EEUU ha encendido todas sus luces de alarma. El ataque informático sufrido a compañías como SolarWinds, cuyo software de red está muy extendido en las agencias del gobierno, y FireEye ha hecho que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EEUU emita alertas, solicitando eliminar el software comprometido de sus redes informáticas. Sólo en el caso de SolarWinds se habló de 18.000 clientes potencialmente afectados, lo que es una muy mala noticia considerando que entre ellos figuran gobiernos y la mayoría de las empresas Fortune 500. Así, no sorprende que agencias nacionales de ciberseguridad de Reino Unido e Irlanda haya emitido alertas similares.

Los ataques se atribuyen a hackers maliciosos de la agencia de inteligencia SVR de Rusia, barajándose incluso nombres como los de los conocidos APT29 o Cozy Bear. El portavoz del Kremlin, Dmitry Peskov, ya ha negado tal extremo. En el caso de SolarWinds, la actualización de su software de red fue modificada con malware, de manera que se enmascaró en software legítimo que instalaron las agencias gubernamentales y compañías. Semanas después, este malware se activó y los ciberdelincuentes podrían haber comenzado a robar información.

La operación, que haciendo un juego de palabras ya se ha bautizado como Sunburst (resplandor solar),  habría sido cuidadosamente planeada, ejecutándose durante meses sin que las autoridades fueran capaces de detectarla. A ciencia cierta no se sabe o, al menos, no se ha hecho público, qué secretos oficiales han sido robados, pero las posibilidades son tantas que hay sobrados motivos para la preocupación, desde información ligada a las vacunas COVID-19 a información de armamento nuclear o de próxima generación.

Hasta el momento, ni la Administración Trump ha revelado qué agencias fueron pirateadas ni ha salido a la luz ninguno de los contratistas el gobierno admitiendo haber sido víctima. Según publicaba recientemente Associated Press, es posible que pasen semanas, quizás años, hasta que los forenses informáticos de la Administración estadounidense peinen las redes gubernamentales y del sector privado para tener certeza del impacto real del ciberataque. El rastro de los perpetradores ha sido tan limpiado por éstos que algunos expertos, incluso, sugieren que quizás hay robos que nunca se detecten.

Más allá de que ahora, quizás, le pese a Trump haber eliminado puestos clave como el de coordinador de ciberseguridad de la Casa Blanca o el de jefe de políticas de ciberseguridad del Departamento de Estado, lo cierto es que este ataque podría convertirse en global, traspasando las fronteras de EEUU. Y, precisamente por eso, ya se escuchan voces de una acción mundial conjunta contra este tipo de ataques.

En la actualidad, no existe un tratado internacional para asuntos cibernéticos; tan sólo  11 normas no vinculantes de comportamiento cibernético estatal responsable, que cuentan con el respaldo de la Asamblea General de la ONU, pero que terminan por resultar ambiguas. Pero, ¿realmente sería efectivo un tratado internacional?

Los cibercriminales siempre parecen ir por delante de los legisladores y las autoridades. Recuerdo, hace años en un encuentro de ciberseguridad en Redmond (EEUU), en la sede de Microsoft, cómo su máximo responsable de Seguridad me comentaba que uno de los mayores problemas con que se topan las autoridades es que, a diferencia de los criminales, ellos no pueden incumplir la ley, ni siquiera para "cazar a los malos".

Y los malos, lamentablemente, son muy buenos en lo suyo... y muy desafiantes, porque cuando hace cinco años la ONU consiguió alumbrar un acuerdo internacional para desarrollar la norma para proteger las infraestructuras críticas, apenas pasaron unos meses y los hackers maliciosos atacaron una acería alemana, tumbaron la red eléctrica de Ucrania y la cadena de televisión francesa TV5 fue atacada, dejándola KO.

Al margen de la capacidad técnica de los ciberdelincuentes, detrás de los cuales hay sospechas de que se encuentran otros gobiernos, surge también la duda de si los países estarían dispuestos a someterse a un tratado internacional cuya redacción es tan compleja como su posterior supervisión. Sea como fuere, Sunburst evidencia que las democracias modernas deberían aunarse para hacer frente a lo que, en un mundo absolutamente interconectado, es una amenaza real. Sin embargo, la realidad llama al pesimismo: no lo harán, no en bloque, porque la geoestrategia también se libra en el plano digital y esa es la gran baza del ciberdelincuente.