Heli Tiirmaa-Klaar: «Los ciberataques no caen del cielo, suceden por razones políticas»

Si bien este devastador ciberataque global paralizó en 2017 los ordenadores en hospitales de una gran potencia como el Reino Unido por un coste de más de 100 millones de euros, WannaCry no provocó grandes pérdidas para Estonia, uno de los países más pequeños de la Unión Europea y que lidera ahora la vanguardia europea en ciberdefensa. ¿Cómo ha llegado a ser un modelo para el mundo? Todo cambió en 2007 cuando Estonia registró el primer ataque cibernético atribuido a Rusia, después de que el Gobierno estonio decidiera trasladar la estatua del Soldado de Bronce , un monumento a los militares del Ejército Rojo, desde el centro de Tallin a un cementerio militar en las afueras de la ciudad. Desde entonces, Estonia ha estado liderando una campaña diplomática para evitar que los Estados cometan actos de guerra online y al mismo tiempo preservar el libre flujo de información en red. Una de las paladines de esta contienda es Heli Tiirmaa-Klaar , primera embajadora para la ciberseguridad del país y recientemente elegida entre las 28 personalidades europeas a tener en cuenta para este 2019 por la revista estadounidense Politico. Antes de asumir el cargo de embajadora, Tiirmaa-Klaar fue responsable de la política exterior relacionada con el ciberseguridad de la Unión Europea, negociando un acuerdo el año pasado que permitía a los 28 Estados miembros imponer sanciones contra los países responsables de los ataques cibernéticos.

La conciencia estonia sobre la importancia de la defensa cibernética comenzó cuando su país sufrió uno de los primeros ataques cibernéticos importantes en estructuras estratégicas en 2007.

El ataque llegó por los planes de reubicación de una escultura que estaba en medio de Tallin. Tras algunas excavaciones, se desató una campaña en las redes sociales locales para ocasionar disturbios, que al poco tiempo vinieron acompañados de un ataque cibernético que alcanzó diferentes objetivos: portales de noticias, gubernamentales... El ataque se extendió por más de tres semanas hasta que logramos mitigar estos ataques, que finalmente se detuvieron de un momento a otro. Es imprescindible mitigar estos ataques en tiempo en tiempo real, no podemos esperar hasta que alguien venga de lejos para arreglarlo.

¿En qué consiste la ciberdiplomacia tal como la entiende Estonia?

Soy embajadora de Estonia. Nos han seguido en Francia, en Finlandia, los Países Bajos... Un grupo de expertos hemos acordado cómo mantener la ley en el ciberespacio para actuar en principio con las normas existentes y al mismo tiempo promoviendo internet gratis y abierto. Estamos construyendo la capacidad en terceros países que necesitan nuestros sistemas. Estonia fue el primer país en comenzar a hablar de esto después de los ciberataques de 2007. Desde entonces abogamos por que haya un acuerdo entre los gobiernos sobre qué está permitido y qué no en el ciberespacio mediante una mayor adhesión al derecho internacional. Estonia fue el primero en comenzar la actividad, nuestro país ha sido muy activo en la sensibilización de la OTAN y ONU, proponiendo políticas para contrarrestar ataques cibernéticos.

Hay dos posiciones enfrentadas: la de UE y Estados Unidos contra China y Rusia. ¿Debería el derecho internacional introducir nuevas reglas, como reclaman Pekín y Moscú, en lugar de implementar las existentes?

(Rusia y China) quieren nuevas reglas, nuevos instrumentos y convenciones en la ONU, pero no creemos que sea necesario comenzar a desarrollar nuevos instrumentos antes de implementar los antiguos. Este tipo de actividad dará como resultado debates interminables, creando la percepción de que, mientras tanto, no se aplican las reglas y leyes existentes.

¿Introducir nuevas reglas puede poner en peligro la ya difícil situación de la libertad de internet?

Eso es. Esas nuevas reglas pueden reducir aún más la libertad de internet. Las nuevas convenciones pueden ser duras, esos instrumentos básicamente están atacando la libertad en Internet tal como la conocemos. El derecho internacional en realidad aborda la mayoría de los problemas en el ciberespacio, no hay duda de que tenemos suficientes normas, la cuestión es cómo interpretar la ley existente de una manera que sea aplicable al ciberespacio.

¿Infraestructuras esenciales como hospitales están en peligro real? ¿O los ataques contra estos centros son todavía bastante aislados y de influencia reducida?

En ataques ransomware como el de WannaCry en el sistema de salud del Reino Unido, vimos cómo operaciones cibernéticas pueden causar daños en hospitales y la atención médica. Fue un caso límite porque el derecho internacional prohíbe ataques en infraestructuras estratégicas. Es difícil atribuir los ataques pero no deja de ser posible. Hoy en día hay mucha cooperación y una estrategia detrás.

¿Estamos preparados ante las amenazas que traen el desarrollo del 5G?

Hay varias amenazas, por supuesto. Una está relacionada con la privacidad y los datos personales, el 5G prácticamente no tiene control sobre dónde van. La segunda amenaza es la posibilidad de perturbaciones severas. Hay cooperación entre dos de los países que son amigos y no hay relaciones amistosas para ir con cuidado con las tecnologías 5G.

Debido al gran desarrollo de una sociedad digitalizada, piratear el sistema es más fácil que nunca.

Sí, pero atacar concretamente el i-Voting (voto electrónico) de Estonia no es nada sencillo. Las ciudades inteligentes sí están menos protegidas.

¿Pueden las «ciudades inteligentes» colapsar fácilmente ante un ciberataque?

No estoy pronosticando el colapso, actores maliciosos pueden encontrar enlaces y atacar a vectores vulnerables. Hay conceptos erróneos habituales como que los ataques cibernéticos simplemente caen del cielo. Y no, estos suceden por razones políticas. Antes de hablar de si las ciudades inteligentes pueden colapsar o no, debemos pensar sobre quién está interesado en atacarnos.

¿Deben copiar otros países europeos como España el modelo estonio de ciberdemocracia para aumentar la participación de la ciudadanía? ¿Qué alcance ha tenido el i-Voting en las últimas elecciones?

Un tercio de la población votó electrónicamente en las últimas elecciones. No podemos llegar a la conclusión de que cada país debe copiar la versión estonia. Cada gobierno tiene que tener métodos propios y así aumentan el número de opciones. Para una votación electrónica se necesitan servidores externos y un sistema muy seguro como el que tiene Estonia.

¿Es más fácil atacar al país más poderoso del mundo como Estados Unidos que a un país tan pequeño como Estonia?

Hay un término en el universo ciber: superficie de ataque. Cuanto más pequeño es un país, más pequeña es la superficie de ataque. En realidad, también tiene menos personas y un sistema de información menos crítico que defender, por lo que es más difícil contrarrestar ataques en Estados Unidos que en Estonia.

¿Cómo puede un país tan pequeño como Estonia defenderse de Rusia?

Estonia se defiende como un erizo. Es muy duro atacarnos. Después de 2007 hemos conseguido un sistema cibernético muy resistente.