40 heridos, 400 detenidos y una extraña muerte

La batalla del Soldado de Bronce: lecciones del primer episodio de ciberguerra con Rusia

En 2007, Estonia vio cómo un leve conflicto con la minoría rusa de su país se convertía en algo mucho más serio. Desde entonces, ha logrado volverse la vanguardia digital del mundo

Foto: Una mujer pasa por delante de la Estatua del Soldado de Bronce antes de su retirada, en Tallin, febrero de 2007. (Reuters)
Una mujer pasa por delante de la Estatua del Soldado de Bronce antes de su retirada, en Tallin, febrero de 2007. (Reuters)

En abril de 2007, el Gobierno de Estonia decidió reubicar la estatua del Soldado de Bronce del centro de la capital, Tallin, a un cementerio de las afueras, un gesto que el ministro de Exteriores de Rusia, Sergei Lavrov, calificó de “blasfemia contra quienes lucharon contra el nazismo”. Se iniciaba así un conflicto cuyas consecuencias perduran todavía, y que incluyó el que se muchos expertos consideran el primer acto de ciberguerra de la historia. Los días posteriores a la retirada se produjeron una serie de revueltas en las calles de Tallin, seguidas de un ciberataque que derribó las débiles estructuras de un país que a finales de los noventa había apostado por la vía digital como modelo de crecimiento.

Poco después de que las algaradas callejeras se calmasen, las autoridades estonias vieron cómo las visitas a la web del gobierno pasaban de entre 1.000 y 1.500 al día a esa misma cantidad al segundo. Los sistemas se bloquearon. Los principales objetivos fueron la presidencia del gobierno y su Parlamento; los ministerios y partidos políticos; agencias de noticias y periódicos; además de bancos y empresas de telecomunicaciones. Se trataba de un ataque distribuido de denegación de servicios (DDoS, en sus siglas en inglés) que cumplió con creces su objetivo de impedir el acceso a las páginas web a las que se dirigió mediante un masivo envío de mails que saturó el servidor. Nunca se ha podido concretar el coste definitivo que supuso el asalto.

Las reacciones al traslado de esa estatua, considerada un símbolo para la población rusa étnica, constituyeron el definitivo impulso para que el minúsculo país báltico adquiriese una madurez tecnológica que le coloca actualmente a la vanguardia mundial. Durante un reciente viaje a Tallinn, el autor de este reportaje pudo comprobar in situ en qué consiste el llamado proyecto e-residency y los beneficios que supone para la sociedad. En estos años, Estonia ha seguido apostando por el crecimiento tecnológico, desarrollando su modelo de sociedad digital. A tal efecto se tomaron medidas en dos sentidos: búsqueda de una mayor ciberseguridad y consolidación de un sistema que facilitara la vida a una población que no llega al millón y medio de habitantes.

La noche que lo cambió todo

Estonia, como las otras dos repúblicas bálticas, Letonia y Lituania, logró su independencia del Imperio Ruso en 1918 para volver a perderla en 1940, cuando pasó a estar bajo la esfera de dominación soviética tras el pacto Ribbentrop-Mólotov entre la Alemania nazi y la URSS. En 1947, y como parte de la consolidación de los valores soviéticos, se erigió la estatua del soldado de bronce con la finalidad de recordar a los liberadores de Tallin y acoger los cuerpos de doce soldados soviéticos caídos en combate. Mientras que para unos los símbolos de este tipo -ubicados a lo largo del vasto territorio por el que se extendía la URSS- representaban la lucha contra el nazismo y por la libertad, para otros no eran más que el recuerdo de una época de represión y dolor. Esta escultura, como tantas otras imágenes, fue una de las muchas que se borraron del paisaje una vez el colapso de la URSS trajo la independencia.

Enfrentamientos entre la policía antidisturbios y miembros de la minoría rusa en Tallin, el 26 de abril de 2007. (Reuters)
Enfrentamientos entre la policía antidisturbios y miembros de la minoría rusa en Tallin, el 26 de abril de 2007. (Reuters)

Apoyado en que la estatua no representaba a una buena parte de sociedad, sumado a que donde descansaba había tumbas y una parada de autobús y que la zona era conflictiva porque en torno a ella se producían enfrentamientos entre las dos etnias (local y rusa) coincidiendo con la celebración del 9 de mayo, la noche del 24 de abril de 2007 el gobierno estonio decidió llevar a cabo un traslado que no contó con ningún tipo de publicidad, por lo que la sorpresa al día siguiente fue mayúscula. Tanto que derivó en dos días de violentas revueltas que dejaron un saldo de unos 40 heridos, más de 400 detenidos y la muerte de Dmitri Ganin, un joven de 20 años y de etnia ruso que fue asesinado de una puñalada y cuya muerte nunca fue aclarada (el pasado mes de junio se cerró la investigación sin encontrar un culpable, si bien Rusia siempre ha defendido que había muerto a manos de la policía estonia). Pero una vez pasada la tempestad en las calles, lo que siguió no fue la esperada -y necesaria- calma, sino un extraordinario ciberataque a organismos tanto públicos como privados.

Fue la mayor acometida nunca visto hasta el momento contra un Estado. No existían mecanismos de defensa para estos casos. Tampoco a quién culpar. La agresión era anónima, no se reivindicó por parte de ningún grupo terrorista, tampoco se solicitó ninguna cantidad de dinero para resolver la situación. “El ciberataque proviene de Rusia, no caben dudas al respecto. Se trata de un asunto político”, declaró Merit Kopli, entonces editor del diario Postimees, el diario de mayor tirada en país y también afectado.

Jaanus Lillenberg, entonces director del desarrollo y marketing de servicios online del periódico, recuerda vía correo electrónico cómo fueron las primeras horas. “Por aquella época estábamos trabajando en el desarrollo de la web, por lo que la primera idea que surgió fue que habíamos cometido un error; lo que nos hizo caer en la cuenta de que alguien estaba enredando con nuestros servicios fue la masiva cantidad de comentarios que acompañaban las noticias”. Mantiene que no hay dudas de que el ataque fue ruso al reconocer el IP desde donde venían los comentarios. Interpelado acerca de la posibilidad de que se repita un ataque similar, concluye que estas acciones cada vez van dejando menos rastro ya que cuentan con espléndidos recursos. “Hasta donde sabemos, en Rusia no hay otros grupos de hackers más serios que los del propio estado”

Si bien en el ámbito privado no había dudas, desde el gobierno en un primer momento se mostraron más cautos. Mikko Maddis, portavoz de Defensa en el momento, se manifestó en términos más suaves. "Decir que vienen de Rusia, en el sentido político, no es correcto". Por su parte, el representante permanente de la Federación de Rusia ante la Unión Europea advirtió que señalar a su país como responsable era una acusación muy grave que tiene que ser corroborada. “El espacio cibernético está por todas partes”, expuso dejando un halo de misterio marca de la casa.

Hoy, la estatua del Soldado de Bronce está situada en un cementerio militar a las afueras de la ciudad, donde recibe emotivos homenajes. (Reuters)
Hoy, la estatua del Soldado de Bronce está situada en un cementerio militar a las afueras de la ciudad, donde recibe emotivos homenajes. (Reuters)

Pero Estonia no quedó satisfecho con las explicaciones y presionó en la OTAN y Unión Europea, las dos organizaciones de las que formaba parte desde 2004, para que se tomaran las medidas necesarias. Nunca se llegó a comprobar desde dónde se lanzó el ataque; aunque algunos de los servidores no estaban en Rusia, sí que se demostró que muchos de ellos sí lo estaban, se identificaron mensajes en ruso y las peticiones de ayuda a Moscú desde Tallin fueron desatendidas. A día de hoy, ambas partes mantiene la misma postura.

Prioridades digitales

En 2008 se acordó establecer en Tallinn el Centro de Excelencia Cooperativa de Ciberdefensa, que respondía a la petición estonia del año 2006 de crear un organismo para la defensa cibernética y mejora de la capacidad de cooperación e intercambio de información entre la OTAN y sus países miembros. Los ataques sufridos un año después no hicieron más que confirmar la necesidad de crear este espacio. La iniciativa fue impulsada, además de por el país anfitrión, por Alemania, Italia, Letonia, Lituania, Eslovaquia y España. Desde entonces se han ido uniendo la República Checa, Francia, Hungría, Grecia, Países Bajos, Polonia, Turquía, Reino Unido y los Estados Unidos, mientras que Austria y Finlandia se han adherido como países contribuyentes; la financiación del centro corre a cargo de todos los estados involucrados. Entre sus publicaciones destaca el Manual de Tallinn, uno de los libros de cabecera para los aspectos legales relaciones con el ciberespacio.

Estonia ostenta este semestre la presidencia del Consejo de la Unión Europea. Dentro de la agenda marcada para este período, cuatro son las prioridades: una economía europea abierta e innovadora; una Europa segura; una Europa digital y un libre flujo de datos; y una Europa inclusiva y sostenible. Queda claro que el país pretende trasladar al resto de los estados miembros su modelo digital con la idea de que sea exportado y que se imite. En este sentido, uno de los actos más relevantes tuvo lugar la semana pasada. El Tallinn Digital Summit (Cumbre Digital de Tallinn) ha servido para lanzar discusiones de alto nivel sobre nuevos planes de innovación con el objetivo de adaptar a Europa a los nuevos retos en materia digital y lograr que se convierta en un referente futuro. Su importancia lo confirma la presencia de la Canciller Angela Merkel en su primer acto en el extranjero después de las últimas elecciones.

Estudiantes de primaria aprenden programación básica en una escuela de Tallin, en septiembre de 2012. (Reuters)
Estudiantes de primaria aprenden programación básica en una escuela de Tallin, en septiembre de 2012. (Reuters)

Durante el mes de julio último realicé una estancia en los países bálticos que me permitió conocer más a fondo en qué consistía este modelo. Una de mis visitas fue al E-Estonia Showroom, centro donde me atendió Anna Piperal, su directora general. La cita tuvo lugar en el amplio salón donde reciben a los distintos políticos que han visitado el centro, desde jefes de Estado a presidentes del gobierno pasando por presidentes de las empresas referentes en el mundo tecnológico. Me explica cómo se ha ido desarrollando el modelo conocido como E-Estonia, que incluye el proyecto e-residency, cuya meta es que desaparezcan todos los trámites burocráticos innecesarios y priorizar las gestiones online evitando horas de espera delante de un mostrador. Este proyecto está abierto a ciudadanos extranjeros que deseen abrir un negocio en Estonia desde cualquier punto del mundo. Dentro de su revolución digital, este año abrió su primera embajada de datos en Luxemburgo buscando blindar la seguridad de los datos más sensibles de la administración.

Detalla cómo el sistema X-road vertebra el proyecto, conectando las distintas bases de datos entre servicios del sector público y privado; la seguridad se consigue encriptando todos los datos que circulen por la red. Dentro de todas las gestiones que se permiten realizar desde internet destaca el poder votar (e-voting), vigente desde 2005, empezó a aplicarse en elecciones municipales y hoy se puede votar incluso para las generales y europeas. En 2014 se detectaron una serie de riesgos ya solucionados, aunque el principal se encuentra en que las terminales que se usen no sean seguras. Para acceder al voto online el ciudadano ha de poseer el equivalente a un DNI digital.

Anna Piperal me explica todas las gestiones que se pueden realizar con una misma tarjeta mientras yo le voy sacando las que usamos en España para las mismas gestiones: DNI, carné de conducir, tarjeta sanitaria, bono transporte… sumados a las de mi hija, que ya comienza a acumular las suyas propias. “Solo cargo con dos, esta y la tarjeta de crédito”. Este documento le vale incluso para conseguir descuentos en librerías que cuenten con convenios con el estado. Siguiendo con la descripción de las gestiones que se pueden realizar sin tener que desplazarse a una oficina, le pregunto qué cosas no se pueden hacer. “Casarse, divorciarse y comprar una casa. De momento”. El gobierno estonio optó por la transparencia como seña de identidad, y la población creyó y apoyó el modelo.

Nunca se sabe de dónde vendrá el empujón que te impulsa a seguir creciendo. Estonia sufrió una dura agresión tanto en el plano físico como el cibernético después de tomar una decisión que le correspondía como país soberano. Una vez superado el desafío, las consecuencias han sido positivas tanto para su gobierno, con la implantación de un sistema que proporciona más seguridad a sus instalaciones, como para sus ciudadanos, con una administración más ágil y eficiente. Ahora, con sorna, los estonios se preguntan: ¿a quién mandamos la factura del examen que tanto nos ha hecho crecer?

*Ricardo Lenoir-Grand Pons es analista de política, seguridad y defensa especializado en el espacio post-soviético y editor del blog Claves Geopolíticas.

Mundo
Escribe un comentario... Respondiendo al comentario #1
2 comentarios
Por FechaMejor Valorados
Mostrar más comentarios