El trabajo de la ciberembajadora Heli Tiirmaa-Klaar es cada vez más importante. Es la embajadora de Estonia para ciberseguridad. En 2019 Politico la escogió como una de las 28 personalidades que iban a conformar Europa. Su país se hizo célebre por unos hechos trágicos en 2007: fue víctima de la primera gran operación rusa en el ciberespacio: «La geografía en Estonia es imposible de escapar», dice. Tiirmaa-Klaar ha sido asesora en la OTAN y encargada de montar la política del ciberespacio en la UE. Estas son las preguntas que le hizo El País de España.
Pregunta. ¿Qué es una ciberembajadora?
Respuesta. Es una diplomática especializada que entiende qué tipo de amenazas hay en el ciberespacio, cómo responder al mal comportamiento de actores estatales y cómo animar el buen comportamiento.
P. ¿Cómo llegó al mundo cíber?
R. Estudié ciencia política. Pero me especialicé a palos porque tuve que crear la primera ciberestrategia después del ataque de 2007. Entendí rápido que es un tema muy estratégico y es infraestimado por la mayoría de Gobiernos.
P. Los hechos de 2007 fueron la primera gran ciberoperación rusa.
R. Hubo muchos elementos. El ciberataque fue uno de ellos.
P. Fue todo por un memorial de un soldado soviético.
R. Íbamos a recolocar esa estatua a un cementerio. Pero una campaña de noticias falsas distribuidas en las redes sociales en ruso donde decían que el monumento iba a demolerse inauguró los disturbios, que fueron muy serios: coches en fuego, tiendas vandalizadas. En Estonia no pasaba algo así desde la Segunda Guerra Mundial, es un lugar muy pacífico. Jóvenes de habla rusa bebidos rompían mobiliario urbano. Por los disturbios, la estatua se recolocó rápido. Y empezaron los ciberataques.
P. ¿De qué tipo?
R. Hubo tres oleadas. Primero fue la activista, luego una más profesional y al final otra más seria. Durante tres semanas. Fue contra servicios online y contra periódicos para bloquear la información que ocurría en el país. Imagina que tienes disturbios y los medios no funcionan. Los estonios usan poco la radio y los viejos canales de tele, que sí funcionaban. Las webs gubernamentales fueron bloqueadas, los bancos online también. Toda la infraestructura de internet que usábamos era atacada. Nuestros expertos lograron mitigar los ataques durante tres semanas. El periodo más largo de caída para un banco fue día y medio.
P. ¿Y desde entonces?
R. Nunca más ha ocurrido algo así.
P. ¿Hubiera dicho entonces que esto podía volver a ocurrir?
R. Vienen muchos periodistas estadounidenses a Estonia para mirar los hechos de 2007. Ven muchas similitudes con la elección de 2016. El parecido en los métodos es sorprendente.
P. ¿Entonces los rusos están haciendo algo parecido a 2007?
R. Las agencias gubernamentales no cambian muy rápido.
P. ¿Qué le preocupa en el futuro? ¿Un gran ataque que hunda infraestructuras de un país?
R. Eso está prohibido bajo ley internacional. Es una violación grave. Los ciberataques no caen del cielo, hay que colocarlos en su contexto político. Es como en 2007, no es que pasara algo en el ciberespacio, pasó algo en el mundo real. Hay que mirar al ciberconflicto así: si hay un conflicto real en algún lugar, tendrá una faceta ciber. El elemento ciber será usado para ayudar los objetivos estratégicos de un conflicto político. Hackear la red eléctrica no ha pasado porque es muy grave.
P. En Ucrania.
R. Fue durante un conflicto real. En Navidad. Violó muchas normas. El problema es que nadie reaccionó.
P. ¿Entonces una ciberguerra es ficción?
R. No habrá ninguna ciberguerra. Habrá una guerra real con una faceta ciber. Siempre hay una razón política. El pensamiento convencional cree que una ciberguerra está a punto de estallar. Bueno, no ha ocurrido. Ha habido muchos ataques y muchas películas pero la razón para que haya una ciberguerra es un conflicto real que también se dé fuera del ciberespacio. No al revés. A no ser que algo muy grave salga mal en el ciberespacio y de ahí escale. Para evitarlo hay que construir confianza.
P. ¿Cómo califica lo que ocurrió en las elecciones de 2016 en EEUU?
R. Había una preferencia por un candidato.
P. ¿Y ve la atribución?
R. A veces el embrollo ocurre porque quieres demostrar que puedes embrollar. Quieres demostrar ese poder de tu Estado.
P. Estas ciberacciones parece que no pasan líneas rojas.
R. Las acciones por debajo del límite de conflicto armado, pero que ya no son operaciones pacíficas, son el mayor problema que tenemos. Y cómo estabilizar el ciberespacio para desanimar hacer estas acciones. Hay además un número creciente de países entrando en este campo.
P. Pero su mayor preocupación no es un ciberconflicto.
R. Es la balcanización de internet. Nuestra primera obligación como diplomáticos es evitar la guerra y construir la paz, pero la segunda tarea es la necesidad de conservar la internet gratuita, interoperable y accesible que tenemos. Si ahora se divide en bloques políticos diferentes, la internet mundial como la conocemos ahora ya no funcionará más. Ya hay firewalls y restricciones que algunos países construyen, pero aún funciona la internet interoperable.
P. Pero esa separación no parece remota.
R. Puede pasar. Es un modelo muy atractivo: cerrar y permitir solo cierto contenido, no el de otros países. La libertad es su problema real, internet solo es un medio.
P. ¿Qué problema de seguridad ve con el 5G?
R. No aceptaría una tecnología en la que no confío. Es un problema de confianza. Una vez tienes un proveedor es muy difícil cambiarlo.
P. ¿Qué hará Estonia?
R. Las empresas deberán estar registradas en la Unión Europea, que son las compañías de telecomunicaciones europeas. Vamos a crear un mecanismo de control de riesgos para que una agencia gubernamental certifique las tecnologías.
P. ¿Y las compañías chinas?
R. Será este mecanismo de control de riesgos quien decida. Es una mezcla de distintos métodos. Hay muchos riesgos valorados, tanto políticos como el mismo funcionamiento del Estado. No son solo riesgos tecnológicos. Estos riesgos incluyen, por ejemplo, si la tecnología viene de un país donde se aplica el imperio de la ley o si es un país cuyas empresas deben cooperar con los servicios de inteligencia.
P. ¿La tecnología china no es más barata?
R. El precio se usa a menudo como una razón de peso, pero cuando tienes en cuenta el arco de tiempo en que se usará, el adoptador temprano de la tecnología suele pagar más porque compra la primera versión de una tecnología.
P. ¿Qué aconsejaría a otros países que hagan con 5G?
R. Cada Gobierno tiene que decidir su propio riesgo. Hay incluso una guía de la UE.
P. Estonia es famosa por su digitalización. ¿Por qué?
R. Durante la época soviética apenas teníamos tecnología. Durante los noventa adoptamos la más nueva. En 1996 y 1997, nuestro sistema bancario ya estaba online. Como el sector privado empezó a desarrollar servicios digitales, también lo hizo el Gobierno. Hay otro motivo simple: el tamaño del país, no tenemos mucha gente. No podemos permitirnos el lujo de tener un administrativo haciendo tareas pequeñas. Hay la necesidad de automatizar muchos de esas servicios.
https://elpais.com/tecnologia/2019/12/21/actualidad/1576886357_152918.html