Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

La UE brindará ayuda militar a un Estado si sufre un gran ciberataque

La cláusula de asistencia mutua se aplicará también en caso de agresión en las redes

El centro de operaciones de ciberdefensa de Deutsche Telekom, el más grande de Europa, el pasado 26 de octubre. FOTO: REUTERS / VÍDEO: ATLAS

Europa dispone de ejércitos, pero le faltan recursos para hacer frente a injerencias externas más sutiles. La inquietud respecto a los intentos de manipular a la opinión pública con mensajes engañosos se extiende a un fenómeno aún más difícil de rastrear: los ciberataques. Para combatirlos, cualquier país comunitario que sufra un ataque en sus redes podrá exigir asistencia militar al resto. Así figura en un documento que aprobarán este lunes los ministros de Asuntos Europeos y al que ha tenido acceso EL PAÍS. Al contemplar una posible respuesta militar, la UE sitúa los ciberataques en la lista de mayores amenazas a los países comunitarios.

El llamado poder blando de la UE revela algunas flaquezas frente a terceros. Tras las intromisiones detectadas, con Cataluña como ejemplo más reciente, el bloque comunitario insta a poner “especial énfasis en defender los valores democráticos” en el contexto de la seguridad global. El fenómeno no es aislado. Los ataques cibernéticos se han cuadruplicado desde 2015, según datos recogidos por la Comisión Europea, y en algunos países miembros, la mitad de los delitos son ya ciberdelitos. Muchos tienen motivación exclusivamente económica, pero otros buscan la desestabilización política de Europa, con voluntad de alterar los resultados de las elecciones o el funcionamiento de infraestructuras críticas. “Hay intentos diarios de interferir en infraestructuras en la UE”, asegura una fuente comunitaria que exige anonimato.

Un fenómeno costoso

Crecimiento. Los ataques cibernéticos se han cuadruplicado en el bloque comunitario desde 2015, según datos recogidos por la Comisión Europea. En algunos países miembros, la mitad de los delitos son ya ciberdelitos. El impacto económico entre 2013 y 2017 se ha quintuplicado.

Incidencia diaria. En 2016 se produjeron una media de 4.000 al día. El 80% de las empresas en Europa declararon haber sufrido al menos uno, según un informe de la consultora PriceWaterhouseCoopers recogido por la Comisión.

Impacto económico. Después de dos grandes ciberataques de escala mundial (Wannacry y Petya), un informe estimó que otro episodio similar podría costar a la economía global más de 100.000 millones de euros.

Infraestructuras. Más de 150 países y 230.000 sistemas de diferentes sectores han sufrido incidentes. Algunos han tenido un impacto significativo en servicios esenciales, incluidos hospitales y ambulancias.

Los dirigentes europeos saben que hoy es mucho más realista lidiar con este tipo de desafíos que responder a una invasión con tanques. Por eso quieren adaptar las estrategias militares a las nuevas amenazas. El texto que ratificará hoy el Consejo Europeo —a través de los ministros o secretarios de Estado de Asuntos Europeos— establece que cualquier “incidente o crisis cibernética particularmente serios podrían constituir un motivo suficiente para que un Estado miembro invoque la cláusula de solidaridad y la de asistencia mutua”. Se trata de dos herramientas previstas en el tratado europeo que obligan a prestar cualquier tipo de ayuda, incluida la militar, cuando un Estado sufra una agresión armada, terrorista o un grave perjuicio derivado de desastres naturales o humanos.

Esta posibilidad solo se ha invocado una vez desde que entró en vigor con el Tratado de Lisboa (2009). Lo hizo Francia, tras los atentados de noviembre de 2015. Entonces, el Gobierno de François Hollande pidió ayuda a sus socios para desplegar al Ejército en las calles del país sin tener que desmantelar las misiones militares que mantenía en el exterior. España fue uno de los países que ofreció recursos.

En las 18 páginas de conclusiones que aprobarán los ministros no hay una sola mención a Rusia, el país que más sospechas levanta como origen de esas influencias exteriores. Las mismas fuentes europeas aseguran que muchos ataques cibernéticos provienen de Rusia y de Corea del Norte, pero eso no significa que sus autoridades los ejecuten. “Los hackers se refugian allí porque es fácil esconderse, al ser países que no cooperan. Lo que es seguro es que los Gobiernos no nos ayudan a identificar a los responsables”, abunda otro experto. La prensa británica ha revelado que hubo un intento de infiltración en la red energética de Reino Unido durante la última jornada electoral, el pasado 8 de junio.

Con esta medida, Europa sigue los pasos de la OTAN, que también considera la agresión cibernética como motivo para invocar el deber de defensa colectiva entre los aliados.

Amenaza de sanciones

Además de protegerse, la UE quiere disuadir a terceros de interferir en sus asuntos. Por eso amenaza con sancionar a los Estados responsables. El texto de conclusiones hace suya una propuesta de la Comisión Europea que incluye “medidas restrictivas que pueden usarse para evitar actividades cibernéticas malignas y responder frente a ellas”. En la jerga comunitaria, esa expresión alude a las sanciones que castigan a países extranjeros por conductas consideradas lesivas. En ese marco figuran las que la UE aplica contra Corea o contra Rusia por el conflicto de Ucrania.

En la práctica, resulta casi imposible probar que un Gobierno esté detrás de un ataque cibernético. Y las sanciones, que requieren unanimidad entre los países miembros, solo se adoptan cuando existen evidencias claras de esas irregularidades.

Como medidas adicionales, los 28 Estados comunitarios plantean realizar ejercicios militares paneuropeos que pongan a prueba la seguridad cibernética y sugieren la creación de un fondo para responder a las emergencias de ciberseguridad. El Consejo Europeo se compromete a que todas estas iniciativas cristalicen en un plan de acción antes de que concluya el año.

El dilema de promover o vetar los mensajes encriptados

La lucha contra el terrorismo y otros delitos de gran dimensión ha alterado la visión europea sobre la privacidad. Al contrario que Estados Unidos, la UE siempre ha tendido más a proteger ese derecho fundamental y a limitar mucho el acceso de las fuerzas de seguridad a los datos personales de los ciudadanos. La encriptación de mensajes electrónicos es una herramienta que refuerza ese principio de privacidad, pero también ha servido para camuflar actuaciones delictivas. Bruselas tiene dificultades para adoptar una posición clara en este debate. Y el texto de conclusiones del Consejo Europeo es una muestra de ello.

Estonia, el país que ejerce la presidencia de turno de la UE, ha querido dejar su impronta en una materia tan sensible. Este Estado báltico, altamente digitalizado, basa buena parte de su economía y de su Administración pública en la circulación segura de datos personales a través de la red. El documento sobre ciberseguridad aborda el dilema de manera salomónica. Por un lado, admite “los desafíos que imponen los sistemas que permiten a los delincuentes y a los terroristas comunicarse por vías a las que las autoridades no pueden acceder”. Pero inmediatamente después subraya que “una encriptación fuerte y fiable es de gran importancia para la confianza en el mercado digital común y el respeto a los derechos humanos y las libertades fundamentales”.