Si pensamos en Infraestructura Crítica en términos de seguridad, sin duda las instalaciones nucleares, ya sea que se traten de energía o armas, se encuentran entre las primeras de la lista. Imaginen entonces lo que pudo significar para el gobierno estadounidense que los principales medios de prensa europeos publicaran titulares como el de este artículo.

En efecto, a fines de mayo, la prensa europea replicó la investigación de Bellincat, un “colectivo internacional de investigación y periodismo independiente” con sede en Holanda. La misma daba cuenta de un grupo de militares que habían filtrado “por accidente” información clasificada vinculada a un tema tan sensible a la comunidad internacional de desarme nuclear como a la ciudadanía y periodismo de investigación europeos: las armas nucleares estadounidenses en bases militares de Holanda, Bélgica, Alemania, Italia y Turquía.

Armas Nucleares en Europa

Las instalaciones de armas nucleares estadounidenses en Europa datan de la época de la Guerra Fría y forman parte de la política de defensa de la OTAN. EE. UU. retiró muchas de estas armas después de 1991, pero según los expertos en desarme nuclear, todavía quedan alrededor de 150 bombas de gravedad con carga nuclear, “B-61“, en los cinco países de la Unión Europea. Este ha sido uno de los máximos secretos militares mejor guardados a pesar de la insistencia del periodismo europeo y del silencio oficial de los gobiernos involucrados. En reiteradas ocasiones los gobiernos de Alemania, Bélgica y Holanda, ante la presión de sus ciudadanos, han intentado sin éxito revertir esta situación, imitando aL Reino Unido.

En 2008 EEUU retiró cerca de 100 bombas con carga nuclear que se encontraban en la Base Aérea de Lakenheath, en el Reino Unido, tras una ola de protestas que se extendieron por casi 5 años en proximidades a la mencionada instalación militar.

En tiempos de paz, las armas nucleares estadounidenses estacionadas en Europa se encuentra bajo la custodia de las fuerzas militares de EEUU, bajo un sistema de doble código que se activa en tiempo de guerra. En ese momento ambos países deben proceder a la aprobación del uso de las mencionadas armas.

Cerca de 20 bombas con carga nuclear se encuentran estacionadas en cada una de las siguientes bases aéreas: Büchel de Alemania (1), Kleine Borgel de Bélgica (2) y Volkel de Holanda (3). Otras 70 bombas se encuentran distribuidas entres las bases aéreas de Aviano (4) y Ghedi Torre (5) en Italia.

La Base Aérea de Incirlik (6) en Turquía es la sexta localización de estas armas que más ha sido cuestionada en los últimos años, dado que la separan no más de 70 Km de Siria y se encuentra ubicada en una región de extrema volatilidad. Incluso en 2019 el presidente turco Tayyip Erdogan llegó a amenazar con el cierre definitivo de esta instalación.

La comunidad internacional de desarme nuclear entiende que esta situación entra en conflicto con las obligaciones asumidas por los países signatarios del Tratado de No Proliferación Nuclear (TNP). En efecto, este tratado en sus artículos 1 y 2 prohíbe la transferencia de armas nucleares a estados no poseedores de estas armas, categoría en la que se encuentran todos los países involucrados. Pero para EEUU la transferencia y control de estas armas sólo se haría efectiva en caso de guerra, una situación en la que el Tratado no sería aplicable. En 2018, en la Cumbre OTAN, la alianza declaró “la postura disuasiva de esta organización se centra en las armas nucleares desplegadas en Europa.”

Las críticas también hacen foco en el tipo de arma en cuestión, más específicamente las bombas B-61. Se trata de armas tácticas, de menor tamaño y mayor “empleabilidad” que las armas estratégicas. Estas características, sumadas a el elevado número de disponibilidad y menor sofisticación pueden hacerlas especialmente atractivas para los grupos terroristas.

Las bombas nucleares estadounidenses de tipo B-61, tienen unos 30 años de antigüedad y han llegado al final de su vida útil. Serán reemplazados por el nuevo modelo B61-12, que a diferencia de las anteriores es guiada, y por lo tanto permite alcanzar objetivos con mucha más precisión. El programa de modernización de estas armas representó un costo de 10 millones de dólares para EEUU y la llegada de las nuevas versiones se prevé para 2022.

Filtración de Datos de Bases Europeas con Armas Nucleares Estadounidenses

Según la investigación de Bellingcat, los soldados estacionados en bases militares europeas han recurrido a aplicaciones de aprendizaje con tarjetas (“Flashcards”) para memorizar los exigentes protocolos de seguridad que se aplican a este tipo de instalaciones militares. E inadvertidamente han filtrado online, durante casi una década, información altamente sensible sobre las bases militares que albergan el arsenal nuclear de EE. UU.

Las aplicaciones de tarjetas como Cheng, Quizlet o Cram, son una herramienta útil en los procesos de aprendizaje y muy populares. El problema es que todas las tarjetas creadas y almacenadas por los usuarios en estas aplicaciones están disponibles de manera pública. Como lo menciona Bellingcat, descubrir la ubicación de las armas nucleares de EE. UU fue tan fácil como buscar en Google los nombres de las posibles bases aéreas junto con palabras como “bóveda”, “PAS” (acrónimo para “refugio de protección para aviones” o “WS3” ( acrónimo para “Almacenamiento de armas y Sistema de seguridad”).

No es la primera vez que la ubicación de estas armas nucleares se filtran. En 2013 el ex-Primer Ministro holandés, Ruud Lubbers, dijo en un documental de National Geographic que alrededor de 20 bombas nucleares de EEUU se encontraban en la Base Aérea Volkel.

En 2019 el periódico De Morgen de Bélgica accedió a una copia del informe “¿Una nueva era para la disuasión nuclear? Modernización, Control de Armas y Fuerzas Nucleares Aliadas” elaborado por un senador canadiense del Comité de Seguridad y Defensa de la OTAN. En el mismo se mencionaba cada una de las bases aéreas en los cinco países europeos donde se encuentran las armas estadounidenses. El informe fue rápidamente reemplazado y el senador en cuestión se limitó a declarar que la primer copia era sólo un borrador.

Sin embargo en esta oportunidad, si bien las tarjetas fueron removidas rápidamente, la información clasificada que se filtró no se refería solamente a la localización de las bases aéreas europeas con armas nucleares. También incluía:

  • identificación de las instalaciones que almacenan armas nucleares
  • código de alarma para el personal de guardia
  • frecuencia de patrullas de vigilancia
  • cantidad y posición de las cámaras de seguridad alrededor de la base
  • descripción detallada de las credenciales de acceso a zonas restringidas de Incirlik, Volkel y Aviano 
  • instrucciones para definir usuarios y contraseñas
  • procedimientos y protocolos de comunicaciones
  • información sobre sistemas radar y otros sensores
  • otros datos básicos como definiciones y listado de acrónimos.

En el curso de la investigación, Bellingcat pudo comprobar que las tarjetas asociadas a las aplicaciones habían sido creadas por personal militar que prestaba servicio en las seis bases aéreas mencionadas. Algunas de estas tarjetas habían estado visibles al público online desde 2013 y otras brindaban detalles de procesos de aprendizaje realizados en abril 2021.

Bellingcat agrega que un vocero de la Fuerza Aérea de EEUU confirmó que tenían conocimiento del uso de estas aplicaciones por parte de su personal, pero que la institución de ningún modo había recomendado su empleo. También señaló que desconocían si el Departamento de Defensa o el Departamento de la Fuerza Aérea había efectuado una evaluación sobre el empleo de ayudas de estudio disponibles online.

A modo de ejemplo incorporamos algunas de las imágenes del Informe de Bellingcat, que corresponderían a dos tarjetas creadas en 2019 con la aplicación Chegg. En la primera se pregunta cuántas instalaciones del tipo WS3 (para almacenamiento de armas) existen en la base aérea Volkel de Holanda y la respuesta consignada es 11. En la segunda tarjeta, se consigna que 5 de las 11 instalaciones, a las cuales se las identifica con un número de tres dígitos que fue oportunamente censurado por Bellingcat son “calientes”, revelando cuáles contenían armas nucleares.

Bellingcat
¿Cuáles fueron las Aplicaciones de Tarjetas Utilizadas por Personal Militar?

CHEGG
Aplicación Gratis para iPhone, iPad en Android, iOS o versión Web.
Permite crear tus propias tarjetas o acceder a las tarjetas preformateadas de Quizlet.
Se puede compartir notas y enviar las tarjetas a otros usuarios. Permite copiar fórmulas y ecuaciones a las tarjetas propias. Muy utilizada para información científica.
Empresa norteamericana creada en 2005, California. A marzo 2020 registraba casi 3 millones de suscriptores.

QUIZLET
Aplicación Gratis para iPhone, iPad en Android, iOS o versión Web. Existe una versión paga de tarjetas pre formateadas para temas especiales. Permite efectuar búsquedas de tarjetas creadas por otros usuarios en una base de datos con más de 13 millones de registros. A abril 2021 registraba 350 millones de juegos de tarjetas creadas por alrededor de 50 millones de usuarios activos.

CRAM
Aplicación Gratis para iPhone, iPad en Android, iOS o versión Web.
Similar en prestaciones a las aplicaciones anteriores. Sus usuarios han creado alrededor de 68 millones de tarjetas.

Amenaza interna y Conciencia Informativa

En este punto no hace falta agregar más información para comprender cuán delicado es este tipo de situaciones en el ámbito de la defensa y de las relaciones internacionales. La ocurrencia de este tipo de incidentes nos permite centrarnos en dos temas que consideramos debemos destacar: la Amenaza Interna y la Conciencia Informativa.

La Amenaza Interna (“Insider” en inglés) es una flagelo del que ninguna organización está a salvo, pero su relevancia ha estado bastante subestimada. De hecho recién con los eventos de ciberseguridad generados por el incremento de conectividad, que necesitaron las organizaciones durante la pandemia COVID-19 para asegurar la continuidad de sus operaciones, se registró una preocupación genuina por evitar este tipo de incidentes y diseñar estrategias ad hoc.

  • 60% de las filtraciones son causadas por “Insiders” (Goldstein 2020)

  • 61% de las organizaciones sufrieron un incidente en 2020 (Bitglass 2020)

  • 68% de las organizaciones han reconocido un aumento de incidentes durante 2020 (Cibersecurity insiders 2020)
  • Cuando hablamos de ciberseguridad, a menudo pensamos en piratas informáticos externos a las organizaciones que intentan acceder a datos privados y confidenciales. Sin embargo, las amenazas de personas con información privilegiada se están convirtiendo rápidamente en una grave preocupación entre las empresas. La Amenaza Interna o “Insider” tiene lugar cuando una persona, perteneciente o de alguna manera relacionado con una organización, con acceso autorizado emplea ese acceso para generar un impacto negativo, por error, negligencia o intencionalidad expresa de causar daño, en la información o los sistemas de información.

    En el caso que te presentamos, el personal militar seguramente estaba informado y debidamente capacitado en los protocolos de seguridad de la información relacionada con las instalaciones militares y las armas nucleares. Sin embargo esto no evitó la filtración de datos sensibles como ya mencionamos. Al usar las aplicaciones de tarjetas, aparentemente no seleccionaron el modo privado, por lo que su contenido estuvo siempre en dominio público y usaron sus nombres completos, e incluso algunos de ellos asociaron la misma foto de perfil que tenían en su cuenta de LinkedIn, lo que facilitó la identificación a los periodistas.

    Todo esto sin mencionar que las aplicaciones utilizadas ya han sido objeto de ciberataques por lo que ello constituye un canal más por donde se pudo haber filtrado información. En efecto, por ejemplo la aplicación Chegg sufrió en los últimos años tres ciberataques. Dos de ellos en 2018 que resultaron en la pérdida de 40 millones de registros de usuarios que incluían nombres, correos electrónicos, instrucciones de envío, nombre de usuario y contraseñas. El último incidente ocurrió en abril 2020 robaron datos de 700 empleados y exempleados de Chegg, lo que multiplicaba las puertas de entrada disponibles para acceder a la plataforma. No en vano algunos expertos se preguntaban cuál podría ser el interés de hackear una plataforma educativa tantas veces. Probablemente el incidente en las bases militares europeas sea la respuesta.

    Para algunos expertos, los hallazgos de la investigación de Bellingcat muestran una “violación flagrante” en las prácticas de seguridad nuclear de Estados Unidos, razón por la cual este incidente no sólo podrá tener consecuencias para los involucrados sino que además agrega una complicación inesperada a las relaciones internacionales del gobierno de EEUU, sin contar las pérdidas económicas devengadas de cambiar y fortalecer todos los protocolos de seguridad de las instalaciones militares europeas donde EEUU almacena armas nucleares.

    El segundo tema a destacar es la Conciencia Informativa, una aptitud profesional no siempre conocida y mucho menos ejercida por el periodismo. La avidez por la primicia y la información que fomentan los medios de comunicación, agravan en la mayoría de los casos el impacto negativo de este tipo de incidentes. Y aún peor, si las organizaciones no responden o solicitan la demora o no publicación de la información, son acusadas de atentar contra la libertad de prensa o expresión.

    Este no fue el caso del medio que realizó la investigación. Bellingcat, un colectivo de periodismo independiente de investigación, informó al Departamento de Defensa y a la Fuerza aérea de EEUU antes de hacer público el incidente. Este acto de Conciencia Informativa permitió a las autoridades involucradas salvaguardar la información filtrada de modo tal que ya no fuera posible su libre acceso. Y de ningún modo afectó la libertad de expresión de Bellingcat que hizo público el incidente y los detalles de la investigación, resaltando los aspectos más sensibles de la filtración de datos pero sin poner en riesgo la seguridad nacional.

    Conclusiones

    La convergencia físico-digital que experimentamos como consecuencia de la evolución tecnológica y su consiguiente aplicación en todas y cada una de nuestras actividades aumenta el espectro de riesgos a los que podemos estar expuestos no sólo como individuos sino como organizaciones. Nada permite predecir que esta tendencia se detendrá en el corto, mediano o incluso largo plazo.

    Como organizaciones, tanto públicas como privadas, debemos extremar las medidas preventivas de este tipo de eventos que, como ya mencionamos, afecta más del 60%. Y, más allá de todas las buenas prácticas de ciberseguridad, la capacitación y concientización del personal y las partes interesadas involucradas pareciera ser por el momento el único camino viable para reducir la incidencia e impacto de este tipo de eventos.

    Como ciudadanos, debemos comprender y aceptar que ninguna de nuestras interacciones con el mundo digital es inocente y la probabilidad de generar un impacto negativo para nosotros o para terceros, se encuentra a sólo un click de distancia.

    Fuentes:
    https://www.bellingcat.com/news/2021/05/28/us-soldiers-expose-nuclear-weapons-secrets-via-flashcard-apps/
    https://www.teiss.co.uk/chegg-third-data-breach/
    https://www.educationalappstore.com/best-apps/6-best-flashcard-apps
    https://cnduk.org/resources/united-states-nuclear-weapons-europe/
    https://www.defense.gov/Newsroom/Transcripts/Transcript/Article/2641449/pentagon-press-secretary-john-f-kirby-holds-a-press-briefing/
    http://news.bbc.co.uk/2/hi/uk_news/england/suffolk/3166118.stm
    https://www.washingtonpost.com/world/2019/07/16/location-us-nuclear-weapons-europe-accidentally-revealed-report-nato-body/
    -https://www.bbc.com/news/world-europe-22840880