La guerra moderna tiene como objetivo las infraestructuras civiles como prioridad, lo que obliga a una costosa convergencia entre la seguridad corporativa y la nacional.
Los 32 países de la OTAN acordaron el año pasado destinar el 1,5% de la producción económica a proteger infraestructuras críticas, mientras la guerra de Irán contra activos civiles —desde refinerías de petróleo hasta centros de datos de Amazon— difumina la línea entre la seguridad corporativa y la nacional.
"Hemos estado mimados durante demasiado tiempo por la paz", dijo Norman Heit, director global de seguridad corporativa y resiliencia de Vodafone. "La gente no aprecia que la seguridad física para las empresas es un bien público, como la defensa".
En su conflicto con Estados Unidos e Israel, Irán atacó refinerías de petróleo, instalaciones petroquímicas, plantas desalinizadoras de agua y centros de datos de Amazon en todo el Golfo Pérsico. Sospechosos hackers rusos manipularon remotamente las válvulas de una presa hidroeléctrica noruega el año pasado, mientras que las autoridades estadounidenses advirtieron en abril que hackers iraníes atacaban sistemas de agua potable en Estados Unidos. Los ataques reflejan un cambio más amplio: centrales eléctricas ucranianas, servicios públicos estadounidenses y cables submarinos desde el mar Báltico hasta Taiwán se han convertido en objetivos bélicos.
El costo de reforzar los activos privados —fortificar centros de datos con hormigón armado, reubicar plantas desalinizadoras bajo tierra, duplicar redes críticas— ascenderá a miles de millones de dólares, y ya están surgiendo disputas entre empresas y gobiernos sobre quién debe pagar.
El nuevo cálculo de la defensa
El compromiso de la Organización del Tratado del Atlántico Norte, parte de un pacto más amplio para destinar el 5% del PIB a defensa y seguridad, dirige fondos hacia necesidades adyacentes a lo militar, incluyendo ciberseguridad, capacidad industrial, ferrocarriles, puentes y puertos necesarios para la logística militar. El progreso en estos esfuerzos será un punto central cuando los líderes se reúnan el martes en Turquía para una cumbre de la OTAN.
"Necesitamos un concepto amplio de defensa — la defensa ya no es solo militar", dijo el almirante italiano Giuseppe Cavo Dragone, máximo asesor militar de la OTAN.
El objetivo de gasto llega en un momento en que las empresas enfrentan una superficie de amenazas en rápida expansión. Los hackers atacan cada vez más no solo archivos informáticos, sino sistemas que gestionan funciones vitales como el acceso a edificios y el control de fábricas, causando daños físicos de forma remota. "Los ataques digitales a sistemas físicos crean problemas físicos", dijo Gianni Cuozzo, director ejecutivo de Exein, una empresa italiana de ciberseguridad.
Noel Hacegaba, director ejecutivo del Puerto de Long Beach en California —que maneja 300.000 millones de dólares en carga al año— lanzó en mayo un centro de operaciones de ciberdefensa para frustrar decenas de miles de ataques diarios. "Hace cinco años, la seguridad portuaria se centraba principalmente en personas y carga. Hoy, se trata de personas, carga, software, hardware y espacio aéreo, todo a la vez", dijo.
¿Quién asume el costo?
En Alemania, poderosas asociaciones industriales que representan a empresas privadas y servicios públicos municipales se han opuesto a los nuevos estándares de protección física, advirtiendo que podrían significar la ruina financiera. El gobierno de Nueva Zelanda enfrentó resistencia ante una propuesta para multar a empresas de infraestructuras críticas y a sus directivos por infracciones de ciberseguridad.
"El propietario privado puede invertir en redundancia, monitoreo y capacidad de reparación, pero solo los gobiernos y los militares pueden realmente disuadir, patrullar, atribuir o responder a actividades hostiles de un Estado", dijo Marc Glasser, quien trabajó en ciberseguridad y seguridad de infraestructuras durante tres décadas en el Departamento de Transporte y el Departamento de Seguridad Nacional de EE.UU.
La Unión Europea adoptó nuevas regulaciones tras la invasión a gran escala de Ucrania por parte de Rusia, exigiendo a los países reducir vulnerabilidades, aunque muchos Estados están rezagados en las evaluaciones nacionales de riesgo que debían presentar este mes. El Reino Unido propuso nuevas leyes para aumentar las sanciones por sabotaje submarino, actualizando códigos que datan del siglo XIX. En Estados Unidos, la Agencia de Seguridad de Infraestructuras y Ciberseguridad, establecida en 2018, ha visto reducidos su presupuesto y personal en los últimos años.
Los ataques con drones iraníes en marzo destruyeron centros de datos en Emiratos Árabes Unidos y Baréin utilizados para servicios bancarios y otros fines comerciales. Siguen fuera de servicio, formando parte de una serie de señales de advertencia a medida que la creciente dependencia de la inteligencia artificial hace que los centros de datos sean indispensables. "Es mejor aprender estas lecciones ahora que más adelante", dijo Sam Winter-Levy, fellow del Programa de Tecnología y Asuntos Internacionales del Carnegie Endowment for International Peace.
La mayoría de los gobiernos no ofrecen incentivos para que las empresas inviertan más allá de los requisitos mínimos legales de resiliencia, lo que significa que las empresas que pueden permitirse invertir promocionarán la resiliencia como una ventaja competitiva. "Si se espera que las empresas apoyen al Estado para proteger infraestructuras críticas, es necesario incentivarlas para que lo hagan", dijo Heit. Vodafone y otras ocho empresas de telecomunicaciones pidieron el año pasado a las autoridades europeas y a la OTAN que aumentaran el apoyo público y la coordinación en la protección de cables submarinos.
Los últimos esfuerzos recuerdan la respuesta a los ataques del 11 de septiembre de 2001, cuando los aeropuertos rediseñados para la eficiencia reorganizaron sus operaciones para priorizar la seguridad. Estados Unidos reestructuró el gobierno federal e inyectó cientos de miles de millones de dólares en seguridad nacional. Ahora, casi todo tipo de instalación es un objetivo potencial, y nadie ha saldado la cuenta.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.