He aquí tres causas que podrían explicar el bajo perfil del ciberconflicto en la guerra en Ucrania.
La guerra en Ucrania se ha convertido en uno de esos acontecimientos históricos que, cada cierto tiempo, desintegra algunas de las ideas más asentadas sobre cómo funciona el mundo. Unas pocas semanas de conflicto han sido suficientes para pulverizar determinadas percepciones que (ahora sabemos) tenían más de mito que de realidad. El antaño temible Ejército ruso se ha convertido en carne de meme. Una organización enfangada en un nivel de incompetencia tan extremo que ha conseguido materializar lo que hace unos meses era inimaginable: que Suecia y Finlandia resolviesen sus dudas sobre un potencial ingreso en la OTAN. Y la razón no es que hayan dejado de temer a una represalia militar rusa, sino porque han llegado al convencimiento de que podrían repeler con éxito una agresión del que, hasta hace poco, era un vecino aterrador al que convenía no enojar.
Entre los numerosos prejuicios que se han visto sacudidos, destaca todo lo referente a la dimensión cibernética de los conflictos. Cuando los tambores de guerra empezaron a sonar con mayor intensidad, se estimó que muy probablemente Rusia recurriría a ciberataques de gran envergadura. Con estos sabotajes no solo propiciaría el colapso de la resistencia ucraniana, sino que también proyectaría una clara advertencia a los países occidentales: absteneos de involucraros de manera activa o seréis también objetivo de ciberrepresalias.
Sin embargo, este escenario no solo no ha tenido lugar, sino que el empleo de capacidades ciber como complemento de la invasión militar ha tenido un perfil sorprendentemente bajo. Aunque pueden atribuirse al aparato estatal ruso múltiples acciones tendentes a degradar las redes informáticas que sustentan las infraestructuras y servicios de su vecino, lo cierto es que ni la intensidad ni la magnitud de este tipo de ciberataques es sensiblemente diferente a la que el Kremlin ha protagonizado en los últimos años. En un periodo de enfrentamiento explícito, donde ya no hay necesidad de enmascarar la propia responsabilidad, no solo no hay rastro de las capacidades más destructivas que, todo el mundo intuía, estaban al alcance de Rusia, sino que incluso tampoco se ha manifestado en su versión más modesta. Así, por ejemplo, el presidente ucraniano, Volodímir Zelenski, ha podido realizar durante este tiempo una verdadera gira mundial a través de decenas de videoconferencias, cuya señal digital no se ha visto interferida por la acción rusa ni en una sola ocasión. Todo ello a pesar de estar fijadas en horas conocidas y en auditorios predeterminados, lo cual hacía de estos cibersabotajes una actividad no especialmente exigente en cuanto a recursos y sofisticación.
¿Es la ciberguerra otro de los mitos que han quedado sepultados en el campo de batalla de Ucrania? La respuesta rápida es un no (con muchos matices).
Cualquier reflexión sobre las causas que podrían explicar el bajo perfil del ciberconflicto debe tener presente que nuestra información al respecto todavía es prematura, parcial y está envuelta en la inevitable niebla que acompaña a la guerra. Sin embargo, hay varias causas estructurales que podrían explicar este inesperado desarrollo de los acontecimientos. Ninguno de estos factores es incompatible entre sí, y lo más probable es que hayan desarrollado una influencia simultánea. El verdadero desafío analítico es calibrar el peso específico de cada uno de ellos:
Al igual que ha sucedido con el ámbito militar convencional, las capacidades ciber de la Federación Rusa han sido profundamente sobreestimadas. La evaluación de la amenaza en este terreno es esencialmente especulativa. A diferencia de lo que sucede con el hardware militar, lo ciber no puede ser identificado y evaluado de manera empírica. Buena parte de las estimaciones sobre los recursos cibernéticos de un Estado se basa en su comportamiento en el pasado, sus ambiciones y el nivel de agresividad y tolerancia al riesgo que ha demostrado hasta el momento. Pero también existe una dimensión intangible, que al igual que sucede en el ámbito estrictamente militar, solo puede percibirse cuando se confronta con la realidad. Las culturas organizativas, la moral, la capacidad de adaptación e innovación y otra serie de manifestaciones propias del componente humano pueden ser determinantes para la victoria. Es lógico pensar que los mismos problemas de incompetencia profesional, indisciplina y deficiente calidad del mando que han quedado de manifiesto en las Fuerzas Armadas rusas, también afectan al personal que integra el componente ciber. Es posible que, de manera apenas perceptible, hayamos asistido durante estas semanas a la inoperancia de unos ciberguerreros que son incapaces de realizar un aporte significativo al desarrollo de las operaciones.
Si la sorpresa es el gran aliado de la victoria militar, en el terreno cibernético, esta sentencia alcanza su máxima expresión. Las cibercapacidades ofensivas se construyen sobre las vulnerabilidades del oponente y, por tanto, no se proyectan en términos absolutos. Unas mismas herramientas pueden ser devastadoras o completamente irrelevantes en función del actor contra las que van dirigidas. La falta de preparación, unas medidas de seguridad poco diligentes o una inversión insuficiente pueden marcar la diferencia. Difícilmente puede afirmase que la invasión de Ucrania haya cogido a sus defensores desprevenidos. Tras la acumulación de años de enfrentamiento de baja intensidad en los territorios fronterizos, los ucranianos se han preparado a conciencia para una intensificación de las hostilidades. Desde 2014 Ucrania se había convertido en el laboratorio de pruebas de las cibercapacidades rusas, incluyendo ataques que no tenían precedentes en otros países como, por ejemplo, el cibersabotaje de las redes de suministro eléctrico. Aunque es una experiencia que complicó notablemente la vida de sus habitantes, también les concienció de la necesidad de incrementar la resiliencia y preparación de su país ante la eventualidad de un ataque cibernético a gran escala. En esta tarea los ucranianos no han estado solos, sino que han contado con la intensa colaboración del bloque occidental, y especialmente de Estados Unidos, que cuenta con el conocimiento más íntimo de las cibercapacidades rusas. La llegada del presidente Joe Biden a la Casa Blanca también marcaría el inicio de una nueva determinación en la tarea de neutralizar las actividades hostiles de Rusia en el ciberespacio.
Al igual que sucede en el terreno convencional, los cibercontendientes también eligen (o intentan hacerlo) cómo quieren escalar en el conflicto. Por ello, no debemos caer en el error de pensar que Rusia ha desplegado todas sus capacidades cibernéticas. Basándose en un cálculo de coste-beneficio, el Kremlin ha decidido abstenerse (por el momento) de emplear algunos de sus recursos más valiosos. Las ciberarmas tienen un carácter fungible. Su empleo genera una respuesta adaptativa que hace muy complicado que puedan utilizarse nuevamente esos mismos procedimientos frente a otros objetivos que han tomado buena cuenta de lo que sucede a su alrededor. Las vulnerabilidades que son explotadas para hacer viable dicha operación son rápidamente parcheadas, las potenciales víctimas aprenden de manera vicaria e imitan las medidas que pueden protegerles de una agresión idéntica. Es probable que Rusia haya estimado que no es necesario consumir dichos recursos en el actual contexto bélico, sobre todo porque no está claro que su empleo pudiese imprimir un cambio drástico a los acontecimientos. Buena parte de los ciberataques que Rusia ha protagonizado en los últimos años se han beneficiado del carácter ambiguo de las relaciones diplomáticas con Occidente, lo que facilitaba que sus agresiones tuviesen un escaso coste. En un contexto de enfrentamiento abierto, cualquier escalada en este ámbito fácilmente podría generar una represalia contundente que anulase el beneficio de emplear estos recursos escasos.
