En el contexto de Oriente Medio y el Norte de África (MENA, por sus siglas en inglés), el acceso de los Estados y las poblaciones al ciberespacio plantea riesgos en torno a la seguridad de los sistemas, servicios e infraestructura. A pesar del progreso considerable desde tal perspectiva, tanto en el acceso como en la seguridad de uso, los Estados regionales muestran una tendencia a priorizar el desarrollo de capacidades para hacer frente a una amenaza distinta: la desestabilización política y social. De la misma manera, la necesidad de recurrir a la ciberdefensa frente a agresiones perpetradas o favorecidas por adversarios estatales frecuentemente se ve eclipsada por la proclividad al empleo de la defensa activa, entrecruzándose con las rivalidades geopolíticas que segmentan la región.
Todos los países MENA –la pasividad de Argelia es seguramente el caso más atípico–, más tarde que temprano han acogido eventos internacionales, establecido marcos regulatorios y de políticas, designado estructuras institucionales y engrasado su maquinaria informativa en el afán de señalar su compromiso con blindar el ciberespacio. Sin embargo, dicho armazón se ve sutilmente desplazado por prácticas e iniciativas dirigidas a controlar el ciberespacio, en línea con una comprensión de la gobernanza de Internet que antepone el concepto de ‘cibersoberanía’. El foco no se centra tanto en las amenazas a la infraestructura y los servicios de información en un contexto cibernético interconectado, sino en aquellas amenazas al modelo de estabilidad política y paz social definido por los regímenes, lo que implica la búsqueda de control sobre los flujos de información, a menudo con ramificaciones más allá de sus fronteras.
Cibercontrol
El ciberespionaje por actores estatales de críticos y activistas, o de sospechosos de serlo, bajo pretextos que nublan la diferencia entre motivación política y seguridad nacional, nos deja un alto número de casos. En Egipto, donde la ley contra el cibercrimen de 2018 obliga a los proveedores de Internet a almacenar información de los usuarios para su hipotético reclamo por las agencias de seguridad, los sistemas de monitoreo e intrusión han sido empleados sobre personal de organizaciones no gubernamentales y críticos vocales en la diáspora. Líderes del Hirak marroquí fueron objeto de “mensajes de ingeniería social reforzada” (enhanced social engineering messages), básicamente ataques phishing para después instalar software de espionaje en sus dispositivos móviles, cuando las protestas se encontraban en auge. No es inusual que las operaciones tengan como objetivo individuos de procedencia y por motivos dispares, de forma que las metas de control social y de obtención de una ventaja respecto de competidores geopolíticos pueden aparecer unidas. Por ejemplo, dos empleados de Twitter fueron imputados al presuntamente acceder a cuentas de saudíes y otras nacionalidades tras ser reclutados por el gobierno, siendo la primera vez que el reino es acusado de espionaje en EEUU.
En los países MENA actúan igualmente empresas que ofrecen servicios de ciberespionaje y cibervigilancia, como las israelíes NSO o Black Cube, dejando rastro por escándalos que salpican toda la región. Facebook, en un hecho insólito, ha denunciado a la primera bajo acusaciones de venta de software y apoyo operativo al espionaje de periodistas, disidentes y defensores de los derechos humanos, involucrando a 20 países, entre ellos EAU y Bahréin. Igualmente sobresale la contribución de las grandes potencias: antiguos miembros de la National Security Agency (NSA) y de la Casa Blanca asesoraron a EAU en sus acciones contra Qatar, así como en las de control social, siendo otro ejemplo de cómo un instrumento ofensivo puede desempeñar fines divergentes. Por su parte, Rusia tiene clientes de su SORM (System for Operative Investigative Activities) en Irak, Bahréin, Qatar, etc., el cual se emplea para interceptar y vigilar comunicaciones en el país. Mientras, China ha aportado a los dubaitíes componentes para su iniciativa Police Without Policemen (policía sin policías), que pretende revolucionar nuestra comprensión de la vigilancia urbana.
Las operaciones de influencia, por su parte, coadyuvan al control social en las redes, introduciendo mensajes partidistas y enterrando u hostigando aquéllos desfavorables, mediante “ejércitos de bots”. A lo anterior habría que añadir la capacidad de restringir el tráfico en Internet que los gobiernos iraquí e iraní –en el caso del último, con un éxito sin precedentes– han demostrado con el nuevo ciclo de protestas multitudinarias en ambos países. Según Netblocks, la conectividad alcanzó mínimos de 22% y 5% en los días álgidos de las movilizaciones al final del pasado año respectivamente.
Ciberofensiva
Dentro de las herramientas disponibles en el ciberespacio, los países MENA no han descartado el uso de las ofensivas contra terceros Estados, por su menor coste y mayor capacidad de disuasión que las defensivas, al menos desde una perspectiva apremiante por contar con opciones de represalia. De acuerdo con el Cyber Operations Tracker del Council on Foreign Relations, entre julio de 2012 y enero de 2019, el Estado iraní o grupos de hackers vinculados a éste ejecutaron 16 operaciones de espionaje, comprendiendo múltiples ataques que de algún u otro modo apuntaban contra intereses en la región MENA, especialmente en Israel y Arabia Saudí, se trata de una ínfima parte del total que nos es desconocido, si bien es representativa del modus operandi. Qatar o proxies afines dirigieron sus ciberataques contra más de 1.400 individuos. Siguiendo un patrón de spear phishing, se procuró obtener acceso a los correos de futbolistas y figuras religiosas, pero también de rivales como el príncipe heredero de Bahréin. Actores con menor proyección internacional, como Líbano, se suman igualmente a estas prácticas: el descuido de su principal agencia de inteligencia llevó a la detección online por terceros de material en el que había “literalmente de todo”.
Aunque en los instrumentos de ciberdefensa ofensiva de disrupción o interferencia continúan despuntando Israel e Irán, paulatinamente más Estados MENA dan indicios de poseer mayor sofisticación en sus ciberataques. El ejemplo más visible –y trascendental en el plano geopolítico– sigue siendo la operación emiratí que facilitó, hace dos años, la ofensiva económica y diplomática del llamado Cuarteto –Arabia Saudí, Bahréin, EAU y Egipto– contra Qatar, al idear el defacement que relacionaba al emir Tamim al-Thani con comentarios de apoyo a Hamás e Irán. Dando cuenta de ello, no tardó en producirse una filtración de correos del embajador emiratí en EEUU, presumiblemente por manos pro qataríes, en lo que habría sido una operación de intrusión y filtración (hack and leak).
La idea fuerza que avalara el profesor Gregory Gause en su monografía sobre las relaciones internacionales del Golfo parece retener cierta validez: los Estados de Oriente Medio y el Norte de África, en su aproximación a las ciberamenazas, anteponen aquéllas interpretadas como política y socialmente desestabilizadoras en casa sobre las que ponen en peligro los sistemas y redes de información. Y en lo que respecta al ámbito de ciberdefensa, atacar o contratacar parecen vías preferidas al mayor esfuerzo que requiere defender, en el sentido clásico del término. Un tratamiento agresivo del ciberespacio prima en numerosas instancias, y nos queda por ver si el tiempo seguirá este curso, o si seremos testigos de una redefinición de las prioridades en el futuro.
