“¿Quién es usted? Está en nuestro sistema. General, ¿qué sugiere que hagamos? General, tiene usted razón: tenemos que invertir en privacidad”. Así reaccionó Josep Borrell, alto representante europeo para la Política Exterior, cuando se percató de que en una videoconferencia secreta de los ministros de Defensa de la UE de noviembre del año pasado se había colado un desconocido. En un descuido, la ministra de Países Bajos había compartido en Twitter una imagen donde se veía el código de acceso a la reunión, y un periodista de su país había aprovechado el error para conectarse a la videollamada y sacarle los colores a las instituciones comunitarias.

La escena, a pesar de ser disparatada, evidenció la gran debilidad de la Unión Europea en materia de ciberseguridad: en un club de 27 países, con reuniones y conversaciones que idealmente tendrían que ocurrir en persona pero que debido a motivos logísticos se trasladan al entorno digital, es muy difícil que ninguna puerta quede abierta. Y eso, en un mundo tan interconectado como el actual, es un riesgo enorme que obliga a la UE a armarse para hacer frente a cualquier ataque digital, tenga la forma que tenga, venga desde donde venga y ocurra cuando ocurra.

Es una amenaza silenciosa, pero no invisible. No en vano, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) identificó 304 ataques maliciosos significativos contra “sectores críticos” en 2020 , más del doble que el año anterior. Muchos de ellos tuvieron como objetivo hospitales y redes sanitarias, puntos que durante la pandemia gestionaron información muy valiosa sobre la evolución del coronavirus y la vacunación.

Sus objetivos pueden ser diversos, desde robar datos hasta paralizar infraestructuras claves, y sus consecuencias desastrosas para el país atacado. El mayor ejemplo reciente es el ataque que sufrió el oleoducto Colonial , el más grande de Estados Unidos, en mayo de este año. La agresión, perpetrada por un grupo apolítico de hackeadores profesionales llamado Darkside, obligó a los operadores a detener el flujo de crudo, dando lugar a una escasez de gasolina en toda la costa este, y a pagar a los atacantes 75 bitcoins, el equivalente a 3,8 millones de euros.

Afortunadamente para los ciudadanos europeos, la Unión Europea tiene un plan para que el incidente de la reunión secreta de Defensa se quede en una anécdota y ningún ciberataque comprometa la seguridad comunitaria. Así, en diciembre de 2020 la Comisión Europea presentó una nueva Estrategia de Ciberseguridad y una propuesta para reforzar la directiva sobre medidas para un alto nivel común de ciberseguridad en la Unión (Directiva NIS2).

Una nueva carrera nuclear

La Unión Europea lleva en realidad desde 2013 preparándose para poder responder a ataques digitales, y en los últimos años ha lanzado diversas iniciativas para avanzar en la creación de una estrategia de defensa y seguridad en la red común.

Entre ellas destacan el conjunto de instrumentos de ciberdiplomacia y el marco político de ciberdefensa, ambos aprobados en 2018 y orientados a mejorar la coordinación entre los Estados miembros; el Reglamento de Ciberseguridad de 2019 , que renovó el mandato de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), convirtiéndola en la Agencia de Ciberseguridad de la UE; y la caja de herramientas para la seguridad de las redes 5G , también de 2019.

Pero en un mundo hiperconectado como el actual, donde las amenazas híbridas son cada vez más sofisticadas y las potencias compiten por lograr un desarrollo tecnológico diferencial que les permita blindar sus sistemas, el riesgo de quedarse descolgado de la carrera tecnológica es demasiado grande. En este sentido, la batalla de la ciberseguridad recuerda a la carrera nuclear de la Guerra Fría, cuando Estados Unidos, la Unión Soviética y sus respectivos aliados se enzarzaron en una guerra silenciosa por desarrollar armas nucleares. Al igual que sucede ahora, cualquier avance era ocultado recelosamente y cada paso adelante del rival obligaba a mover ficha al otro.

Y es por eso mismo por lo que la Unión Europea se ve obligada a actualizar su Estrategia de Ciberseguridad continuamente, para mantenerse siempre un paso por delante de los cibercriminales. Así, aunque la primera versión del documento fue publicada en 2013, la estrategia fue revisada en 2017 y de nuevo actualizada en diciembre de 2020.

Esta última versión supone, no obstante, un cambio de paradigma: ahora que el club europeo cuenta con medidas de seguridad unificadas y coordinadas, la UE quiere trabajar en la creación de herramientas que le permitan responder de forma inmediata y eficaz o incluso prevenir los ciberataques.

Una hoja de ruta ambiciosa

De esta manera, la nueva Estrategia de Ciberseguridad incide en tres áreas clave : en primer lugar, pretende mejorar la resiliencia comunitaria a los ciberataques a través, por un lado, de la creación de una red de centros de operaciones de seguridad en toda la UE que funcionen con tecnología de inteligencia artificial y, por otro, una reforma de las normas sobre seguridad de las redes y los sistemas de información, recogidas en la Directiva sobre medidas para un alto nivel común de ciberseguridad en la Unión (Directiva NIS revisada o NIS2).

La Directiva NIS, aprobada en 2016, provocó un cambio en el enfoque institucional para la ciberseguridad en los Estados miembros ―los obligó, entre otras cosas, a elaborar una estrategia nacional de ciberseguridad y a establecer equipos de respuesta ante emergencias informáticas―, pero había empezado a mostrar limitaciones.

“La transformación digital de la sociedad, intensificada por la crisis de la covid-19, ha ampliado el panorama de amenazas y está generando nuevos desafíos que requieren respuestas adaptadas e innovadoras. Ahora, cualquier interrupción puede tener efectos en cascada en todo el mercado interior”, expuso la propia Comisión Europea en la presentación de su propuesta.

En resumen, la Directiva NIS2, que recibió el visto bueno del Parlamento Europeo este mes de octubre , expande los sectores que se consideran críticos y refuerza los requisitos de seguridad para las 160.000 empresas que pretende cubrir. El objetivo es reducir la brecha económica que separa a las compañías europeas de las estadounidenses, que invierten de media un 41% más en ciberseguridad.

En segundo lugar, con su nueva Estrategia de Ciberseguridad, la Comisión también quiere reforzar su capacidad operativa para prevenir, disuadir y responder a los ciberataques, para lo cual creará una unidad informática conjunta . Este equipo trabajará para garantizar una respuesta coordinada de la UE a los ciberincidentes y cibercrisis a gran escala y ofrecer asistencia para recuperarse de esos ataques. “Las amenazas suelen ser comunes, por lo que es necesario coordinarse, compartir conocimientos e incluso lanzar alertas por anticipado”, argumentó la Comisión.

En tercer y último lugar, Bruselas propone promover un ciberespacio global y abierto, es decir, entablar una conversación con el resto de países para que su normativa sea replicada y contribuir con ello a la seguridad internacional. Es, en otras palabras, un intento por impedir que la defensa contra los ciberataques se convierta en una lucha de todos contra todos y, al contrario de lo que ocurrió con la carrera nuclear, dar lugar a una cooperación entre naciones que revierta en un blindaje global contra este tipo de amenazas.