Por Raquel Jorge, @RaquelJorgeR Fulbright Fellow (GWU) en Washington DC. Experta en gobernanza y política tecnológica y digital.

La ciberseguridad ha afectado a la comunicación política. En su contenido, pero también en su continente: en la forma de “estrategizar” el mensaje, de dirigirse a la audiencia, de ser no solamente responsable, sino –como se dice en inglés- responsive con lo que se comunica.

Los desafíos actuales a los que se enfrenta la comunicación política son diversos. Y afectan de forma diferenciada a las vertientes de la comunicación política. La Diplomacia Pública –la que asegura la imagen y reputación de un Estado mediante el despliegue de campañas o intercambios culturales y formativos, entre otros- se enfrenta al reto de las operaciones de influencia, o campañas de desinformación. También al de los casos de espionaje político mediante la intrusión de un software malicioso (spyware) que descansa de forma silenciosa en un sistema mientras recopila datos, hasta que es descubierto. Este último caso también ha afectado a la empresa privada, que también busca mantener y garantizar su reputación mediante una efectiva comunicación. Un claro ejemplo, y reciente, es el del ciberataque al Colonial Pipeline, uno de los oleoductos más extensos de Estados Unidos y que transporta alrededor de tres millones de barriles de combustible al día a través de 8,850 kilómetros de Houston a Nueva York. Este oleoducto, de naturaleza privada, recibió un ciberataque por ransomware, es decir: su sistema fue víctima de un secuestro hasta que la empresa no decidió pagar por el rescate.

DILEMAS EN LA COMUNICACIÓN DE CRISIS ANTE CIBERATAQUES

Es aquí donde entra el dilema de la comunicación política cuando existe un ciberataque. Por una parte, las empresas privadas tienen temor de informar a sus clientes y el sector gubernamental de que han recibido un ciberataque por las consecuencias reputacionales, de ingresos y de confianza de los inversores en su negocio. Esto crea un círculo vicioso: las empresas deciden gestionar por su cuenta el ciberataque, pagan por el rescate y, sin embargo, el 80% de las empresas que pagaron por un rescate fueron atacadas de nuevo, y casi la mitad de estas fueron atacadas por el mismo grupo de ciberdelincuentes, según el informe Cybereason Global Ransomware Study publicado por Cybersecurity Ventures. No hay comunicación entre empresas del mismo sector, ni con las agencias nacionales de ciberseguridad, el órgano competente de justicia o las fuerzas y cuerpos de seguridad del Estado encargadas de asuntos cibernéticos o de seguridad de la información.

La otra cara de la moneda es que todavía en muchos países del mundo no existe un marco fijo, continuado y sostenido de coordinación público-privada para intercambiar información, crear Grupos de Trabajo fijos. Sí es el caso español de Red CSIRT.es, o de los Grupos de Trabajo de Higiene Cibernética de la Agencia de Seguridad e Infraestructuras de Ciberseguridad, U.S. CISA, del Departamento de Seguridad Nacional de Estados Unidos. Sin embargo, son más la excepción que la regla. De hecho, incluso en Estados Unidos hubo deficiencias a la hora de comunicar la crisis producida por el ciberataque al Colonial Pipeline: Tras el ransomware, se reveló en una audiencia del Subcomité de Ciberseguridad del Comité de Servicios Armados del Senado de Estados Unidos que el Departamento de Seguridad Nacional no había sido alertado sobre el ataque de ransomware, ni tampoco el Departamento de Justicia había sido informado sobre el pago del rescate, lo que provocó un tenso debate sobre la limitada capacidad de recopilación de información por parte del Gobierno y las dificultades para compartir datos entre los sectores público y privado.

ADAPTARSE O PERECER: NO VALE RESISTIR A LOS CIBERRIESGOS

Como en todas las vertientes de la comunicación política, no vale solo con comunicar. También es necesario generar una cultura, una concienciación de la importancia de la comunicación política para responder a escenarios tanto de crisis como de estabilidad.

Lo mismo ocurre con los efectos que los ciberataques o los ciberriesgos pueden tener en el mantenimiento de la reputación e incidencia de una entidad con otros actores. Algunas formas de ciberriesgos son el hackeo de los correos electrónicos personales de los empleados de una entidad para interceptar datos de la empresa, o el uso desproporcionadoo alterado de mensajes en redes sociales de empleados sobre su vida privada. El acceso a estos datos puede conllevar la ejecución de chantajes o e-mails ultrapersonalizados mediante phishing para simular ser una persona cercana. Tal es el caso del “fraude del CEO”, que tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos para que paguen una factura falsa o haga una transferencia desde la cuenta de la compañía. Un estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía.

Es en este sentido donde aparece la necesidad de que la comunicación ante crisis no sea solamente una tarea de los rangos de Alta Dirección de una entidad, sino también del personal a todos los niveles. Para realizar una comunicación efectiva ante cibercrisis, hay varias medidas necesarias. Primero, establecer y ampliar la formación y talleres continuados sobre cómo evitar riesgos cibernéticos por parte de cada empleado. Si cada uno de ellos y ellas son capaces de tener conocimientos básicos sobre cómo evitar ser víctima de un ciberataque, entonces se pueden reducir las significativas y severas consecuencias de un escenario de este tipo. Actualmente, cuando una entidad privada sufre un ciberataque, alrededor del 66% de ellas pierde ingresos, el 53% sufre daños reputacionales y de marca, el 29% reduce su plantilla a causa de dichas pérdidas, y el 25% de las firmas ha cerrado su negocio por la abrupta pérdida. De ahí, que comunicar hacia fuera y comunicarse hacia dentro –a lo largo de todos los departamentos y niveles de la entidad- sea un activo esencial.

Una segunda propuesta es desarrollar instrumentos de medición a través de indicadores para hacer un análisis de impacto sobre la reputación, la sostenibilidad económica y el efecto en sus usuarios y servicios cuando la entidad sufre ciberataques. Esta actividad no debe ser algo necesariamente desarrollado en el departamento de Seguridad de la Información, sino más bien podría encajarse dentro de los departamentos de Relaciones Institucionales, Asuntos Públicos, Estrategia, Cumplimiento o Comunicación, según se considere más oportuno.

En tercer lugar, y si bien esta propuesta debe ir de la mano de las anteriores, un paso necesario es cambiar la mentalidad de la entidad sobre qué significan los ciberriesgos. El primer cambio es entender que la ciberseguridad no es solamente una dimensión más dentro del organigrama empresarial, sino que es una realidad que permea en todos los departamentos. El segundo cambio se refiere a entender que la ciberseguridad no apela solamente a cuestiones técnicas, sino también a los puntos anteriormente mencionados –reputación, asuntos públicos, cumplimiento de la regulación- así como el estrechamiento de alianzas estratégicas con entidades del mismo sector, o de entidades que pertenecen a otras áreas y que forman parte de la mima cadena de valor de un producto o servicio.

¿Y EN EL MUNDO POLÍTICO?

En el mundo de la geopolítica y de la política nacional, la ciberseguridad también tiene consecuencias significativas en materia de comunicación política. Cuando se crea una noticia falsa, esta se acelera mediante inteligencia artificial (bots que crean hashtags y trending topics en redes sociales) y mediante técnicas cibernéticas puede insertarse más fácilmente en páginas web, enviarse de forma mucho más multiplicada a bases de datos masivas de correos electrónicos, o incluso hiperpersonalizar la noticia mediante asuntos de e-mail específicos.

Los ciberriesgos ponen en jaque el derecho a la información veraz, tanto de esta forma individualizada como a través de operaciones de influencia de nivel macro que buscan desestabilizar la seguridad nacional de otros países. Estas operaciones de influencia pueden ser desarrolladas por grupos de ciberdelincuentes que, con fines de lucro, prestan este servicio a Gobiernos; o directamente por unidades de ciberinteligencia de agencias gubernamentales, que despliegan toda una serie de técnicas, desde la denegación de servicios de la intranet de instituciones como el Pentágono, hasta el robo o secuestro de datos.

Otros ciberriesgos no buscan desestabilizar la seguridad nacional o las relaciones diplomáticas entre dos o más Estados –y para los que hacer comunicación pública de estos hechos cuesta en muchas ocasiones, dada la criticidad y sensibilidad del asunto-, sino que en ocasiones las ciberamenazas afectan a grupos más pequeños, como son las diásporas, el activismo social, el derecho a la libertad de asamblea en protestas en las calles u otros derechos fundamentales. Los apagones intencionados de Internet (mediante técnicas cibernéticas), el control de la información que circula online, la creación de leyes sobre ciberseguridad que criminalizan a ciertos grupos de la sociedad civil, el bloqueo de plataformas y páginas web, o los ciberataques a grupos como las diásporas forman parte de la llamada ‘represión digital’.

En estos casos, la comunicación política no siempre es sencilla. Ni estos grupos suelen tener normalmente las suficientes capacidades digitales para responder a estos ciberataques, ni tienen conocimiento sobre a qué organización pueden recurrir para denunciar este caso –sea esta organización pública, privada o una ONG internacional. La campaña global #KeepItOn, liderada por AccessNow y que representa a 258 organizaciones de 106 países en el mundo, coordina desde una gran organización internacional toda una serie de pequeñas acciones sobre el terreno, como son formar a personas para que monitoreen manifestaciones de represión digital y lo traduzcan en datos.

Todas estas cuestiones plantean retos sobre cómo las instituciones públicas deben responder. Concretamente, la Diplomacia Pública todavía no ha encontrado un equilibrio entre ser “completo” en sus narrativas y campañas públicas y al mismo tiempo conseguir ser “viral”, rápido e inmediato con las audiencias a las que quiere dirigirse. Si antes era capaz de monitorear y dar respuesta a las novedades a través de los medios tradicionales como único embudo de comunicación, ahora la pluralidad –y volatilidad- de las noticias dificultan que la ciudadanía se sienta cercana a las campañas de la Diplomacia Pública. Esta debe adaptarse a una nueva forma de enviar mensajes, a audiencias más jóvenes, y con un estilo, entonación y longitud muy distintos a como se hacía anteriormente. El objetivo es tanto garantizar la credibilidad y legitimidad de esta área de la política exterior de un país, como hacer que su ciudadanía se sienta conectada con su país y evitar mayores cotas de desafección política así como el ascenso de los populismos.

MIRANDO MÁS ALLÁ

Es cierto que hacer que la comunicación ante crisis cibernéticas sea efectiva, por parte de entidades públicas, privadas o sociales, no es algo sencillo. Ni existe la cultura y concienciación de ciberseguridad, ni todavía esta termina de entenderse como un elemento vinculado a la reputación, a la estrategia de incidencia y a la propia confianza entre empleados y Alta Dirección dentro de una entidad.

Sin embargo, es una oportunidad. De la necesidad nace la virtud.

Deja un comentario