Puede haber sido un poco vergonzoso para la UE cuando el 29 de marzo el sitio de noticias húngaro Direkt 36 dio a conocer cómo el Ministerio de Asuntos Exteriores húngaro había sido hackeado durante varios meses desde diciembre de 2021 por la inteligencia rusa, unos días después de que la Comisión Europea anunciara con orgullo que había reforzado la ciberseguridad con un nuevo conjunto de medidas para fortalecer las redes de los organismos de la UE contra la penetración.
Dado que la conexión húngara comprometió potencialmente los canales de comunicación confidenciales con Bruselas, el incidente es otra demostración dolorosa de cuán frágil es realmente la ciberseguridad.
Este incidente no es aislado (el hackeo al presidente del gobierno español es otro ejemplo reciente destacado) y estoy seguro de que muchos más incidentes similares no se han denunciado.
De hecho, solo este mes, hubo más advertencias severas sobre más ataques.
Es en ese contexto que la Comisión de la UE publicó un nuevo Reglamento de Ciberseguridad el 22 de marzo, que pretende mejorar el “gobierno, la gestión de riesgos y el control en el ámbito de la ciberseguridad” de sus instituciones.
Esto incluye una nueva junta interinstitucional de seguridad cibernética, impulsando las capacidades de seguridad cibernética y las evaluaciones de madurez y una mejor higiene cibernética. Más importante aún, el mandato del Equipo de Respuesta a Emergencias Informáticas (CERT-EU) recibirá responsabilidades adicionales para la inteligencia de amenazas, el intercambio de información y la coordinación de respuesta a incidentes. Estas nuevas reglas se suman a las iniciativas existentes para mejorar la ciberseguridad de la UE facilitadas por Enisa, la Agencia Europea de Seguridad de la Información.
Pero el hackeo húngaro, que permitió a los servicios de inteligencia rusos leer por encima del hombro de un estado miembro de la UE durante un período prolongado, demuestra que la seguridad cibernética está tan interconectada como siempre y debe garantizarse mucho más allá de las instituciones y agencias del propia UE.
Requiere más incisividad de la que es probable que logre una junta interinstitucional, que en la superficie suena como poco más que otra capa burocrática encima del resto y un paralelo con Enisa.
La UE y sus miembros dependen cada vez más de la infraestructura digital. Esto implica enormes riesgos de interrupción severa si esta interconexión se ve comprometida.
Mientras que los ataques cibernéticos habituales implican naturalmente el robo de información confidencial política y económica de la UE, la guerra en curso en Ucrania podría provocar ofensivas cibernéticas más paralizantes.
Los últimos meses han revelado ataques cibernéticos de diferente tamaño, destreza y éxito contra las comunicaciones digitales, la infraestructura crítica e incluso los satélites. La UE y el mundo se encuentran en los albores de una nueva era digital, en la que 5G y más, IA, computación cuántica, drones inteligentes, nanotecnologías e innovaciones concomitantes permitirán una verdadera Internet de las cosas que conecta todos los dispositivos pero al mismo tiempo expone esas conexiones a un gran riesgo.
Por lo tanto, la pregunta sigue siendo qué pasos adicionales deben tomarse para habilitar un entorno digital seguro y protegido.
Las iniciativas de Enisa definitivamente conducen a desarrollos y concienciación positivos; sin embargo, por lo general involucran la creación de capas y procedimientos burocráticos, y se enfocan en incentivar sin hacer cumplir. Se requerirán nuevos paradigmas para detectar y defenderse de nuevos intentos de explotar nuestra conexión y mitigar sus efectos, y en este sentido, la UE puede aprender mucho de sus socios.
Como potencia de la OTAN, EE. UU. sigue siendo el estado cibernético más capaz del mundo en capacidades defensivas, ofensivas y de inteligencia, gracias a décadas de inversiones significativas y una dirección política clara, y se podría hacer más para compartir técnicas con los aliados de la UE. Otros ejemplos incluyen los Emiratos Árabes Unidos que, impulsado en parte por el fuerte aumento de los ataques cibernéticos, se ha convertido en una potencia cibernética regional fuerte.
Su estrategia ha incluido obtener ayuda de expertos cibernéticos, como Amazon Web Services y Deloitte, para ayudar a mejorar el personal local en tecnología, una técnica que los estados de la UE también deberían adoptar más con los socios adecuados.
Si bien existen diferencias clave en cómo se evalúan las capacidades cibernéticas ofensivas, para contrarrestar la amenaza de los poderes autoritarios, como miembros de la OTAN, muchos estados de la UE también podrían buscar mejorar aún más sus capacidades cibernéticas ofensivas para evitar ser superados por China y Rusia. inversión en esta área.
Sin embargo, la dificultad para la UE es que no es una nación individual sino la combinación de 27 políticas y mentalidades de ciberseguridad, y por lo tanto tendrá que buscar la forma de superar las divisiones que esto conlleva.
‘Lista de quehaceres
Para hacer esto, la UE debe mejorar la ciberseguridad en torno a tres elementos clave: mejorar la conciencia situacional, reducir la superficie de ataque a través de contramedidas coordinadas y hacer cumplir los estándares.
La UE se encuentra en una posición excelente para hacer las tres cosas, pero las normas deberán volverse más estrictas y aplicarse en lugar de incentivarse. Siempre que se otorgue al CERT-EU la capacidad de procesar los datos entrantes, los incentivos podrían incluir sanciones por no cumplir con los requisitos, ayudar a garantizar que los incidentes más graves sean procesados y hacer que la UE ejerza su considerable poder económico contra los estados que albergan ciberdelincuentes.
Establecer estas capacidades no es solo un desafío técnico, sino también organizativo. La ciberseguridad no se establece de forma aislada: es lo más holística y descompartimentada posible.
Pero la ciberseguridad solo puede ser tan fuerte como su eslabón más débil.