Estonia, baluarte de la ciberseguridad europea

Hoy en día, la ciberseguridad conforma uno de los puntos clave en las estrategias de seguridad nacional de muchos países. Conforma el quinto dominio de la guerra, junto con la tierra, el mar, el aire y el espacio. La amplia variedad de amenazas que confluyen en el ciberespacio obligan a los estados a tomar medidas que anteriormente no se tendrían en cuenta. Dentro de éste concepto se encuentra un país cuya tesitura tecnológica, así como geoestratégica, otorga un papel esencial en el ámbito de la ciberdefensa. Estamos hablando de la República de Estonia.

Estonia, camino a la sociedad digital

Para entender el panorama de ciberseguridad estonio, daremos un repaso por los acontecimientos más destacados en éste ámbito. El primer contacto de Estonia con el mundo de la cibertecnología data de 1965 con la instalación de un ordenador para una escuela secundaria especializada en matemáticas en la localidad de Nyo. El ordenador era modelo Ural-1, con el cual se desarrollarían los primeros estudios sobre informática en el entorno soviético. A partir de entonces, el Instituto de Cibernética centraría sus esfuerzos en el campo de las matemáticas aplicadas.

El siguiente paso importante lo encontramos en 1989, con la introducción del sistema de redes para computadoras FidoNet. Entre 1990 y 1991, la red soviética RELCOM (RELiable COMmunications) suministró acceso global gracias a la instalación de infraestructuras que permitieron la conexión de servidores estonios a servidores finlandeses. En este mismo año, los programadores establecidos en el Instituto de Cibernética comenzarían a utilizar el e-mail, tanto en Tallin como en Tartu. Nos encontramos ante el salto al mundo del internet en 1992, un año después de la confirmación de independencia de la República Estonia, lo cual sería clave para la modernización de las infraestructuras de telecomunicaciones que constituirían a la postre un milagro económico tras la reestructuración del país.

Institute of Cybernetics at TUT
Institute of Cybernetics at TUT

A mediados de 1992, se registra el dominio nacional “.ee”, seguido de los primeros dominios de segundo nivel pertenecientes al campo de la investigación y la innovación, como “kfbi.ee” (Keemilise ja Bioloogilise Füüsika Instituut, Instituto Nacional de Física Química y Biofísica), o “ioc.ee”, dedicada al Instituto de Cibernética. En agosto de 1993 se fundó EENet (Estonian Education and Research Network), dedicada al registro y desarrollo de nuevos dominios de internet. Dicha organización gubernamental sin ánimo de lucro sigue funcionando a día de hoy, ofreciendo infraestructura de red a comunidades comprometidas con el desarrollo, educación y cultura.

MÁS INFORMACIÓN: Information technology. IP Policy. Contribution by Estonia.

En 1994 el Riigikogu (parlamento estonio) aprobó la Ley de la Información, que indicaba la financiación estatal para cubrir la mayoría de las inversiones realizadas en la adquisición tanto de software como hardware, el mantenimiento y la preservación de las infraestructuras de información y telecomunicaciones, así como proyectos de sistema de información desarrollados fuera del ámbito del sector público. Todo ello coordinado por un comité formado por el propio ministro responsable del desarrollo IT dentro de la administración pública, realizando una evaluación de las aplicaciones suscritas. La Ley de Información daría paso a uno de los pilares fundamentales que constituirían las bases de la sociedad digital de Estonia.

Captura de pantalla 2015-07-23 a la(s) 20.54.32El proyecto de innovación Tigriihüpe (Salto del tigre) vería luz verde en 1996 gracias al embajador en Estados Unidos Toomas Hendrik Ilves y al ministro de Educación Jaak Aaviksoo. Tendría como objetivo un incremento de la inversión en la infraestructura de redes y de computadoras a nivel nacional. Enfocado al sistema educativo, propuso como objetivo que todas las escuelas de Estonia estén provistas de ordenadores e Internet para el año 2000. Las reformas comenzaron a poner el sello de identidad a una nación que profundizaba cada vez más en la innovación tecnológica, con unas ideas claras sobre la base educativa. Su línea temporal abordaba, en primera medida, cuestiones sobre mayor accesibilidad, mayor calidad del servicio, así como un control de costes. El paso siguiente lo conformarían temas como la seguridad, la protección de datos y los derechos de los ciudadanos en internet. A día de hoy, el proyecto Tiigrihüpe sigue dando sus frutos, apoyando a las escuelas de educación secundaria.

Desde éste punto en adelante, los esfuerzos del ejecutivo estonio consiguieron integrar el uso de internet en la mayoría de los aspectos de la vida cotidiana del ciudadano. Como ejemplos claros, en el año 2000 se introduciría el sistema de declaración de impuestos “e-Tax”, así como el Sistema de Información de las Sesiones de Gobierno, “e-Cabinet”, dinamizando la toma de decisiones de ministros y asesores, reduciendo sustancialmente la cantidad de tiempo utilizado en reuniones.

En el año 2001 Estonia siguió desarrollando más proyectos para interconectar toda la información de su red, lo que llevó a crear la piedra angular de la sociedad digital de Estonia: la autopista “X-Road”. Dicha autopista proporcionaba interacción a las bases de datos tanto públicas como privadas, permitiendo operar entre ellas con libertad. Las características de la autopista X-Road instaurarían las bases de “e-Stonia”: la descentralización de las bases de datos, sin propietario único, otorgaba mayor facilidad a la hora de añadir nuevos servicios, ofreciendo a cada negocio u organismo público el producto que mejor se adecuaba a sus necesidades. En materia de seguridad, la autopista X-Road procuraba que toda la información saliente fuera digitalmente firmada y encriptada, y toda la entrante fuera autentificada y registrada.

Captura de pantalla 2015-07-23 a la(s) 20.54.42

El éxito de éste sistema de conexión hizo que la Unión Europea lo utilizara para proveer de una estructura simple y eficaz a otros dominios de servicios transfronterizos.

En el año 2006 se establecería el CERT-EE (Computer Emergency Response Team for Estonia), responsable de la gestión de incidencias de seguridad en el dominio “.ee”. Correspondía a una parte del grupo mundial de expertos “CERT”, cuya actividad englobaba la actuación ante situaciones de emergencia y riesgo para la seguridad informática.

De un entorno tan favorable nacerían servicios como el “i-Voting”, que ofrecía al ciudadano la capacidad de votar en elecciones desde cualquier ordenador conectado a internet; “e-Police”, que aseguraba una comunicación y coordinación de alta calidad a la policía estonia; o el DNI electrónico, introducido en el año 2002.

Sociedad digital en jaque

La maravilla cibernética creada por Estonia sería gravemente amenazada tras uno de los peores acontecimientos que se recuerdan en el país. El 26 de abril del 2007 tuvo lugar una oleada de ciberataques como respuesta a la decisión del gobierno de retirar el monumento al Soldado de Bronce de Tallin. Estos ataques se perpetraron desde distintos frentes, entre los que se encontraban peticiones de respuesta (ping) a un servidor web bloqueándolo, o el uso de botnets con los que se llevaron a cabo ataques de denegación de servicios (DDoS). También cabe destacar una serie de defaces a páginas web, borrando su contenido y colocando un mensaje propio.

El ataque duraría semanas, con diferentes objetivos: desde partidos políticos, empresas especializadas en comunicaciones, ministerios, incluso la presidencia y su parlamento. Como medida, el gobierno estonio bloqueó todo el tráfico internacional, dejando a Estonia aislada del resto del mundo. La medida proporcionó un tráfico más fluido para la web. El 19 de mayo, los ataques cesaron, dejando la huella de una ciberguerra con una víctima clara, y un agresor sin rostro, lo que nos obliga a remontarnos a la estatua del Soldado de Bronce para entrar en la guerra de acusaciones. El ministro de exteriores estonio, Urmas Paet, acusó directamente al Kremlin por los ciberataques, argumentando que los ataques provenían de direcciones IP de autoridades rusas.

El embajador ruso en Bruselas, Vladimir Chizhov, negó cualquier implicación de Rusia en los hechos. Varios expertos hicieron hincapié en el nivel de sofisticación utilizado, indicando la imposibilidad de recabar una prueba directa de la autoría. Konstantin Goloskov, miembro del grupo democrático antifascista Nashi, reconocería haber organizado ciberataques contra sitios web del gobierno de Estonia. A su vez, el entonces Jefe del Centro de Prospectiva Militar Ruso, Anatoly Tsyganokk, recalcó la incapacidad de los aliados para defenderse de un ataque virtual.

Ante la ciberamenaza, Estonia como baluarte y bastión

El ataque a Estonia atraería la atención sobre un tipo de enemigo, que si bien hasta entonces había tenido un reconocimiento menor, había enseñado su peor cara. La lógica nos dice que el ser humano vivirá en un mundo cada vez más desarrollado, rodeado de una tecnología más avanzada, y en el que Internet tendrá un peso mayor día tras día.

El 14 de junio de 2007, durante una reunión en Bruselas de los Ministros de Defensa de los países miembros de la OTAN, se reconoció la necesidad de trabajar urgentemente en un marco de ciberdefensa. En la Declaración de la Cumbre celebrada en Bucarest el 3 de abril del 2008, en el punto 47, se vuelve a hacer referencia a la necesidad de estructuras de defensa que permitieran proteger los sistemas de información clave, así como la capacidad para apoyar a las naciones aliadas contra posibles ciberataques. En Estonia se planificó combinar la defensa de la red con la propia doctrina militar, llegando a un acuerdo con la OTAN para la creación de un centro de coordinación de defensa cibernética. El proyecto fue denominado “Tiigrikaitse” (Defensa del Tigre). Así mismo, en 2010 nació el Küberkaitseliit (Liga de Ciberdefensa Nacional), derivado de unidades militares. Su función comprendía la defensa de la infraestructura de telecomunicaciones, tanto estatal como privada, frente a ciberataques originados desde el extranjero. Con base en Tallin y Tartu, entre sus filas se encontraban voluntarios profesionales del sector.

MÁS INFORMACIÓN: North Atlantic Treaty Organization. Bucharest Summit Declaration

Captura de pantalla 2015-07-23 a la(s) 20.54.57En el cuartel general de la OTAN, en Bruselas, siete estados miembros – Estonia, Alemania, España, Italia, Letonia, Lituania y Eslovaquia – firmaron los documentos que establecerían, el 14 de mayo de 2008, la creación del CCDCOE (Cooperative Cyber Defence Centre of Excellence) en Tallín, recibiendo el 28 de octubre el estatus de Organización Militar Internacional.

A los países anteriores, se unirían más tarde Hungría (2010), Polonia y Estados Unidos (2011), Países Bajos (2012), y en el 2014 seguirían el mismo proceso Francia, Reino Unido, la República Checa y Austria como primer no miembro de la OTAN en unirse a dicho centro.

Este centro representaba la intención de mejorar la capacidad de ciberdefensa de la OTAN, mediante la educación en ciberdefensa, la concienciación de necesidad de ésta misma, así como el entrenamiento práctico dentro de dicho campo. Analizar los aspectos legales de la ciberdefensa, desarrollar estándares y procedimientos a seguir en caso de ciberataque. A rasgos generales, hacer de la ciberdefensa un concepto más tangible para la conciencia humana.
En materia de análisis legal, se comenzaría a desarrollar en 2009 el Manual de Tallín. Elaborado por 20 expertos en Derecho Internacional, el Manual de Tallín conformaba un estudio sobre el acercamiento del Derecho Internacional y la responsabilidad del estado a los conflictos cibernéticos y la ciberguerra:

MÁS INFORMACIÓN: Tallin Manual on the International Law Applicable to Cyber Warfare

El proceso de creación estuvo supervisado por la propia OTAN, el Comité Internacional de la Cruz Roja y el United States Cyber Command. Éste manual representó una oportunidad para estudiar y conocer de manera más amplia el contexto en el que se mueve legalmente la ciberguerra, tratando de ser una referencia para organizaciones y estados a la hora de ofrecer sus opiniones y decisiones sobre el tema.

En materia de entrenamiento, el CCDCOE ofrecería su primera práctica el 3 de mayo de 2010, con el ejercicio Baltic Cyber Shield. Tuvo como objetivo un mayor conocimiento del mundo de la ciberseguridad, así como la mejora de la cooperación internacional a la hora de tratar con incidentes técnicos. Seis equipos formados por personal de Letonia, Lituania, Suecia, la OTAN y el NCIRC (NATO Computer Incident Response) con la misión de defender redes virtuales de ataques enemigos.

INTERESANTE: Baltic Cyber Shield Cyber Defence Exercise 2010. After Action Report

La segunda ronda de prácticas, el ejercicio Locked Shields, comenzaría en el año 2012, convirtiéndose en un evento anual. La edición de 2015 reunió a un total de 400 personas. En éste caso, se forman dos equipos. El equipo azul representa a un conjunto de pequeñas compañías de telecomunicaciones víctimas de ciberataques. Distribuido por toda Europa, el equipo azul debe defender y asegurar su red mediante medios técnicos al mismo tiempo que provee de información adecuada a los medios, detectando y reportando incidentes al CERT. Por otra parte, el equipo rojo es el encargado de realizar ataques equilibrados al conjunto de redes del equipo azul.

El apoyo entre el CCDCOE y Estonia, aparte de ofrecer su capital como base, queda plasmado el 23 de Enero de 2014, cuando se firma el acuerdo de cooperación con el Kaitseliit (Liga de Defensa Estonia), participante en las anteriores ediciones del ejercicio Locked Shields, así como en la inicial Baltic Cyber Shield.

El último acuerdo de gran calado en materia de ciberdefensa realizado por Estonia, es el acordado con la empresa contratista norteamericana Raytheon para proporcionar apoyo en éste ámbito, afianzando aún más las relaciones que han mantenido Estados Unidos y Estonia a lo largo de los años. La experiencia y medios proporcionados por Raytheon, combinado con la vasta infraestructura de redes estonia, sin duda dotará al país báltico de una capacidad de respuesta aún mayor frente a ciberamenazas en un futuro.

Estonia, por tanto, se considera uno de los países hoy en día con mayor penetración a internet del mundo. Puedes salir de casa, ir a comprar el pan, hacer tus recados diarios y no perder conexión wi-fi en todo el trayecto. A esto le sumamos la inclusión de nuevos servicios para la ciudadanía, nuevas formas de resolver temas burocráticos a través de internet, de asegurar tu coche, comprar el abono transporte, etc. Todos estos servicios requieren de una gran infraestructura de redes (X-Road), una autopista por donde fluya toda ésta gran cantidad de datos, tanto de particulares, organismos públicos o empresas privadas.

Pero los ataques del 2007 demostraron una nueva cara del terrorismo, nuevas formas de hacer la guerra. Un contrario a la innovación, una demostración de fuerza capaz de bloquear la red de todo un país. La dependencia, la inversión, y el esfuerzo realizado en mejorar la tecnología anteriormente citada requieren como respaldo una estructura de seguridad que permita un continuo funcionamiento de los sistemas de información instalados. Reconociendo ésta necesidad, la OTAN vería en Estonia el aliado perfecto para comenzar a desarrollar un centro exclusivamente dedicado a la ciberdefensa.

Ésta alianza sigue patente hoy en día. Tras los sucesos acontecidos en Ucrania, la relación con Rusia se ha visto aún más deteriorada, y el envío de tropas de la OTAN a suelo báltico, sumado al acuerdo de ciberdefensa con Raytheon, da como resultado la imagen de un estado preparado para cualquier ataque. Por otra parte, Estonia seguirá manteniendo un perfil bajo ante la opinión pública, pero su nivel de innovación tecnológica y su cada vez más desarrollado sistema de redes lo mantienen a punto para recibir con los brazos abiertos las novedades cibernéticas que se producen cada día.

Acerca de Álvaro Fernández 6 Articles
Madrid (1987). Diplomado en Criminología por la Universidad San Pablo CEU. Máster de Analista de Inteligencia en la Universidad Rey Juan Carlos I y la Universidad Carlos III. Interesado en el análisis de inteligencia, la geoestrategia y retos para la seguridad.

1 comentario en Estonia, baluarte de la ciberseguridad europea

  1. Muy buen artículo. Estonia es una referencia mundial a la hora de desarrollar la sociedad de la información, pero no conocía sus avances en ciberseguridad, esa necesaria “otra cara de la moneda”. ¡Muchas gracias!

Si tienes algo que aportar o comentar sobre este artículo no dudes en hacerlo!