“¿Quién es usted? Está en nuestro sistema. General, ¿qué sugiere que hagamos? General, tiene usted razón: tenemos que invertir en privacidad”. Así reaccionó Josep Borrell, alto representante europeo para Asuntos Exteriores, cuando se percató de que en una videoconferencia secreta de los ministros de Defensa de la UE de noviembre del año pasado se había colado un desconocido. En un descuido, la ministra de Países Bajos había compartido en Twitter una imagen donde se veía el código de acceso a la reunión, y un periodista de su país había aprovechado el error para conectarse a la videollamada y sacarle los colores a las instituciones comunitarias.
La escena evidenció la gran debilidad de la Unión Europea en materia de ciberseguridad: en un club de 27 países, con reuniones que idealmente tendrían que ocurrir en persona pero que debido a motivos logísticos se trasladan al entorno digital, es muy difícil que ninguna puerta quede abierta. Y eso es un riesgo enorme que obliga a la UE a armarse para hacer frente a cualquier ataque digital, venga de donde venga.
La Agencia de la Unión Europea para la Ciberseguridad (Enisa) identificó 304 ataques maliciosos significativos contra “sectores críticos” en 2020, más del doble que el año anterior. Muchos de ellos tuvieron como objetivo hospitales y redes sanitarias, puntos que durante la pandemia gestionaron información muy valiosa sobre la evolución del coronavirus y la vacunación.
Sus objetivos pueden ser diversos, desde robar datos hasta paralizar infraestructuras clave, y sus consecuencias desastrosas. El mayor ejemplo reciente es el ataque que sufrió el oleoducto Colonial, el más grande de Estados Unidos, en mayo de 2021. La agresión, perpetrada por un grupo apolítico de hackeadores profesionales llamado Darkside, obligó a detener el flujo de crudo, provocando una escasez de gasolina en toda la costa este que no se alivió hasta que los atacantes recibieron 75 bitcoins, el equivalente a 3,8 millones de euros.
¿Una nueva carrera nuclear?
Afortunadamente para los europeos, la UE tiene un plan para que el incidente de la reunión secreta de Defensa se quede en una anécdota. Así, en diciembre de 2020 la Comisión Europea presentó una nueva Estrategia de Ciberseguridad y una propuesta para reforzar la directiva sobre medidas para un alto nivel común de ciberseguridad en la Unión (Directiva NIS2).
Bienvenidos a la ciberguerra, donde David sí puede vencer a Goliat
La Unión Europea lleva en realidad desde 2013 preparándose para poder responder a ataques digitales, y en los últimos años ha lanzado diversas iniciativas para avanzar en la estrategia común de defensa digital, como la caja de herramientas para la seguridad de las redes 5G de 2019.
Pero en este mundo hiperconectado, donde las amenazas híbridas son cada vez más sofisticadas y las potencias compiten por lograr un desarrollo tecnológico diferencial que les permita blindar sus sistemas, el riesgo de quedarse atrás es demasiado grande. En este sentido, la batalla de la ciberseguridad recuerda a la carrera nuclear de la Guerra Fría, cuando Estados Unidos, la Unión Soviética y sus respectivos aliados se enzarzaron en una pugna silenciosa por desarrollar armas nucleares. Al igual que ahora, cualquier avance era ocultado recelosamente y cada paso adelante del rival obligaba a mover ficha al otro.
Es por eso que la Unión Europea se ve obligada a actualizar su Estrategia de Ciberseguridad continuamente, para mantenerse siempre un paso por delante de los cibercriminales. Así, aunque la primera versión del documento fue publicada en 2013, la estrategia fue revisada en 2017 y de nuevo actualizada en diciembre de 2020.
Esta última versión supone, no obstante, un cambio de paradigma: ahora que el club europeo cuenta con medidas de seguridad unificadas y coordinadas, la UE quiere dotarse de herramientas que le permitan responder de forma inmediata y eficaz o incluso prevenir los ciberataques.
Una hoja de ruta ambiciosa
La nueva Estrategia de Ciberseguridad incide en tres áreas clave. Primero, pretende mejorar la resiliencia comunitaria a los ciberataques a través, por un lado, de la creación de una red de centros de operaciones de seguridad en toda la UE y, por otro, una reforma de las normas sobre seguridad de las redes y los sistemas de información, recogidas en la Directiva sobre medidas para un alto nivel común de ciberseguridad en la Unión (Directiva NIS revisada o NIS2).
Ciberataques, el arma secreta de Corea del Norte
La Directiva NIS, aprobada en 2016, provocó un cambio en el enfoque institucional hacia la ciberseguridad en los Estados miembros: los obligó, entre otras cosas, a elaborar una estrategia nacional de ciberseguridad y a establecer equipos de respuesta ante emergencias informáticas. Pero ya había empezado a mostrar limitaciones.
Ahora, la Directiva NIS2, que recibió el visto bueno del Parlamento Europeo este mes de octubre, expande los sectores que se consideran críticos y refuerza los requisitos de seguridad para las 160.000 empresas que pretende cubrir. El objetivo es reducir la brecha económica que separa a las compañías europeas de las estadounidenses, que invierten de media un 41% más en ciberseguridad.
La Comisión también quiere reforzar su capacidad operativa para prevenir, disuadir y responder a los ciberataques, para lo cual creará una unidad informática conjunta. Este equipo trabajará para garantizar una respuesta coordinada a los ciberincidentes y cibercrisis a gran escala y ofrecer asistencia para recuperarse de esos ataques. “Las amenazas suelen ser comunes, por lo que es necesario coordinarse, compartir conocimientos e incluso lanzar alertas por anticipado”, argumentó la Comisión.
¿Tendrá alguna vez la Unión Europea sus propios espías?
Por último, Bruselas propone promover un ciberespacio global y abierto, es decir, entablar una conversación con el resto de países para que se inspiren en su normativa y contribuir con ello a la seguridad internacional. Es, en otras palabras, un intento por impedir que la defensa contra los ciberataques se convierta en una lucha de todos contra todos y, al contrario de lo que ocurrió con la carrera nuclear, dar lugar a una cooperación entre naciones que revierta en un blindaje global contra este tipo de amenazas.
La Enisa, el pegamento de la estrategia de ciberseguridad de la UE
El organismo que cohesiona la estrategia de ciberseguridad comunitaria es la Agencia Europea de Seguridad de las Redes y de la Información (Enisa). Cuando se fundó, allá por 2004, Facebook acababa de nacer y el prefijo “cíber” sonaba aún a ciencia ficción. Su sede está en las ciudades griegas de Heraclión y Atenas, en las antípodas europeas de Bruselas. Y sin embargo, aunque su mandato inicial fue de apenas cinco años, la Comisión Europea fue ampliando ese límite hasta que en 2019 la convirtió por fin en una agencia permanente con funciones operativas claras.
Sin la Enisa, ciberataques como el sufrido por el Hospital Universitario de Brno (Chequia) en marzo de 2020, en mitad de la pandemia, que obligó a posponer operaciones urgentes y reubicar a pacientes graves, serían mucho más frecuentes. De hecho, aunque conserva su acrónimo, tras su última remodelación pasó a llamarse Agencia de la Unión Europea para la Ciberseguridad, y se le otorgó la función de “lograr un elevado nivel de
ciberseguridad común en toda la Unión, especialmente mediante el apoyo activo a los Estados miembros y a las instituciones, órganos y organismos de la Unión”. También comenzó a ayudar a los Estados miembros a la hora de establecer prioridades para la inversión en investigación y desarrollo y, lo más importante, a crear un sistema de certificados de seguridad para productos y servicios TIC en la Unión.
La Enisa ha ido aumentando su financiación año a año hasta alcanzar casi veintidós millones de euros en 2020, cinco veces más que su partida inicial. La inmensa mayoría del dinero lo aporta la Comisión Europea, aunque Islandia, Liechtenstein, Noruega, Suiza y el Gobierno griego —en concepto de ayuda al alquiler de las instalaciones— realizan también una pequeña aportación. En 2019 contaba con 75 empleados.
El creciente peso de la Enisa en la Estrategia de Ciberseguridad de la UE ha llevado a la Comisión Europea a querer tenerla más cerca de su centro de poder. Y para ello, en lugar de cambiar su sede, el pasado mes de junio autorizó la apertura de una tercera oficina en Bruselas con el objetivo de que la agencia pueda mantener “una cooperación regular y sistemática” con las instituciones europeas.
Así, reciclaje tras reciclaje, la Agencia Europea de Seguridad de las Redes y de la Información se ha mantenido como el pilar de la ciberseguridad europea desde que fuera fundada en 2004. La culminación de ese proceso llegará con su asentamiento en Bruselas y la consolidación de sus funciones operativas, un cambio que se enmarca dentro del intento de la UE de pasar a la ofensiva contra los ciberataques y convertirse en el enemigo número uno de los cibercriminales en todo el mundo.
Este artículo, publicado bajo una licencia CC BY-SA 4.0., forma parte de la European Data Journalism Network (EdjNet), un consorcio periodístico internacional que cubre temas paneuropeos usando periodismo de datos, y el proyecto Panelfit, apoyado por el programa Horizon 2020 de la Comisión Europea (acuerdo de financiación n. 788039). La Comisión no ha participado en la producción del artículo y no es responsable de su contenido.
El plan de la Unión Europea para blindarse contra los ciberataques fue publicado en El Orden Mundial - EOM.