"La sociedad solo se defiende si sabe que es atacada"
Kersti Kaljulaid, expresidenta de Estonia, conversa con CSO sobre cómo su país se ha convertido en referencia digital y de ciberseguridad de todo el mundo.
Con poco más de un millón de habitantes, Estonia tiene un caso de éxito digital que exportar a todo el mundo. La república báltica más pequeña, que se unió a la Unión Europea (UE) en 2004 y adoptó el euro en 2011, lleva más de 20 años afianzando un ecosistema digital que permite a sus ciudadanos interactuar con el sector público a golpe de click. Desde pagar impuestos a registrar empresas, el funcionamiento de su Gobierno electrónico le ha valido grandes reconocimientos. De hecho, actualmente ocupa el puesto número 9 del Índice DESI, informe que realiza la Comisión Europea (CE) para medir el estado de digitalización de sus miembros. Paralelamente, ha ido desarrollando fuertes capacidades de seguridad que le han llevado, por ejemplo, a albergar en su capital, Tallin, el Centro de Excelencia de Ciberseguridad de la OTAN desde 2008.
Es más, el origen de este organismo tiene su germen en un ciberataque. Unos meses antes, el país, que perteneció a la Unión Soviética y ratificó su independencia en 1991, sufrió la que ha pasado al imaginario colectivo como la primera guerra de Internet. El Gobierno decidió trasladar la estatua El Soldado de Bronce, instalada por las autoridades soviéticas en 1947 y que conmemora la liberación de Tallin en la Segunda Guerra Mundial, a un cementerio militar. Esto derivó en división entre la ciudadanía, altercados y protestas y, en los posteriores días, en un alud de incidentes cibernéticos, procedentes de Rusia, que mediante botnets tumbaron páginas de bancos, medios de comunicación y organismos estatales.
“Este hecho es interesante, porque no aprendimos ninguna lección”, dice Kersti Kaljulaid, presidenta de Estonia desde 2016 hasta 2021. “Quiero decir que ya estábamos bastante preparados y que sabíamos que estos ataques son posibles, como en cualquier empresa privada que tenga acceso a Internet”. Lo que sí que cambió, apunta, “es que de repente empezamos a tener relaciones y socios […] Lo que llevó a la OTAN a establecer el centro de excelencia en nuestro país y a declarar que lo cibernético es un dominio. Aprecio mucho este trabajo porque somos un país muy pequeño y valoramos realmente el estado de derecho nacional e internacional. Siempre queremos estar seguros de que, al actuar, nos movemos también en un terreno seguro legal”. De este modo, concluyó un incidente que aisló digitalmente al país hacia el exterior pero que, de puertas para adentro, pudo mantener sus sistemas en funcionamiento. "Yo misma me encontraba fuera y no podía acceder”, recuerda.
Kaljulaid, que también formó parte del Tribunal de Cuentas Europeo como representante de la geografía y ahora cuenta con su propia fundación para el avance de la democracia, la libertad de expresión y la digitalización, atiende a CSO en el marco del Foro Global de Ciberseguridad que se ha celebrado en Arabia Saudí reuniendo a los principales expertos y nombres propios de la industria. Lo hace para explicar las claves del éxito en ciberprotección de Estonia. Esas que hacen al país liderar, también, numerosos ránkings internacionales. Uno de los más prestigiosos, el Índice Nacional de Ciberseguridad Cibernética (NCSI), se elabora anualmente dentro de sus fronteras.
"Somos un país muy pequeño y valoramos mucho el estado de derecho nacional e internacional"
En primer lugar, indica sobre la madurez cibernética, “el año pasado tuvimos entre 2.000 y 3.000 ataques graves, pero solo uno tuvo impacto en la vida real”, dice en referencia al hecho de que la gente no pudo momentáneamente comprar billetes de tren. “Esto demuestra que estamos haciendo algo bien”. Por otra parte, prosigue, Estonia ha desarrollado su estrategia de ciberseguridad, a la par que ofrece su servicio público online, como cualquier compañía privada. “Esto no nos diferencia mucho, como Gobierno, de Google o Amazon”. Y la tercera razón de su éxito es que “hemos elegido una forma muy transparente de hablar de los incidentes y los riesgos. La sociedad solo se defiende si sabe que está siendo atacada”.
Por imposible que parezca, y para abrochar esta realidad, Estonia cuenta con un fuerte músculo en el ecosistema startup, con un visado especial para trabajar en el sector para cualquiera que tenga un doctorado y quiera establecerse allí. “Por cierto, hay muchos españoles que viven en Estonia”, bromea. “Y tenemos 10 unicornios, el doble que Estados Unidos per cápita”. Además, se felicita por el ‘ejército’ de voluntarios que ostenta. “¿Has visto alguna vez a una comunidad voluntaria ofrecer un servicio que esté desactualizado? No, no es posible. Esto, en cierto modo, significa que nuestra oferta de servicios hacia los ciudadanos se innova constantemente”.
Una situación geopolítica compleja
Preguntada por la situación actual de España, Kaljulaid responde que “francamente” Estonia comparte todas sus prácticas e información al respecto. “Pero nos hemos dado cuenta de que en algún momento tiene que haber algo que impulse a un gobierno a comunicarse de una manera más digital con su gente, lo que en paralelo también conducirá a una mejor ciberseguridad”. Y, pone el ejemplo de Ucrania: “Lleva ocho años preparándose para esta guerra. Entre los preparativos también estaba el establecimiento de un ecosistema digital, imantando el modelo estonio, para que el Gobierno y los ciudadanos se comuniquen. Y lo han utilizado para seguir dando servicio, registrando empresas y que estas paguen impuestos, por ejemplo. Por lo tanto, se han dotado de resiliencia. Las razones para llevar esto a cabo por otros países pueden ser diferentes, como las financieras. Después de todo, los servicios en línea son más rápidos y baratos por definición. Como la recaudación de impuestos; si la gente no tiene que ir con papeles a todas partes es más feliz a la hora de pagar. Y esta es la diferencia con aquellas personas que todavía viven en países donde no existe un código tributario electrónico”.
Sobre el conflicto, teniendo en cuenta el pasado reciente de Estonia y su situación fronteriza con Rusia, Kaljulaid afirma que no ha cambiado la estrategia porque tampoco ha variado la cantidad de ataques hacia sus sistemas cibernéticos. “Lo que sí ha crecido es el hacktivismo. Tan pronto como nuestro Gobierno toma una decisión que no le gusta a nuestro vecino nos lo hacen saber. De esta manera, por ejemplo, pueden decir que están en contra de que los coches con matrícula rusa no pueden entrar en la UE. Y, ahí sí se ve un aumento en los incidentes. Es algo curioso, pero nada especial ni más peligroso”.
"En algún momento tiene que haber algo que impulse a un gobierno a comunicarse de una manera más digital con su gente"
En este sentido, sí que estima que uno de los mayores peligros para las democracias es el de las fake news. “Aquí es donde entran en juego la transparencia, la apertura y la educación, reflexiona. “Se siembran semillas de desconfianza en Internet, algo que ya estuvo muy presente en las elecciones de Estados Unidos en 2016. Pero, reconocer que estos riesgos existen aumenta la concienciación […] El problema es cuál es la fuente confiable. Y me gustaría decir que son los medios de comunicación, aquellos donde la verificación de datos debería ser rígida. Pero todos sabemos que, en realidad, también caen en los mismos trucos. Confío en la mejora de nuestro espacio mediático y que la gente realmente sepa que si leo un artículo en mi diario de referencia se trata de algo real”.
Concienciar en Oriente Medio
Kaljulaid habla con CSO desde Arabia Saudí, lugar de encuentro internacional del Foro Global de Ciberseguridad. Asegura que su papel allí pasa por la concienciación, también en Oriente Medio. Aunque, expresa, no podemos eludir la pregunta de con quién podemos permitirnos cooperar en el mundo actual. “Mi sugerencia es siempre que confíen en las naciones libres y democráticas porque respetan el estado de derecho. De este modo nunca descubrirás que tu dependencia de ellos será utilizada en tu contra para obtener una ventaja geopolítica”.
Así, concluye, “creo que Arabia Saudí es un país estable de Oriente Medio, aunque tenemos muchas preguntas sobre si realmente compartimos valores. Y a veces sabemos que no. Así que también tenemos que ser directos en nuestras discusiones. Cuando estamos para promover los derechos de las mujeres aquí, sabemos que están dando pasos en la dirección correcta. Por eso diría que vale la pena el esfuerzo de estar aquí presentes y tratar de mantener a Arabia Saudí como un socio, en lugar de un país con el que no podemos trabajar”.
