Se ha superado la semana de guerra en Ucrania y sorprende la baja actividad cibernética llevada hasta el momento. A pesar de que en los días previos sí se registraron algunos ataques a páginas webs del gobierno ucraniano, no se han hecho públicas nuevas ofensivas contra, por ejemplo, infraestructuras críticas. Esta circunstancia choca de pleno con la realidad de que Rusia es una superpotencia en materia de seguridad informática y que desde Moscú se ha potenciado siempre su propio ejército oficioso de hackers. Sin embargo, Putin ha optado hasta el momento por priorizar en sus ataques la brutalidad convencional.

La primera y única oleada de ciberataques en los albores del conflicto parece ahora más propaganda que otra cosa, una suerte de acoso intimidatorio que se fue desvaneciendo a medida que caían las bombas. A todas luces Moscú está infrautilizando sus capacidades cibernéticas con las que, de un modo relativamente sencillo dado su potencial, podría provocar cortes de suministros y detener empresas enteras sin lanzar un solo misil. Hace más de una década (2010) que EEUU e Israel desarrollaron el virus gusano Stuxnet para tumbar las centrifugadoras de uranio de Irán y los apagones de red eléctrica en Kiev en 2015 y 2016 se atribuyeron directamente a Moscú y los malware BlackEnergy y KillDisk.

Tanto es así que el virus NotPetya, que en 2017 provocó pérdidas de 10.000 millones de dólares, se atribuyó a un ataque ruso contra Ucrania que terminó propagándose por todo el mundo. Además, según informes de Chainalysis, el 74% de los pagos realizados por ataques de ransomware tuvieron como destino a piratas informáticos vinculados con Rusia. Los expertos han llegado a calificar a Ucrania como el patio de recreo de los hackers rusos, a los que durante años se han atribuido ataques a los más diversos objetivos, incluida la Comisión Electoral Central en 2014.

Diversos analistas indican que una vez que ha estallado el conflicto, la ciberguerra pasa a un plano secundario, una actividad de apoyo, quizás, para determinados objetivos tácticos. El momento en el que las operaciones cibernéticas cobran más sentido sería, según estas teorías, esa zona gris que existe entre la paz y la guerra. Un planteamiento muy distinto a lo que se venía sosteniendo hasta la fecha, con sofisticados ejercicios de ciberseguridad por parte de la OTAN.

En este sentido, quizás es más rápido acabar con determinados objetivos mediante artillería convencional, pero el derramamiento de sangre pasa una factura aún mayor al bando ruso, que podría mitigar esa situación a golpe de código. Así, asumida desde la óptica de Putin la mayor conveniencia de atacar con misiles, aparecen objetivos secundarios: los aliados.

La zona gris anteriormente mencionada es la que se encuentra ahora en Occidente (EEUU y Europa), implicados con la guerra pero sin que ésta haya llegado a su terreno. De esta manera, la amenaza cibernética contra infraestructuras críticas estadounidenses o de la Unión Europea (UE) parecen más factibles que contra la propia Ucrania –aunque éstas no debieran descartarse tan pronto-. De enquistarse la guerra, Putin podría ser impredecible alentando este tipo de ataques.

Esta impredecibilidad se acrecienta por el plazo que ha tenido Putin para diseñar su estrategia, aunque es cierto que sobre el terreno no está teniendo los efectos que él hubiera deseado. Atacar infraestructuras críticas requiere de tiempo, entre otras cosas, porque por lo general se hace a través de complejos procesos de ingeniería social y precisan mantenerse ocultos en la red durante largos plazos de tiempo. El mencionado ataque a Irán en 2010 con Stuxnet se inició en 2007. Sea en Ucrania o en el resto de Occidente, ¿ha tenido Moscú esta paciencia meses atrás? ¿Ha desplegado ese nivel de planificación? Este podría ser también el motivo por el que tampoco se producen ataques en la otra dirección, es decir, hacia Rusia, interrumpiendo por ejemplo sus comunicaciones o sus redes de abastecimiento.

En todo caso, cuando en junio de 2021 se reunieron en Ginebra Joe Biden y Putin, el presidente estadounidense detalló al ruso una lista de 16 sectores de infraestructura crítica que no deberían ser jamás objetivos de actividad cibernética maliciosa. Sectores como la energía, servicios financieros, sanidad, centrales nucleares, transporte, agua y saneamiento, agroalimentario, comunicaciones, químico... son sólo algunos de ellos. Llegado a un punto crítico de la guerra, ¿se respetarían estos puntos?

Cada vez son más las voces que reclaman una reforma del artículo 5 del Tratado del Atlántico Norte fundacional de la OTAN (1949), ese que establece el uno para todos y todos para uno, es decir, que si un miembro de la Alianza es atacado, lo son son todos y la respuesta se produce en consecuencia. Los reformistas exigen que entre los ataques se incluyan los ciberataques.

Por otro lado, cabe otra posibilidad para justificar el perfil bajo de la guerra cibernética por parte de Rusia: dado que el ejército de hackers ruso se compone, en gran medida, de puros mercenarios –no es un ejército como tal-, quizás no comparten las motivaciones de Putin para esta guerra como para crear un Pearl Harbor cibernético aunque, obviamente, tampoco facilitarán las cosas a la OTAN.