es una idea que viene de lejos, pero su incorporación en los distintos sistemas nacionales es desigual, entre aquellos países europeos que han hecho pruebas al respecto –el caso de España– y los que se encuentran entre los más avanzado en este ámbito –como es el caso de Bélgica–. A grandes rasgos podemos decir que este tipo de votación hace referencia a los sistemas electorales que hacen un recuento automático de los votos, y como ejemplo, podríamos señalar aquellos sistemas en los que se realiza la votación de forma presencial, a través de máquinas que están situadas en unas cabinas en las que se elige la opción preferida a través de una pantalla táctil, y se obtiene un recibo con el voto emitido. En cambio, el voto por Internet o telemático, consistiría en votar a distancia sin la necesidad de tener que desplazarse para votar de forma presencial, inclusive a través de aplicaciones móviles, como ha ocurrido en las pasadas elecciones parlamentarias celebradas en el mes de marzo en Estonia.

Por otro lado es importante señalar que a pesar de la incorporación de éstas tecnologías el recuento es distinto en cada Estado y que en la mayoría de los países el recuento se realiza de forma manual o se dispone de registros en papel, con lo cual la posibilidades de que un ataque informático modifique los resultados se reducen considerablemente. De hecho, debido al miedo a un posible ataque informático, Holanda ha realizado el camino inverso pasando del recuento automático al manual. En el caso de España, a pesar de que durante el proceso se incluye el uso de los sistemas informáticos, es conveniente recordar que la votación no es exclusivamente ni digital ni mucho menos online. Una vez que se realiza la votación introduciendo la papeleta correspondiente en la urna, su recuento se realiza de forma manual, ante la presencia de los miembros de las mesas y de los interventores de los distintos partidos y los resultados se incorporan -ahora sí- a un sistema informático que recoge los resultados de los colegios electorales a nivel nacional.

Pero si nos situamos en el peor de los casos y se produce un ataque informático que tuviese éxito y fuese descubierto –sin o se cumple este último requisito, se aceptarían los resultados y el ataque habría sido totalmente exitoso– sus consecuencias dependerían del grado de implantación de las tecnologías. En el caso español, si hubiese una intrusión que modificara los resultados, ésta situación se podría subsanarse con un nuevo recuento de las papeletas, siempre y cuando no supere el tiempo previsto para su destrucción una vez hecho el recuento. En cambio, en aquellos países en los que el voto fuese en gran medida por Internet se crearía una situación realmente desconcertante y estaría por ver cuál sería la respuesta de los actores nacionales.

Por lo tanto, la probabilidad de que un ataque informático contra un sistema electoral tenga éxito dependerá en gran medida del sistema de votación que tenga cada país, sin olvidar las habilidades técnicas de aquellos que quieren entrar en los sistemas. La implementación de los sistemas de voto electrónico –o incluso online– supondría mejoras en los procesos electorales, por ejemplo, en la propia organización electoral, en el ahorro de las papeletas, en una mayor agilidad en el recuento electoral y quién sabe si hasta una mayor participación. Pero actualmente el temor a que se produzca una injerencia en el proceso electoral que modifique los resultados es una cuestión tan sensible que hay muchas dudas sobre su implantación. Las dudas sobre un resultado electoral podría afectar a la propia confianza del sistema democrático.

La cuestión fundamental para garantizar unas elecciones libres, seguras y transparentes es, sin duda, evitar una manipulación directa del resultado electoral, pero es evidente que la progresiva incorporación de las tecnologías es un hecho y que éstas se han incorporado a otros ámbitos también sensibles como la economía, las finanzas o la defensa. Pero un buen comienzo, aunque humilde, podría ser empezar por no confundir desinformación con ataques informáticos en los procesos electorales.

Aunque las acusaciones de espionaje que recaen sobre la firma china no son nuevas, éstas se han incrementado durante el último año, principalmente por parte de Estados Unidos, sobretodo a raíz de la detención el pasado mes de diciembre en Canadá de la vicepresidenta de la compañía, Meng Wanzhou, quién se encuentra en libertad bajo fianza a la espera de una posible extradición a EEUU.

¿Y cuáles han sido estas acusaciones? Principalmente relacionadas con el espionaje y el robo de propiedad intelectual. Centrándonos en las denuncias de EEUU, en enero de 2018, cuando Huawei había alcanzado un acuerdo con uno de los principales operadores del país -AT&T-, las negociaciones se rompieron debido a supuestas presiones de congresistas estadounidenses quienes acusaron a la tecnológica china de tener lazos con los servicios de inteligencia de Pekín. Semanas más tarde, en una comparecencia en el Comité de Inteligencia del Senado norteamericano, los responsables de las principales agencias de inteligencia -la CIA, la NSA o el FBI, entre otras- alertaron del peligro que suponía el uso de productos de Huawei, así como el de otra multinacional china de telecomunicaciones, ZTE, debido a la posibilidad de que ambas compañías colaboraran de forma encubierta para el gobierno chino -aunque las noticias se han centrado principalmente en estas firmas, también afectaría a fabricantes de otras compañías tecnológicas chinas-.

En esta misma línea, el Departamento de Defensa estadounidense prohibió en mayo la venta y el uso de productos Huawei y ZTE al considerar que suponían un “riesgo inaceptable” para el Pentágono, mientras que la ley de Defensa aprobada en agosto, por la cual se autoriza el gasto militar, establece la prohibición de que los funcionarios del Gobierno, así como los posibles contratistas, utilicen los productos de dichas compañía. Pero conviene puntualizar que estas acusaciones no son totalmente nuevas -el origen de todos los problemas no es Donald Trump- sino que durante la presidencia de Obama ya se produjeron acusaciones similares a través un informe del Comité de Inteligencia de la Cámara de Representantes en el año 2012, en el cual se advertía de que ambas compañías suponían una amenaza para la seguridad nacional.

Si bien EEUU ha sido el país que más atención ha centrado por sus denuncias de espionaje a éstas compañías, otros estados han adoptado acciones similares. Australia, Canadá, Reino Unido o Nueva Zelanda han mostrado públicamente su preocupación ante la posibilidad de que estas compañías puedan ceder datos con información confidencial que pueda afectar a sus infraestructuras críticas y, por lo tanto, a la propia seguridad nacional, llegando a prohibir el uso de productos de Huawei para sus redes nacionales. Otros países podrían plantear políticas similares a corto plazo.

¿Y la Unión Europea? Hasta la fecha el principal pronunciamiento sobre esta cuestión lo realizó el vicepresidente de la Comisión Europea para el Mercado Único Digital, Andrus Ansip, quién a principios de diciembre afirmó que tenemos que estar preocupados por Huawei y otras compañías chinas. A pesar de estas palabras, el hecho es que la compañía no ha dejado de ganar terreno en el mercado europeo en los últimos años, siendo España un claro ejemplo. Tan sólo 17 años después de que la compañía se instalara en nuestro país, actualmente es el principal proveedor de infraestructuras de telecomunicaciones de los operadores nacionales, uno de los principales vendedores de smartphones y tiene presencia en sectores estratégicos como la Administración Pública, la Energía o el Transporte.

En este contexto de denuncias por una supuesta colaboración con los servicios de inteligencia de Pekín, la respuesta de la compañía ha sido la esperada: ha rechazado cualquier acusación de espionaje -la última vez en la reciente cumbre del Foro Económico Mundial- y se ha puesto a disposición de los países para disipar cualquier duda al respecto, justificando reiteradamente que no se han presentado pruebas de este presunto espionaje. De hecho, la detención de la vicepresidenta de Huawei no se produjo por cuestiones relacionadas con este supuesto espionaje, sino porque presuntamente la compañía se habría saltado el embargo comercial impuesto por EEUU sobre Irán al comerciar con Teherán a través de una filial. Una vuelta de tuerca más a este asunto.

En este punto es conveniente señalar un tercer elemento que en algunas ocasiones se presenta como secundario pero que es decisivo: la guerra comercial por la implantación de la denominada tecnología 5G. Como es evidente, cada vez hay más dispositivos conectados Internet y se prevé que esta tendencia no haga más que aumentar debido principalmente a la progresiva incorporación del Internet de las Cosas, que incluiría desde los dispositivos que están conectados a Internet en nuestros hogares a los vehículos autónomos o edificios inteligentes. Pero para que se produzca este siguiente paso en el desarrollo tecnológico es necesaria una infraestructura que aporte una velocidad de Internet mucho más rápida y una capacidad de conectividad que soporte la progresiva incorporación de estos dispositivos. Además, se calcula que el desarrollo de esta red 5G tendrá un fuerte impacto en la economía a través de las inversiones, el desarrollo de la industria o la creación de empleo.

Tenemos, por tanto, dos cuestiones que están estrechamente relacionadas. Por un lado, las acusaciones de espionaje sirven a EEUU como argumento para vetar la expansión de las empresas chinas en un sector de máxima importancia para la seguridad de cualquier nación, como es el control de las telecomunicaciones. Pero aunque las compañías chinas niegan el espionaje industrial escudándose en que no se han presentado públicamente pruebas sobre ello la denominada Ley de Ciberseguridad china, en vigor desde 2017, da argumentos más que suficientes para generar, como mínimo, desconfianza entre sus posibles socios comerciales: para garantizar la seguridad del país o para evitar actos terroristas, las empresas chinas que operen en el extranjero tendrían que ceder información cuando el gobierno chino lo  solicite. Por consiguiente, la cuestión central no sería el espionaje en sí mismo, sino que tanto Washington como Pekín tendrían un objetivo: la propia seguridad nacional.

Debido a la complejidad de este asunto resulta llamativo que las noticias se centren principalmente en las denuncias de espionaje -es conveniente recordar que estas actividades existen mucho antes de Internet, no estamos descubriendo nada nuevo- y no en intentar explicar el resto de elementos que rodean este asunto. La implantación de la tecnología 5G no es una cuestión puramente comercial con repercusiones exclusivamente económicas, sino que está directamente relacionada con el control de la información y la seguridad nacional y tendrá un impacto directo en todas aquellas cuestiones relacionadas con la ciberseguridad. Por lo tanto, si tan sólo nos centramos en uno de los aspectos, no podremos entender la magnitud de este desafío.

Por otro lado, no deja de ser paradójico que sea EEUU quien denuncie actividades de espionaje de forma tan reiterada. Si retrocedemos la vista poco tiempo atrás encontramos casos como los destapados por Edward Snowden sobre la NSA, sus programas de espionaje masivo o el espionaje de las comunicaciones de sus aliados, por citar tan sólo unos ejemplos. ¿O ya lo hemos olvidado?

Volviendo al tema de las acusaciones, esta misma semana el Departamento de Justicia de EEUU ha acusado formalmente a Huawei, a su filial estadounidense y a su vicepresidenta Wanzhou de robo de secretos comerciales, fraude electrónico, obstrucción a la justicia, conspiración y violación de las sanciones sobre Irán –es llamativo que algunas de estas acusaciones se centren en el período 2012-2014 y no en sucesos recientes–.  Quién no ha tardado en responder a sido China, que ha salido en defensa de sus compañías y ha señalado que este asunto tiene “motivaciones políticas”. Pero lo que evidencian estos hechos es que es un asunto complejo más allá de un simple espionaje y que podría acaparar el centro de atención en las próximas semanas, con permiso de Venezuela.

Finalmente, es interesante apuntar cómo los ciudadanos percibimos los hechos que nos explican y cómo los aceptamos sin plantearnos otra posibilidad. Sólo plantearla. Y es que sería ingenuo pensar que el control que tiene Pekín sobre sus empresas no pudiera dar lugar a este espionaje, pero también sería conveniente que no confiáramos ciegamente en las afirmaciones que explican sólo una parte de un tema tan complejo sin intentar ver más allá de las declaraciones oficiales. Pero, evidentemente, es más fácil que te señalen a un culpable, te expongan un hecho y lo aceptemos sin más: Huawei nos espía.

El acuerdo sobre la venta de las bombas se había firmado en el año 2015 con Pedro Morenés como ministro de Defensa por un valor de 9,2 millones de euros –que por otra parte ya se habrían pagado– y que eran un excedente del Ejército del Aire –por lo tanto, no suministrados directamente por la industria de defensa. Pero a partir de la supuesta cancelación de la venta de las bombas, se planteó la posibilidad de que Arabia Saudí pudiera replantearse el contrato firmado en julio de este año con la empresa pública española Navantia para la construcción de cinco corbetas –es decir, cinco buques de guerra–, principalmente en los astilleros de la bahía Cádiz, pero que también repercutirían en los astilleros de la Ría de Ferrol y Cartagena. El contrato tendría un valor de más de 1.800 millones de euros, convirtiéndose en el mayor contrato con un cliente extranjero de la historia del astillero público, del que se espera genere alrededor de 6.000 puestos de trabajos anuales –tanto directos como indirectos– en los próximos cinco años.

Ante esta incertidumbre, se produjeron movilizaciones de los trabajadores de los astilleros ante el temor de perder un contrato que les garantizaba una carga de trabajo para los próximos años. La respuesta del Gobierno fue considerar la cancelación del contrato como una simple “declaración de intenciones”. Posteriormente el ministro de Exteriores, Josep Borrell, confirmaba que se mantendrían ambos contratos debido a que “no se ha detectado ninguna irregularidad que permitiese no ponerlo en práctica”, justificando que este tipo de bombas “no produce efectos colaterales en el sentido que da en el blanco que se quiere con una precisión extraordinaria de menos de un metro” y que “Arabia Saudí considera las relaciones comerciales en materia de armamento como un todo”, lo que en la práctica suponía ligar el contrato de la construcción de las corbetas con la venta de las bombas. Finalmente, a pesar de este revuelo, teníamos unas bombas que no matan civiles, unos contratos que proporcionaban importantes ingresos y carga de trabajo en una de las zonas más afectadas por el desempleo. Todo arreglado.

Pero tan sólo unos días después, el 2 de octubre, se produce la desaparición y asesinato del periodista saudí Jamal Khashoggi que ha dejado en una posición, cuando menos, incómoda a las democracias occidentales en sus relaciones con la monarquía saudí. En las últimas semanas hemos visto cómo el periodista entraba en el consulado de su país en Estambul, cómo un hombre salía disfrazado haciéndose pasar por él, cómo Arabia Saudí mentía sobre el paradero del periodista durante semanas, cómo las informaciones apuntaban a que había sido descuartizado y sacado de Turquía en una operación de película, cómo finalmente el gobierno saudí reconocía la muerte del periodista tras una supuesta pelea, cómo el hijo del periodista recibía las condolencias por parte del príncipe heredero saudí, Mohamed bin Salmán –quien ha sido acusado de estar detrás de la muerte de Khashoggi- y, en última instancia, cómo la comunidad internacional miraba hacia otra parte. Y no es el único caso.

En este delicado contexto finalmente se produce la comparecencia en el Congreso del presidente del Gobierno español, Pedro Sánchez, que en un difícil equilibrio racional condenaba el “terrible asesinato” de Khashoggi, pedía “una investigación para esclarecer los hechos”, pero apostaba por la venta de armas a Arabia Saudí en un acto de “responsabilidad” y en defensa de los “intereses de España” lamentando que “la exportación de armamento es un claro ejemplo de la complejidad de la política”.

La responsabilidad y los intereses de España a los que se refería el presidente del Gobierno no eran más que una defensa de los intereses de la industria de defensa escudándose en la creación de puestos de trabajo. Aún aceptando la justificación de la creación de empleo –sólo en teoría–, ésta es una visión cortoplacista que no soluciona a la larga el problema del paro en los astilleros españoles, sino que únicamente se utiliza como justificación de cara a una opinión pública totalmente sensible al drama del desempleo.

Pero centrémonos en los números del comercio de armamento. Según los datos de la Secretaria de Estado de Comercio, las exportaciones españolas de material de defensa realizadas en el año 2017 ascendieron a 4.346,7 millones de euros, lo que supone un incremento del 285,2% en relación al año 2010, que tuvieron un valor de 1.128,3 millones de euros. Durante el período 2010-2017 el valor total de estas importaciones ascendieron a 24.742,9 millones de euros. El principal mercado de exportación de armamento de España son los países de la UE y OTAN, que en el año 2017 supusieron ingresos por valor de 3.154,7 millones de euros (72,6% del total de las ventas de armamento), siendo Alemania, Reino Unido, Francia y Turquía los principales importadores.

Y en quinto lugar, Arabia Saudí, con compras valoradas en 270,2 millones de euros. Si nos centramos en el período 2010-2017 la tendencia es similar: Reino Unido ha sido el principal importador de armamento español (4.764, 14 millones de euros), seguido de Alemania (3.420,98 millones de euros) y de Francia (2.005,73 millones de euros). En el caso del reino saudí, se ha vendido armamento por un valor de 1.672,8 millones de euros, por lo que si finalmente se realiza la construcción de las cinco corbetas (1.800 millones de euros), éste contrato supondría una cantidad superior a todo el período citado, por no hablar de otros contratos como la construcción del AVE a la Meca o el metro de Riad, que al parecer se conciben como “un todo”.

Si prestamos atención, lo que indirectamente nos están transmitiendo es que dependemos de Arabia Saudí. Veamos. Según el Instituto Internacional de Estudios para la Paz de Estocolmo (SIPRI), Arabia Saudí fue el segundo importador mundial de armamento en el período 2013-2017 –tan sólo superado por India–, siendo Estados Unidos su principal suministrador (61% de las importaciones saudíes), seguido de Reino Unido (23%) y Francia (3,6%). Estos datos reflejarían que la monarquía saudí no tiene una elevada dependencia de las importaciones de armamento de España, ya que el porcentaje de compras en relación a su totalidad es reducido, mientras que los ingresos que espera percibir España por la venta de armamento a Arabia Saudí si suponen un gran impacto económico en el comercio de material de defensa.

Hasta donde conocemos, no hay una relación directa entre los contratos de las bombas, las corbetas y la muerte de Khashoggi y, por lo tanto, se puede argumentar que son cuestiones distintas. Pero en este contexto nada sencillo, lo que se ha puesto en cuestión son las relaciones comerciales de venta de armamento de España a países que violan sistemáticamente los derechos humanos, como es el caso del reino saudí.

Hay quien pueda pensar que estas líneas se escriben desde la ingenuidad o desde el “buenismo”, pero nada más lejos de la realidad. Estas cuestiones se plantean desde el conocimiento de la naturaleza de las relaciones internacionales y de la aceptación de que los Estados tienen el  derecho de comprar y vender armamento para su defensa. Pero no todo vale. ¿Alguna vez  se señala que los Estados también pueden elegir a quién venden –o no– este tipo de material? España y la Unión Europea repiten constantemente que defienden unos valores comunes como promover la paz, la democracia, la libertad o los derechos humanos. Pero no se trata únicamente de repetirlo, sino también de ponerlo en práctica. Y la guerra civil en el Yemen –por no volver al repulsivo asesinato de Khashoggi– da argumentos para ello. Un reciente informe de Naciones Unidas afirma que, desde el inicio del conflicto en 2015, han muerto alrededor de 6.500 civiles, más de 10.000 habrían resultado heridos y más de 22 millones de personas requerían asistencia humanitaria –en un país que cuenta con una población de poco más de 29 millones de habitantes–, siendo calificada por la misma organización como “la mayor crisis humanitaria del mundo”. Además, entre sus recomendaciones pide “abstenerse de proporcionar armas que podrían emplearse en el conflicto en el Yemen”. Pero parece ser que hay otros intereses superiores.

El Gobierno ha justificado estos acuerdos en un contexto de enorme desempleo, pero este razonamiento no deja de ser un parche temporal a una cuestión que requiere de nuevas fórmulas que generen empleo y que no pongan en la tesitura de tener que elegir entre trabajo o derechos humanos. Por su parte, la UE ha vuelto a demostrar que no tiene una voz común en política exterior y que cada país antepone sus intereses nacionales a los valores comunitarios. Nada nuevo en el horizonte.

Generalmente las cuestiones relacionadas con la compra-venta de este tipo de material son un tema controvertido a la vez que desconocido por la sociedad. Pero como se ha mostrado, la cuestión central no radicaba tanto en la cancelación de la venta de las 400 bombas que se señalaron al principio del artículo, sino que encontramos cuestiones de tipo comercial –viabilidad de otros contratos– o de tipo electoral –la proximidad de las elecciones andaluzas y el desempleo de la región–, por encima de las cuestiones morales que pudieran plantearse. Este tipo de actividades comerciales, aunque legales, siempre están rodeadas de un secretismo poco higiénico para las sociedades democráticas.

Desafortunadamente estos peligros no son casos aislados, sino que gran parte de las actividades ilícitas se han trasladado, desde hace años, a la Red. Como no podía ser de otra forma, los delincuentes también han aprovechado las oportunidades que les ofrece el entorno digital y la ingente cantidad de información que circula por la Red para realizar sus acciones. Tal ha sido el crecimiento de estas actividades en el ciberespacio que la mayor parte de los análisis coinciden en señalar que estas actividades no han hecho más que crecer en los últimos años, entre otras razones, por el uso generalizado y por la mayor dependencia de nuestras sociedades respecto a Internet. Pero hay que señalar que la mayoría de estas investigaciones se centran en el ámbito empresarial y en el coste que suponen para las empresas, a la vez que la incorporación de las nuevas tecnologías ha permitido a las empresas ser más eficientes o tener una presencia global como nunca antes en la historia. Entonces, ¿cuál es el coste que tiene para las empresas el llamado cibercrimen?

Según un informe publicado a principios de año por la compañía de seguridad informática McAfee y el think tank estadounidense Center for Studios and International Studies (CSIS), se estima que el impacto económico mundial del cibercrimen oscilaría entre 445.000 y 600.000 millones de dólares, es decir, alrededor del 0.8 del PIB mundial, tan sólo por detrás de la corrupción gubernamental y el narcotráfico. Estos datos representarían un importante aumento en comparación a un estudio similar realizado por los mismos autores en el año 2014, en el que cuantificaban estas pérdidas entre 345.000 y 445.000 millones de dólares, lo que supondría un aumento aproximado de entre el 29% y el 35%. Pero puntualicemos algunos aspectos de estos datos.

En primer lugar hay que tener en cuenta que estas cifras son tan solo aproximaciones debido a la enorme dificultad que representa cuantificar cualquier ámbito de una actividad ilícita, a lo que se suma la falta de registros por parte de los cuerpos y fuerzas de seguridad y de los gobiernos. Tampoco hay que confundir el coste que estas actividades representan para las empresas o el impacto que tienen en la economía mundial, con los beneficios que obtiene el cibercrimen. Los datos expuestos hacen referencia al  coste económico que estas actividades tienen para las empresas, entre los que encontramos los costes que suponen asegurar las redes, adquirir “ciberseguros”, los costes de oportunidad, el pago del ransomware o las pérdidas que implican el robo de la propiedad intelectual, pero en ningún caso las cantidades anteriormente indicadas hacen referencia a los beneficios del crimen online. También es interesante puntualizar que el cibercrimen es tan sólo una parte de la totalidad de las actividades ilícitas que se realizan en el ciberespacio y que, por lo tanto, las estimaciones se centran en un ámbito concreto. Aunque el robo de información o el fraude comparten un espacio común de actuación con otras actividades ilícitas (como es Internet), aquí no se han tenido en cuenta actividades como la venta de drogas, de armas o la pornografía infantil, por citar algunas.

Por otro lado, es habitual señalar que Internet elimina las fronteras tradicionales y que reduce la distancia entre dos personas, organizaciones o países. Y éste es un claro ejemplo. El ciberespacio aporta a los delincuentes el medio para realizar sus actividades desde cientos, miles de kilómetros, sin tener que estar físicamente en el lugar del delito ni tener que desarrollar complejas estructuras criminales , lo que le aporta otra de las características del ciberdelito, como es el anonimato. Debido a la dificultad que supone rastrear el origen de un ataque informático  para identificar físicamente al presunto delincuente (no sólo a nivel técnico, sino también en tiempo), éste hecho le otorga una imagen de impunidad que difícilmente encontramos en otras actividades ilícitas. Pero, ¿quiénes son estos ciberdelincuentes?

A pesar de la imagen extendida que tenemos del cibercriminal como una persona solitaria, con capucha, delante de un ordenador que ilumina su silueta en medio de la oscuridad y que habitualmente confundimos con un hacker, las distintos análisis coinciden en señalar que no son éstos, sino los Estados, los principales agentes del cibercrimen. De hecho, el informe de McAfee/CSIS señala que el país con una mayor actividad criminal online sería Rusia, seguido de Corea del Norte e Irán, y que sus principales objetivos serían las instituciones financieras. En cuanto a los métodos de ataque empleados, el ransomware sería el más utilizado (consiste en el secuestro del dispositivo por el cual se pide un rescate para desbloquearlo, como ocurrió con WannaCry) y éste se distribuiría principalmente a través del correo electrónico.

Volviendo a las cifras anteriores, el incremento del coste del cibercrimen a nivel mundial se produce mientras los países más desarrollados tecnológicamente invierten cada año más recursos económicos para mitigar sus efectos. Entonces, ¿cómo es posible que aumenten las pérdidas? El citado informe señala algunas de las posibles causas, como serían la rápida adaptación de los criminales a las nuevas tecnologías, la facilidad de realizar determinados ataques informáticos (que se traducen en importantes beneficios) o la actitud despreocupada con la que nos movemos por la Red. Es evidente que para hacer frente a determinados ataques informáticos complejos son necesarios conocimientos avanzados en el ámbito digital, pero gran parte de las advertencias y recomendaciones que realizan las empresas de seguridad informática o los organismos públicos se centran en medidas de protección básicas que la mayoría de usuarios podemos realizar, como es el uso de contraseñas adecuadas, la actualización del software de los dispositivos o la no distribución de información personal a través de las webs o redes sociales. También es importante reiterar que el cibercrimen se aprovecha de la pasividad de los usuarios, ya que en muchas situaciones en las que se produce el robo de información o la suplantación de identidad, ésta no se denuncia, bien porque se desconocen estos hechos o, en el caso de muchas empresas, por temor a que este reconocimiento público tenga repercusiones en su imagen, debido a que puede genera desconfianza entre sus clientes (o potenciales clientes) y sufrir un riesgo reputacional difícilmente cuantificable.

Aunque el cibercrimen no sería la actividad que tendría un coste más elevado, como se ha señalado anteriormente, sí sería la actividad que podría afectar a un mayor número de víctimas, debido a que se calcula que alrededor de la mitad de la población mundial ya tiene acceso a Internet.  Este hecho, unido a que cada año millones de personas se incorporan a la Red, bien a través de sus ordenadores, smartphones, tablets, o más recientemente a través del Internet de las Cosas (es decir, aquellos dispositivos que con  mayor frecuencia se encuentran en nuestros hogares y que tienen conexión a Internet, como los televisores inteligentes, las impresoras o neveras) nos da una idea del campo de acción de los ciberdelincuentes. Debido a la interconectividad actual y al potencial de la Red, abordar el fenómeno del cibercrimen requiere una respuesta conjunta desde el ámbito público y privado, empezando por una mayor concienciación de los peligros de la Red y un uso más responsable de los dispositivos que utilizamos tanto en nuestro ámbito personal como profesional. De lo contrario, continuaremos pagando sus consecuencias.

No es ningún secreto que, desde la llegada de Trump a la Casa Blanca, las relaciones con la Unión Europea (UE) no pasan por su mejor momento. Algunas declaraciones del mandatario estadounidense poniendo en cuestión la existencia de la OTAN, su decisión de salir de acuerdos internacionales como el Acuerdo de París sobre cambio climático (hace justo un año) o acontecimientos internacionales como el Brexit, son vistos como una oportunidad para profundizar en la unión política europea y apostar claramente por una autonomía en cuestiones de seguridad y defensa, como ya se ha planteado en este medio.

La idea de una mayor autonomía en defensa europea está presente en la Estrategia Global para la Política Exterior y de Seguridad de la UE así como en el Plan de Acción Europeo de la Defensa, ambos de 2016, en los que se plantea que Europa debe asumir una mayor responsabilidad en relación a su seguridad y se identifica el ciberespacio como uno de los ámbitos prioritarios de actuación. Aunque en los últimos años se ha producido una importante mejora de la seguridad de las redes, es conveniente señalar que esta se ha desarrollado principalmente en el ámbito civil. Por lo general, cuando nos referimos a la ciberseguridad, lo hacemos pensando en la seguridad de las redes de las empresas privadas, del sistema financiero o de la administración pública, pero no es frecuente que se planteen los riesgos del ciberespacio en un ámbito estrictamente militar, es decir, en lo que podríamos considerar la ciberdefensa.

Si realmente se quiere profundizar en el proyecto de defensa europeo es imprescindible el desarrollo de una estructura sólida de ciberdefensa europea por, al menos, los siguientes motivos. Primero, porque la propia naturaleza de la Red nos proporciona una interconectividad entre países como nunca antes en la historia. Por otro lado, porque las amenazas procedentes del ciberespacio afectan de manera directa a la seguridad y defensa nacionales y, por consiguiente, a la europea. Y por último, porque el ciberespacio ya es una realidad en el ámbito militar: lo encontramos integrado en los procesos de planeamiento, en las operaciones militares, en los sistemas de armamento, o en la creación de unidades específicas dentro de las Fuerzas Armadas (el Mando Conjunto de Ciberdefensa –MCCD– en el caso de España).

Si bien es cierto que todos los Estados miembros de la UE han desarrollado sus respectivas Estrategias de Ciberseguridad Nacional, también lo es que las estructuras de ciberdefensa se han desarrollado a distintos ritmos y desde una perspectiva nacional, con resultados desiguales, bien sea por la importancia estratégica que cada país le atribuye o por los recursos que destina. En esta línea, la Comisión Europea presentó en septiembre del año pasado el documento “Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE” con el objetivo de reforzar la ciberseguridad entre los miembros de la Unión, en el que establece medidas concretas destinadas a aumentar la cooperación en materia de ciberdefensa.

Entre sus propuestas plantea una mejora en la formación y educación en ciberdefensa, que en España se realiza a través del denominado Plan FORCIBE (FORmación en CIBErdefensa) del Ministerio de Defensa. También establece un aumento de la cooperación UE-OTAN (siguiendo los acuerdos de la declaración conjunta de julio de 2016) principalmente en las áreas investigación e innovación y en la realización de ejercicios conjuntos, como el ciberjercicio Locked Shield (la UE organiza a través de la Agencia Europea de Seguridad de las Redes y de la Información –ENISA– el ejercicio Cyber Europe, que celebrará su quinta edición este mes de junio). Por último sugiere que los Estados miembros incluyan la ciberdefensa en el marco de la cooperación estructurada permanente y el Fondo Europeo de Defensa.

Otro de los entornos en los que debería desarrollarse la ciberdefensa europea es en el campo de la concienciación. En el ámbito civil se suele señalar continuamente la necesidad de que la población adquiera una mayor conciencia de la importancia de la seguridad en las redes, pero no nos cuestionamos si esa concienciación está presente en las propias Fuerzas Armadas. Recientemente, en unas jornadas organizadas en el Senado sobre la situación del reservismo en España, el coronel Amable Sarto, de la jefatura de Recursos Humanos del EMAD, señaló (por dos veces) que buscaban frikis. Aunque los pocos medios que recogieron la noticia han planteado que en realidad quería referirse a hackers (¿?), en cualquier caso demostraría el gran trabajo que queda por delante en concienciación en las propias Fuerzas Armadas, lo que me lleva a la siguiente pregunta: ¿Realmente hay el convencimiento en las Fuerzas Armadas y en el Ministerio de Defensa de la importancia estratégica del ciberespacio?

En este contexto, ¿cómo continuar desarrollando la estructura de ciberdefensa? El presidente del Consejo Europeo, Donald Tusk, señaló en relación a las últimas decisiones del presidente Trump (como la retirada del acuerdo nuclear con Irán o la amenaza de imponer aranceles a la UE) “que con amigos así, quién necesita enemigos”. Pero lo que nos tendríamos que plantear es en qué punto se encuentra la amistad y la confianza (a la que se refería Merkel) entre los Estados miembros y hasta qué punto los estados con un mayor desarrollo en el ámbito de la ciberdefensa van a querer compartir esas capacidades con el resto.

Los desafíos procedentes del ciberespacio son transversales y, por lo tanto, no pueden afrontarse únicamente desde una perspectiva nacional. En este contexto, la UE tiene dos opciones. Confiar en las soluciones cortoplacistas en las que cada vez que se produzca un suceso global en el ciberespacio lo califiquemos como la mayor amenaza para nuestra seguridad y lo afrontemos desde una perspectiva nacional (WannaCry) o profundizar en un proyecto sólido a largo plazo en el que la confianza entre Estados miembros sea un elemento central.

Más de cien años después, en un contexto totalmente distinto y desde un ámbito que ni siquiera existía como es el ciberespacio, se está planteando la posibilidad de impulsar la creación de un programa de ciberreserva, es decir, un grupo de profesionales en el ámbito de la ciberseguridad que puedan alistarse como reservistas en el Ejército español con el objetivo de ser activados en situaciones puntuales de crisis que pueda sufrir España. Pese a que esta idea no es totalmente nueva, sí que ha ido ganando notoriedad en los últimos meses, sobretodo a raíz del ciberataque de WannaCry de mayo de 2017 y de las supuestas injerencias rusas durante la crisis catalana. Aunque a día de hoy no se ha presentado una propuesta oficial sobre esta cuestión, algunos medios señalan algunas de las posiblescaracterísticas que podrían configurar esta unidad.

A grandes rasgos, esta ciberreserva se articularía entorno al Mando Conjunto de Ciberdefensa (MCCD), órgano integrado en la estructura operativa de las Fuerzas Armadas y dependiente del jefe de Estado Mayor de la Defensa (JEMAD) que, según la Orden Ministerial 10/2013, de 19 de febrero, por la que se crea el MCCD, tiene como ámbito de actuación “las redes y los sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y que afecten a la Defensa Nacional”. Tendría un carácter multidisciplinar, es decir, estaría formada por expertos en distintas áreas, desde profesionales de la seguridad informática a expertos en redes sociales, incluyendo a politólogos, sociólogos, juristas o psicólogos. De carácter civil, este grupo estaría formado por unos 2.000 efectivos que realizarían funciones de carácter defensivo y con una retribución cercana a los 2.000 euros (¿mensuales?). El compromiso tendría una duración de dos años y para ello sería un requisito tener una disponibilidad permanente las 24 horas del día, de lunes a domingo.

A priori, esta propuesta ofrecería unas condiciones, cuanto menos, básicas para aquellos que deseen incorporarse a esta unidad y permitiría al Estado disponer de profesionales con los conocimientos y experiencia en situaciones de emergencia. Pero, ¿qué otras consideraciones encontramos?

Uno de los argumentos para la creación de esta reserva se basa en que los países de nuestro entorno como Francia, Reino Unido o Países Bajos ya disponen de esta estructura, al igual que Estados Unidos, Israel o Estonia. Pero hay que tener en cuenta que el desarrollo en cuestiones de ciberseguridad es distinta en cada uno de los países, bien por su historia, porque hay una mayor concienciación, o por las prioridades que le otorga cada país. La estructura de ciberseguridad de alguno de estos países tiene un gran desarrollo, desde las administraciones públicas a la empresa privada, incluyendo los ámbitos académicos y de investigación, por lo que esta ciberreserva la pueden plantear como un plus a las estructuras ya existentes.

Otro de los motivos sería la consideración de que hay una escasez de conocimiento en cuestiones relacionadas con la ciberseguridad. Aunque al innegable desarrollo e implantación de las tecnologías de la información y comunicación no le ha acompañado un desarrollo paralelo en relación a la seguridad de estos sistemas, en España sí que encontramos muchas personas con los conocimientos (y también la experiencia) en este campo. Gran parte de estos profesionales se encuentran en la empresa privada (o vinculados a ella) y otros tantos han tenido que emigrar para encontrar un reconocimiento que no han tenido en su país. Y ahora, la situación se vuelve en contra. La cuestión, por lo tanto, no reside en la escasez de conocimiento sino en poder ofrecer unas condiciones acordes al trabajo que deberían desarrollar.  

A nadie se le escapa que contar con expertos y profesionales en este ámbito supone destinar importantes recursos económicos, principalmente en personal. Pero parece ser que no todo el mundo lo percibe así. Sin ir más lejos, el jefe del MCCD, el general de División López de Medina, en su comparecencia el pasado noviembre en la Comisión Mixta de Seguridad Nacional del Congreso de los Diputados, afirmó que en caso de articularse esta ciberreserva “no les vamos a pagar nada, porque el único sueldo sería la satisfacción de defender a su nación, a su Estado. Sólo les cubriríamos los gastos necesarios para que no perdiesen dinero”. Todo un detalle. Además señaló otras ventajas como el hecho de que no sería necesario contar con una preparación física especial, apostaría por crear dos ciberreservas (una de carácter civil y otra militar) y, además, la colaboración no tendría que ser presencial (ventajas de la reserva online). Recientemente confirmó que la unidad podría estar formada entre 1.500 a 2.500 efectivos y que éstos recibirían formación y adiestramiento. ¡Qué diferencia con la idea inicial!

Hay quienes plantean que el objetivo real de esta ciberreserva sería ahorrar costes, lo que en la práctica supondría aceptar que el Estado no tiene los recursos necesarios para contar con los profesionales adecuados para situaciones de crisis. En el caso de que no se dispongan de los recursos económicos necesarios, el Ministerio de Defensa debería gestionar los recursos de los que dispone para desarrollar esta propuesta, y no plantear la idea de que el voluntariado patriótico es una propuesta razonable para hacer frente a situaciones de emergencia. El hecho de que determinadas personas se presenten voluntarias, no significa que por ello no tengan que recibir ningún tipo de contraprestación económica; su compromiso reside en el hecho de que estén dispuestos a poner a disposición del Estado su experiencia y sus conocimientos en momentos de crisis.

A partir de aquí me surgen otras cuestiones. ¿Qué condición exacta tendrían estos ciberreservistas dentro de las Fuerzas Armadas? En el caso de que algo falle, ¿qué responsabilidades se les podría exigir? Se afirma que sus funciones serían únicamente defensivas, pero ¿se les podría requerir que realizaran ataques preventivos como medidas defensivas? Por otra parte, ¿qué tipo de acceso tendrían a información sensible o de carácter confidencial? En relación a las empresas u organismos para los que trabajan, ¿acaso les van a permitir que en caso de ataque informático sus empleados no estén disponibles, precisamente para gestionar este tipo de incidentes?

A menudo se cita el ciberataque de WannaCry como un escenario en el cual se podría haber activado esta ciberreserva. Este incidente, que tuvo un alcance mundial, afectó en España a más de 1.000 ordenadores, a menos de una decena de operadores estratégicos nacionales y no se habría comprometido el funcionamiento de ningún servicio esencial. Por lo tanto, el Estado ya cuenta con organismos para hacer frente a este tipo de incidentes como el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Criptológico Nacional (adscrito al CNI), el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) o los Equipos de Respuesta ante Emergencias Informáticas (CERTs), además de unidades específicas de las fuerzas y cuerpos de seguridad del Estado. Por lo tanto, ¿por qué se tendría que haber activado una unidad de las Fuerzas Armadas (aunque de carácter civil) para cuestiones que no tienen que ver con la Defensa? Debido a la interconectividad de nuestros sistemas la colaboración entre todos los organismos públicos, así como con la empresa privada, es fundamental en estos incidentes, pero la ciberreserva en ningún caso sería la solución para hacer frente a los ataques informáticos como el aquí citado.

El Estado debe invertir en todos los ámbitos de la seguridad y el ciberespacio es uno de ellos. Pero para promover un programa de ciberreserva primero se debe continuar desarrollando una estructura sólida en materia de ciberseguridad y, posteriormente, en aquellos ámbitos específicos donde sea necesario, poder recurrir a profesionales seleccionados previamente, bien sea de forma permanente o para ocasiones puntuales, pero siempre remunerados. Por ello, la ciberreserva debería plantearse en España como un complemento y no como una solución frente a los ataques informáticos que pueda el país. Si el ciberespacio es el futuro (y también nuestro presente), apostemos claramente por invertir en concienciación, formación y profesionalización. El compromiso patriótico no puede medirse por un trabajo voluntario.

En su segundo discurso como ministra de Defensa, María Dolores de Cospedal no dudó en afirmar que la lucha contra la desinformación y las noticias falsas “será uno de los retos más importantes que abordar”. De hecho, fue un paso más allá y calificó estos hechos como “uno de los dominios más peligrosos”, a la vez que afirmó que “nos enfrentamos a la consolidación de un nuevo campo de batalla”. Casi nada.

En cuanto a los objetivos de estas campañas, según la ministra, “sólo pretenden desestabilizar los países y llevarlos a un clima más propicio para intereses geopolíticos y geoestratégicos que no son los propios de las naciones afectadas”. Por lo tanto, podemos respirar más tranquilos, solo pretenden desestabilizar… Pero, ¿anteriormente no nos habían advertido que se trataba de ciberataques? ¿o finalmente son solo campañas de desinformación? Por partes.

Estas injerencias a las que hace referencia la ministra se habrían producido durante los últimos meses en el contexto de la crisis catalana, supuestamente a través de la difusión de noticias falsas (perdón, fake news) desde “territorio ruso”, favoreciendo las tesis independentistas con el objetivo de desestabilizar España y, por consiguiente, Europa.

Pero el uso de los conceptos para explicar esta posible injerencia, así como la información publicada al respecto ha sido, en su mayoría, errónea. Y lo ha sido en cuanto los principales medios de comunicación (tanto en prensa, radio o televisión) utilizaron sin distinción conceptos como ciberataque, ciberguerra o guerra de la información, llegando incluso a afirmar que estábamos ante una nueva guerra fría en la que la desinformación era el principal arma. Y no es la primera vez.

Éstos mismos medios no han analizado durante estos meses las posibles injerencias o campañas de desinformación, sino que han disparado ráfagas de términos poco comprensibles para la mayoría de la población (y mal utilizados) provocando, en un primer momento, miedo e inseguridad en la ciudadanía y, posteriormente, desinterés en el tema, despejando de esta manera el camino a posibles críticas. En vez de analizar e informar de lo que estaba sucediendo han apuntado a un presunto culpable (en territorio ruso y con escala en Venezuela) sobre el cual, como si de piezas de un puzzle se tratase, han ido construyendo este rompecabezas. Salvo en contadas excepciones, los medios de comunicación ni siquiera han intentado definir qué es un ciberataque, en qué consiste o por qué esta campaña de desinformación que denunciaban era un asunto novedoso.

Según el Ministerio de Defensa, el ciberataque es “la acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan”. Por su parte, la RAE define la desinformación (que es una cuestión ampliamente analizada en el ámbito de la comunicación) como la “acción y efecto de desinformar”, que consistiría en “dar información intencionadamente manipulada al servicio de ciertos fines” o “dar información insuficiente u omitirla”.

El hecho de que medios rusos como RT o Sputnik (con estrechos vínculos con el Gobierno ruso) hayan sido acusados de publicar noticias falsas o manipuladas relativas al procés con el objetivo de desestabilizar, no significa que estas acciones puedan ser calificadas como ciberataques o ciberguerra. Según las definiciones expuestas anteriormente, podrían considerarse acciones de propaganda y desinformación, pero no ciberataques, en cuanto estas noticias no han comprometido la disponibilidad o la confidencialidad de la información ni han modificado o destruido ningún sistema de información, telecomunicación o infraestructura. En esta misma línea el Centro Criptológico Nacional, organismo adscrito al Centro Nacional de Inteligencia (CNI), y que entre sus funciones es responsable en garantizar la seguridad de las Tecnologías de la Información, confirmó que no se detectaron ciberataques del Gobierno ruso ni de otro Estado durante la crisis catalana.

En los últimos años, gran parte de los incidentes que tienen lugar en el ciberespacio son calificados, casi de forma automática, como ciberataques. Pero esta simplificación supone errores de comprensión de lo que realmente está sucediendo. Retuitear o compartir noticias falsas a través de las redes sociales (por muchos bots que utilicen y por muy falsos que sean esos perfiles) no les otorga el estatus de ataque informático. Por otro lado, deberíamos plantearnos qué responsabilidad tenemos como ciudadanos en la difusión de este tipo de noticias. Según la UE, durante el año 2016 el 46% de los ciudadanos europeos se informaron a través de las redes sociales, de los cuales, seis de cada diez, pudieron compartir estas noticias sin tan sólo haberlas leído o comprobado su autenticidad.

La desinformación y la manipulación informativa han existido a lo largo de la historia (aunque se presenten como actividades novedosas) y para ello se han utilizado las tecnologías disponibles en cada época, como es actualmente Internet. La novedad no reside, por lo tanto, en manipular de forma intencionada una información con un objetivo determinado, sino en el alcance y la velocidad en que se transmite la (des)información a través de la Red, pudiendo llegar a millones de personas en todo el mundo de forma casi simultánea. Y de eso ya son conscientes los gobiernos de cualquier tendencia política, que hacen un uso de la Red para intentar influir en sus ciudadanos y más allá de sus fronteras.

Dejemos de ser hipócritas. ¿Acaso los principales medios de comunicación en España no publican noticias manipulando la información según determinados intereses? (Sirvan de ejemplo, por ser la televisión pública, las denuncias del Consejo de Informativos de TVE del primer y segundo trimestre de 2017). Nos encontramos en un escenario en que, paradójicamente, la desinformación ha procedido de aquellos medios que han denunciado las campañas de injerencia y desinformación procedente de territorio ruso, respaldados en la ambigüedad de las declaraciones de miembros del gobierno español respecto al origen de esta injerencia (aunque el presidente del Gobierno, Mariano Rajoy, afirmó en una entrevista en la cadena COPE que “no tengo ningún dato que me diga que está detrás el gobierno ruso”).

Con todo lo expuesto, no quiere decir que no se hayan producido ataques informáticos (de los de verdad) durante la crisis catalana. Al contrario. Éstos se produjeron, pero no a través de noticias falsas o perfiles falsos sino, por ejemplo, a través de ataques DDoS, es decir, ataques masivos a un servidor, con el objetivo de modificar el normal funcionamiento de los sitios webs atacados. Este tipo de incidentes habrían afectado a las páginas web de la Casa Real, el Tribunal Constitucional o inclusive del Centro Nacional de Inteligencia (CNI), que habrían quedado temporalmente inactivas, pero que no habría tenido mayores consecuencias. Por otro lado, según el Instituto Nacional de Ciberseguridad (INCIBE), el número de incidentes que han gestionado en los últimos años ha ido en aumento y las tendencias apuntan a que éstos se incrementarán de forma notable.

No hay que subestimar los retos que tenemos por delante en la Red, pero la solución no es sobredimensionar unos sucesos a conveniencia para presentarlos como un nuevo campo de batalla, sino que hay que concienciar de los riesgos en un entorno todavía novedoso, pero totalmente imprescindible en nuestras sociedades. Las cuestiones relativas a la ciberseguridad en el ámbito de las relaciones internacionales se encuentran en una fase inicial, y requieren de unos análisis serios y rigurosos. Empezar por definir y comprender los términos puede ser un buen punto de partida.