Stéphane Duguin: "Me preocupa mucho más la radicalización de la derecha que la islamista"

—Me he dedicado a la aplicación de la ley toda mi vida —resumió—. He dedicado años de mi carrera a la Europol, antes de unirme al CyberPeace Institute. En la Europol tuve el honor de diseñar y liderar el equipo del Centro Europeo de Ciberdelicuencia. Pude diseñar y liderar la entidad europea que coordina la lucha contra la propaganda del Estado Islámico y Al Qaeda, y luego diseñé el centro de innovación de la agencia. Siempre he estado a medio camino entre la aplicación de la ley y el desarrollo tecnológico que lo permite.

—¿Cómo era su trabajo?

—En el Centro Europeo del Cibercrimen perseguíamos el abuso sexual de menores en internet. Veíamos cómo se practicaba y cómo se producía. He trabajado con lo peor de la propaganda del Estado Islámico. Se puede imaginar. Asesinatos. Decapitaciones. Quemaban viva a la gente.

—¿Aquello le enseñó algo?

—Le puede sorprender —advirtió—, pero la Europol no tenía ningún departamento psicológico para cuidar a quienes estaban expuestos a esos materiales. Lo primero que aprendí es que no se trataba sólo de mejorar las capacidades técnicas para las investigaciones. Se trataba también de pensar en cómo proteger a quienes se ganan la vida con esto. Aprendí que, si no los protegíamos, ellos no protegerían a nadie.

Duguin ya no sirve en la Europol, pero como todos los policías se escabulle de las cuestiones sentimentales. Ahora es consejero delegado de la oenegé CyberPeace Institute, así que se ocupa de la protección altruista de otras oenegés e instituciones incapaces de protegerse adecuadamente por sí mismas, al rastreo de quienes asaltaron hospitales durante la pandemia o de quienes atacaron Ucrania incluso antes de que los tanques rusos violaran sus fronteras.

¿Es muy distinto a lo que hacía?

No tanto. Necesitas adaptarte igualmente a la mente criminal, y en todo este tiempo he aprendido la importancia de explicar al mundo cómo funciona el ciberespacio y lo que hay en juego. No hay mucha gente que sepa esto, pero gran parte de la infraestructura, lo que mantiene las luces encendidas, no depende de ningún servicio público, ni siquiera de compañías privadas. La sociedad civil, personas que manejan el código abierto, es la que permite que todo funcione. Si dejara de hacerlo, tendríamos un internet muy distinto.

Stéphane Duguin, en el vestíbulo del Hotel Catalonia. David Morales El Español

¿Y quiénes operan como sus contrarios?

Hay grupos criminales a la pesca de dinero. Hay actores estatales con intereses geopolíticos. Hay grupos criminales que trabajan para actores estatales. Hay individuos que actúan por su cuenta contra otros individuos. Y no es que todos ellos vayan de la mano, claro, pero todos ellos operan al mismo tiempo.

Me pregunto si, del mismo modo que la Guardia Revolucionaria iraní instruye y arma a los terroristas de Hamás y Hezbolá, el régimen ruso, por ejemplo, instruye y arma a cibercriminales.

No tengo pruebas para afirmar nada parecido. Pero sí tenemos documentadas muchas campañas de ciberataques desde la invasión de Ucrania de 2022. Desde entonces se han disparado. Hemos registrado más de 120 actores amenazantes activos. Hay conexiones entre estos actores, que intercambian herramientas y conocimientos, coordinan sus acciones. ¿Y sabe quiénes son los más afectados? No son los ucranianos. No son los rusos. Es el resto del mundo. España es, de hecho, uno de los países atacados en el contexto de la invasión.

Vi uno de sus informes sobre España. Incrementaron extraordinariamente los ataques el 23 de julio, el día de las elecciones generales.

Las autoridades europeas, entre ellas las españolas, están muy, muy al tanto de las amenazas, y por eso invierten mucho para comprenderlas. La cuestión es cuán efectivas son. Es difícil ser efectivo si las capacidades internas no se adaptan a las capacidades de los atacantes. No veo falta de voluntad. Pero los Estados tienen servicios de Inteligencia, fuerzas del orden, poder judicial, equipos de ciberseguridad, y con diferentes jefes, diferentes presupuestos y diferentes agencias es difícil cooperar.

Stéphane Duguin, en el Hotel Catalonia. David Morales El Español

Duguin empleó, más adelante, una frase definitoria: “El crimen evoluciona a la velocidad de la luz, y nosotros no replicamos siquiera la velocidad de la ley”. Todo cambia rápidamente, dijo, cambian los enemigos y cambian las amenazas. “Mi oficio exige que seas humilde y curioso”, continuó. “No te concede la autoridad de afirmar que serás un experto eternamente”. No puedes cerrar los ojos y descansar, dijo, sin compadecerse. Y está bien: siempre hay algo que aprender, puedes ser un experto este lunes y un ignorante al siguiente. Pero si todo cambia, pensé en voz alta, todo es posible, como en el cine.

¿Y cómo de probable es un ataque que bloquee nuestro mundo: el acceso a la luz, al agua, al banco?

Me gusta la pregunta. Abarca mucho. Pero es necesario que marquemos una frontera entre la fantasía y la realidad. Es importantísimo, porque la propia naturaleza del mundo cíber dificulta que alguien se convierta en un poder central capaz de amenazar a todo lo demás, lo que no quita que haya grupos capaces de provocar daños enormes. No veo ningún escenario realista en que un villano, como los de James Bond, ejecute un plan maestro para tumbar hasta el último ordenador. Si llega un día del ciberjuicio final, algo así como un ciberarmaggedon, dudo que sea centralizado. Es más probable que venga de la convergencia de distintas amenazas.

Ya veo.

Pero ahora aparque la fantasía y centrémonos en la realidad. Preste atención a lo ocurrido con WannaCry o NotPetya. Le hablo de dos de los mayores ciberataques de la historia. En ambos casos, los ataques tuvieron un impacto internacional y golpearon infraestructuras críticas, y sin embargo diferían en sus propósitos. Uno nació para destruir y otro para robar, y los dos tuvieron implicaciones para los ciudadanos. No podían acceder al médico para curarse, no podían desplazarse o no podían usar el dinero del banco.

"Rusia no creó las vulnerabilidades de nuestras democracias, sólo las explota"

Y los ciudadanos sabemos muy poco sobre ellos.

Existe un gran desconocimiento que no vamos a resolver por más que publique lo que hablamos en este momento. La ciberseguridad es aburrida. Para la mayor parte de la gente consiste en cambiar de contraseña, y eso es un fastidio. Esta mentalidad va de la mano de una idea: como la ciberseguridad no se toca, no existe. Pero, si uno lo piensa bien, lo que sí existe es el acceso a la comida, al agua, a la luz, a la educación, al banco. Todo eso existe y todo eso está digitalizado, y todo eso está amenazado. Este es el punto desde el que explicar las cosas. Si hablamos de lo cíber de otro modo, perdemos a la gente. No lo entienden.

Así que propone…

Hablar del acceso al agua potable. De poder o no poder calentar tu casa. De poder o no poder llenar el depósito. De poder o no poder entrar en tu cuenta bancaria. Hable de eso. Muchos le responderán: “¿Es que acaso eso está en peligro?”. Recuerde la pandemia. En el CyberPeace Institute traqueamos muchos ciberataques. Durante la primera ola, en marzo de 2020, registramos al menos un ataque diario, ¡uno diario!, a algún hospital del mundo. Imagine que una banda criminal con tipos encapuchados asaltara a punta de pistola un hospital, destrozara los ordenadores y se ofreciese a repararlos, justo después, a cambio de un rescate. Sería un notición, ¿no cree?

Se lo aseguro.

Pues esto sucedía a diario en el ciberespacio y a nadie le importaba. ¿Por qué? Porque seguíamos hablando de lo cíber en lugar de hablar de seguridad sanitaria.

Stéphane Duguin, durante la entrevista. David Morales El Español

Basta con acercarse a las encuestas del CIS del pasado enero para comprobar que la sanidad era la segunda preocupación de los españoles, sólo superada por la crisis económica. La seguridad física y cibernética, en cambio, no aparece en ninguna parte. Las preocupaciones del CNI son otras. En su último informe, la ciberseguridad y la desinformación son la primera amenaza para la seguridad nacional. La pandemia demostró el poder de las mentiras y manipulaciones para radicalizar a millones de europeos. La guerra total de Rusia contra Ucrania dio empaque a quienes avisaron durante años sobre el uso de estas maniobras, por parte de los enemigos de Occidente, como un instrumento de guerra.

—Estos ecosistemas buscan el caos —explicó Duguin—. Ya sean Estados, actores patrocinados por Estados o actores abiertamente leales a Estados. Buscan el caos y no necesitan coordinarse. No buscan algo extremadamente específico. Se limitan a mover todas las piezas posibles al mismo tiempo, y es una parte difícil de repeler desde la parte receptora. Pero ese no es el problema.

¿Cómo?

El problema es tener una sociedad tan polarizada. Para que la desinformación funcione a esta escala, necesitas mucha gente por la labor de creérsela. Es responsabilidad de los receptores impedirlo. ¿Qué ha ocurrido en nuestras democracias en los últimos treinta años para que historias tan locas tengan tanto eco, apelen a los corazones de nuestros ciudadanos y los movilicen? Esa vulnerabilidad no es una creación de Rusia. Rusia simplemente la exprime.

"Sí, nuestras democracias están bajo amenaza porque nuestras sociedades están polarizadas"

Durante años hablamos de los procesos de radicalización islamistas, pero ¿hay otros procesos, dentro de nuestras democracias, que le merecen la misma preocupación?

La radicalización de la derecha es, a mi juicio, mucho más preocupante que la islámica. Mucho más. Y no estoy hablando del resultado final de sus amenazas y el número de muertos que deja en un ataque terrorista. No me haga decir lo que no quiero decir. Mire, si hace una ecuación entre el volumen de las amenazas, los recursos destinados a combatirlas y la capacidad técnica para contrarrestarlas, es mucho más problemática. Usted sabe que he trabajado rastreando propaganda durante muchos años, atrayendo talento para la tarea, desarrollando tecnologías, negociando con el sector privado para tumbar ciertos contenidos. Pues bien, es muchísimo más sencillo cuando se trata de los yihadistas que de la extrema derecha.

¿Por qué?

Porque los islamistas tienen grupos identificables, incorporados a listas terroristas en los que puedes centrar la acción, y hay una cantidad enorme de estudiosos que los conocen muy, muy bien. Cuando se trata de la extrema derecha, te topas con una constelación de grupos poco estudiados que usan plataformas y una jerga que no son convencionales. Hay que tener en cuenta lo que cuesta encontrar la tecnología para acceder al contenido, detectarlo, contactar con la plataforma para eliminarlo, encontrar a los expertos que aportarán información valiosa, en grupos que se expanden en muchas lenguas distintas… Con la derecha es mucho más complicado, mucho más grande y mucho más preocupante porque estos grupos están íntimamente relacionados con partidos políticos europeos. Y a menudo es difícil navegar la frontera retórica entre lo que es un grupo terrorista de extrema derecha y lo que es, simplemente, un grupo político más de extrema derecha.

Stéphane Duguin durante la entrevista. David Morales El Español

Y no hemos conocido alcanzado la cima del problema.

No, no, no, no. Le pongo un ejemplo. Coordiné una unidad de respuesta en tiempo real durante la matanza de Christchurch, en Nueva Zelanda. [En 2019, el terrorista Brenton Harrison Tarrant asaltó dos mezquitas en un día y asesinó a 51 personas. Retransmitió el atentado en directo]. Cuando la señal en directo se diseminó por internet, mi equipo trató de localizar todos los puntos de acceso para tumbarlos. Lo que descubrimos fue muy interesante. Era un caso de libro de extrema derecha. Descubrimos la dificultad de localizar dónde lo iban a enlazar. No eran redes que conociéramos bien. Eran distintas a las yihadistas. Luego descubrimos un montón de comunidades que, por defecto, ni siquiera se consideran terroristas. Se llaman a sí mismos shitposters [jerga de internet que significa, literalmente, “publicadores de mierda”]. Estos usaron su fuerza para mantener el contenido vivo en internet. Tenías el vídeo difundido por la extrema derecha, por un lado, y por los yihadistas, llenos de ira y clamando venganza, por otro.

¿Y los shitposters?

Los shitposters multiplicaron esa difusión. Pero no sólo ellos, también los medios que hablaban de ello. Y en esa situación nos encontramos, tratando de coordinar acciones en todas partes para tumbar el contenido.

"Con la proliferación de actores en el ciberespacio, ya nadie sabe realmente quién está detrás de un ataque"

Así que usted cree que nuestras democracias están bajo amenaza...

Sí, nuestras democracias están bajo amenaza porque nuestras sociedades están polarizadas. Y es un año con muchas elecciones en las que pueden cambiar los bloques políticos. La interconexión provoca que los ciudadanos estén muy expuestos a la influencia extranjera en ecosistemas que, a veces, las autoridades públicas del país que sea ni siquiera manejan. Esto crea amenazas únicas contra el pensamiento crítico, la curiosidad por el otro, la capacidad de debate: contra todo lo necesario para que una democracia siga siendo una democracia.

De un tiempo a esta parte, los norteamericanos y los europeos se acostumbraron a la idea de las injerencias extranjeras: por el ascenso de Trump, por el triunfo del Brexit, por el desafío del procés. Pero las noticias no acaban en la desinformación y la propaganda. A finales de enero, el director del FBI informó a los congresistas estadounidenses sobre la multiplicación de los ciberataques chinos sobre infraestructuras críticas del país: plantas de tratamiento de agua, redes eléctricas, gasoductos, oleoductos, sistemas de transporte.

“Desconozco este caso, pero algo que ha empeorado en los últimos tiempos es la pérdida de confianza entre países”, comentó Duguin. “Incluso en la era de la proliferación nuclear los diplomáticos mantuvieron sus propios canales de comunicación. Siempre podías encontrar a alguien al otro lado para interpretar una acción correctamente. Pero, con la proliferación de actores en el ciberespacio, ya nadie sabe realmente quién está haciendo qué. Se vuelve extremadamente difícil que un Estado pregunte a otro si está detrás de algo. Es muy fácil negarlo, y el modelo multilateral de la ONU no es efectivo en este momento”.

Y hay algo más, añadió: “Muchas de estas acciones ni siquiera son legalmente definibles como ataques. Muchas de estas acciones buscan afincarse en tu red para estar listos si algún día deciden atacar, y eso es aterrador. Significa que tienes un actor que busca vulnerabilidades dentro de tu sistema, algo que requiere de muchos recursos y dinero. Cuando encuentra tus vulnerabilidades, no cuenta nada, se sienta y espera. Implanta el malware, no toca nada: se limita a estar. Te mira. Te mira desde muy, muy cerca”.

—Así que, de alguna manera, estos actores están preparándose para atacar.

—Eso es —zanjó—. Y es muy preocupante.

Stéphane Duguin, en el Hotel Catalonia. David Morales El Español

En Estados Unidos, al tiempo, hay una campaña política feroz contra TikTok, al considerar que esta red social china es un caballo de Troya de Xi Jinping. ¿Usted también la ve como una amenaza?

Todavía espero pruebas que lo demuestren. Estoy más preocupado por el daño que puede causar en la salud mental de un joven que se pasa diez horas pegado al teléfono. No dispongo de la información para calificar de amenaza o no a TikTok, ni más ni menos que a otras compañías del sector. Hago una lectura geopolítica, con bloques actuando en oposición al otro.

Lo ve como una dinámica de guerra fría.

Es la lectura que hago, sí.

Eso explicaría que se hable tanto de TikTok y tan poco de X [antes Twitter] desde la adquisición de Elon Musk.

Me parece una idea muy acertada. Son dos casos idóneos, por cierto, para recordarnos que no son espacios públicos. Tenemos que comprender que pertenecen a individuos o grupos, de modo que, cuando usamos su espacio, nos sometemos a las reglas de su reinado. Y cuando cambian las reglas, o cuando cambian de rey, debemos plantearnos una pregunta: “¿Debería quedarme o será mejor marcharse?”. En el caso de X, su actividad es irresponsable: no toma medidas reales contra la desinformación y las estafas, ni contra el contenido ilegal. Supongo que, por esa razón, la Unión Europea decidió pasar de confiar en la autorregulación de la plataforma a… [imita el sonido de la guillotina] la regulación. El debate entre posiciones opuestas sólo acaba de comenzar. Qué se supone que debe ser internet, ¿un espacio a regular o un espacio de libertad absoluta para cualquiera?