Entre septiembre de 1940 y mayo de 1941, la Alemania nazi lanzó una campaña aérea contra el Reino Unido, especialmente Londres. El objetivo era destruir infraestructuras y, en gran medida, minar la moral civil para forzar una rendición británica. Causó miles de muertos y enormes daños materiales.

En febrero de 1945, fuerzas aéreas británicas y estadounidenses bombardearon Dresde, una ciudad alemana con poca importancia militar directa. El ataque provocó un incendio masivo que mató a decenas de miles de civiles. Fue especialmente polémico por la magnitud de la destrucción y las dudas sobre su necesidad militar. Más adelante, las tropas estadounidenses repetirían acciones similares en Vietnam, así como las rusas en Afganistán y en Chechenia.

Ninguna de las campañas consiguió su efecto. Más bien terminaron sirviendo para generar resentimiento entre la población y contribuyeron, en cierto modo, a mantener precisamente la voluntad de lucha a través de la articulación de la identidad nacional en contraposición a una agresión directa.

Las acciones de castigo a la población civil han sido un hecho común y ampliamente repetido a lo largo de la historia. Mediante la presión hacia la población de un Estado, el agresor pretende instaurar el miedo y el hastío entre una ciudadanía que, supuestamente, exigirá al gobierno concesiones para finalizar el conflicto. Según esta teoría, el agresor buscaría que el pueblo interpretara el conflicto como inútil y altamente costoso, exigiendo su cese.

En el momento de escribir esta publicación, parte de España y de Portugal se encuentra sin suministro eléctrico. Las causas son todavía desconocidas. Se barajan varias hipótesis: un fenómeno atmosférico, un error humano o tecnológico, y… un ciberataque.

Si bien la hipótesis del ciberataque, aun no siendo descartable, no me parece la más plausible en este caso, resulta conveniente evaluarla. No se trata para nada de un escenario improbable en un futuro no muy lejano. Es conveniente, por lo tanto, realizar un pequeño ejercicio intelectual.

Sobre las ciberarmas.

Un ataque generalmente se lanza empleando un arma. Desde los palos y las piedras hasta los misiles balísticos, las armas son empleadas para hacer daño: para destruir, romper, neutralizar, matar.
En un escenario de ciberguerra, o de operaciones militares en el ciberespacio, hablamos de ciberarmas.
Las ciberarmas, en general, son piezas de software capaces de interactuar con los sistemas del objetivo para realizar daño. Con realizar daño nos referimos a obtener información de manera no autorizada, pero especialmente a saturar líneas de comunicación, deshabilitar sistemas, o realizar acciones que comprometan activos físicos desde el ciberespacio.

Las ciberarmas, por lo tanto, dejan marcas en los sistemas objetivo. Aprovechan vulnerabilidades. Tienen éxito porque los sistemas son vulnerables.
Y el punto de impacto es especialmente claro.

Precisamente por esto, en general, las ciberarmas tienen una vida útil muy corta.
Existen plataformas de lanzamiento, pero la carga efectiva suele ser de uno o muy pocos usos.
Una vez usada, los ingenieros responsables de la defensa del sistema objetivo conocen exactamente el punto y la causa de la efectividad del ataque. Parchean el sistema.

Por otro lado, las ciberarmas requieren de un desarrollo caro. El principal gasto se da en recursos humanos: ingenieros, «hackers» con gran talento, perfiles difíciles de encontrar.
Los tiempos de desarrollo son igualmente largos, y no siempre es posible encontrar una vulnerabilidad en tiempo y forma.

Por ende, el coste estratégico del uso de dichas armas es enorme.

Por ende, en un escenario estratégico, este tipo de instrumentos deben ser usados con un sentido, con un fin muy claro.

Un ciberataque capaz de apagar un país entero es el sueño húmedo de batallones enteros de ciberguerra en Oriente y Occidente.
El conjunto de ciberarmas capaces de lanzar una acción de dichas características es un activo valorado en millones y un auténtico as en la manga en términos estratégicos.

Así pues, un ataque de estas características debe responder a un fin muy claro y, generalmente, en un escenario de guerra, iría seguido por otro tipo de acciones.
El ciberataque tendría como objetivo neutralizar las comunicaciones —mando y control— de la sociedad, para que esta debiera dedicar todos sus recursos a mantener el orden interno y, por lo tanto, no pudiera articular una respuesta.
El vacío sería aprovechado por el atacante para tomar el control del país objetivo o de cualquier recurso exterior, aprovechando la debilidad temporal.
Así pues, un ciberataque sería seguido de una gran maniobra exterior: una invasión o, en un caso extremo, un ataque nuclear, por ejemplo, sobre bases militares estratégicas.

En la actualidad, parte de las teorías apuntan a la Federación Rusa como potencial autor de un ataque de estas características.
Rusia ya lanzó ciberataques contra la red eléctrica ucraniana en el pasado.
Un ataque de estas características por parte de Rusia, con fines estratégicos como los mencionados, es difícil de digerir.
El gobierno de Putin no está en condiciones de lanzar un gran ataque sobre Europa.
Y si decidiera lanzar los ICBM, probablemente la mitad caerían en su propio suelo.

La alternativa la encontramos volviendo a Londres y a Dresde: en el terrorismo de Estado.

El Estado ruso, en la actualidad, se encuentra en un punto extremo en cuanto a las negociaciones para consolidar una salida favorable al conflicto en Ucrania.
Ucrania es sostenida en gran parte por la Unión Europea.
Y parte de la ciudadanía europea no termina de apoyar esto.
Los medios desinformativos del Kremlin, a su vez, se encargan de potenciar este tipo de argumentos.

Buena parte de la narrativa rusa, a través de sus medios oficiales y proxies desinformativos, se centra en difundir estas ideas: el apoyo a Ucrania no tiene sentido, es una guerra interminable, Ucrania no puede ganar, Ucrania está drenando a la UE, empeora la calidad de vida, etc.

También se cultiva la narrativa señalando que enfadar a Rusia de manera excesiva y romper sus líneas rojas puede desencadenar un gran conflicto, incluso nuclear.
Se cultiva también el miedo.

Un ciberataque masivo, en estos términos, podría ser asumido con el objetivo de provocar el terror entre la ciudadanía y que esta comience a exigir de manera más activa al gobierno el fin del conflicto en Ucrania, para evitar «escenarios más serios». Se lanzaría el ataque y seguidamente se activarían los distintos altavoces desinformativos para cultivar la narrativa interesada, en una maniobra completa de Guerra de la Información. De hecho aún siendo el desastre causado por una tormenta solar o simple error técnico… un país como Rusia seguiría interesado en emplear desinformación para generar una narrativa del miedo, favorable a sus intereses.

El hecho de que España haya sido uno de los países más afectados responde a dos máximas en la ciberguerra:
España es miembro de la UE y, por lo tanto, puede servir de ejemplo.
Y el fallo que ha permitido actuar con la ciberarma se ha dado precisamente en la región: en un ataque de oportunidad.

En el caso de que se tratara de un ciberataque, la negación plausible por parte de un país como Rusia estaría servida.
E incluso apoyada por parte de unos gobiernos europeos con pocas ganas de responder militarmente o de ser culpados públicamente por la inacción ante un ataque.
La respuesta se daría por otros medios, tal vez.

Tocaría —y tocará— evaluar la reacción de la ciudadanía.
Y prepararnos.

Sea o no este un caso de ciberataque, debemos estar preparados, pues esto no termina aquí.
Más bien acaba de comenzar.

Estamos entrando en un ciclo, como venimos señalando aquí mismo, marcado por la Guerra de la Información en todo su espectro.