25 de abril de 2007, es un día soleado en Tallin, la capital de Estonia. Hace mes y medio que la primavera ha iniciado y el país vive un clima de tranquilidad. Sin embargo, el ambiente político se ha mantenido tenso desde comienzos de año e indica que una crisis social está a punto de estallar. ¿El objeto central del conflicto? El Monumento a los Libertadores o Soldado de Bronce, ubicado en la Plaza Tõnismägi, en el centro de la ciudad.

Desde la independencia de Estonia de la Unión Soviética, en 1991, el monumento ha sido objeto de polémica. Para los habitantes de origen ruso representa un motivo de orgullo que dignifica el triunfo de la extinta URSS sobre el nazismo y la liberación del país. Mientras que, para los residentes de etnia estonia, es un símbolo la ocupación soviética de más de cincuenta años, marcada por el autoritarismo y la supresión de libertades.

Meses antes, el 10 de enero, el Riigikogu[1] aprobó el Acta de Protección de Tumbas de Guerra, un documento que especifica que las sepulturas o mausoleos de caídos en conflictos armados, en territorio nacional, no deben estar ubicados en lugares inadecuados –con énfasis para plazas públicas – como la Tõnismägi, donde reside el Soldado de Bronce. La legislación es el primer paso para su remoción a una nueva ubicación y un clima de confrontación se gesta entre la población. En este contexto, el 15 de febrero, el parlamento aprobó a Ley de Construcciones Prohibidas, que restringe los monumentos que hacen honor a la ocupación soviética. El decreto termina por dividir al país y cimenta el inicio la crisis política.

El destino del Soldado de Bronce será el cementerio militar de las Fuerzas de Defensa, ubicado a las afueras de Tallin. Su traslado se decide aplazar debido a las elecciones nacionales por parte del Primer Ministro, en marzo, para no mermar o polarizar el proceso político que será el primero que permita el voto a través del uso de plataformas de digitales internet. Hecho que forma parte del proyecto X-Road, plan de modernización tecnológica que adoptó Estonia para la digitalización de todos los servicios públicos estratégicos, en aras de convertirse en la capital digital de Europa en el corto plazo.

En las elecciones resultó ganador Andrus Ansip, representante del Partido Reformista Estonio, quien ocupaba el cargo de Primer Ministro desde 2004 y buscó la reelección en el proceso electoral de 2007. El 24 de abril, en un discurso frente a la Riigikogu, referente al Soldado de Bronce, Ansip expresa que los restos de los soldados enterrados en el mausoleo pueden pertenecer a miembros ebrios o saqueadores del ejército rojo, durante el sitio de Tallin.

Sus comentarios llegan a la opinión pública nacional e internacional y exaltan las emociones de la población de ascendencia rusa. Incluso, en Moscú, el Kremlin reprueba sus palabras y una gran cantidad de medios informativos rusos, como Ria Novosti o Russia Today, dan una amplia difusión a la nota. La siguiente jornada el país despierta en un clima de efervescencia. La población rusa empieza a organizarse y convocan a una marcha y protesta pacífica para el mediodía del 26 de abril, en la Plaza Tõnismägi.

Los temores por parte del gobierno de que la protesta se transforme en disturbios violentos, no son menores. Se estima que un total de 350,000 de personas (de un total 1.5 millones de habitantes de Estonia) hablan la lengua rusa y siente afinidad con el pasado soviético del país y con lo que representa el Soldado de Bronce.

El día de la convocatoria, 1,500 personas se presentan frente al monumento soviético para evitar su remoción. Muchos de los asistentes portan banderas de la Federación Rusa y gritan consignas en favor de la superpotencia, la policía trata de calmar su euforia, pero su intervención sólo deriva en disturbios violentos. A las 21:20 horas, los manifestantes pro-rusos empiezan a cometer actos de agresión, y en defensa, la policía utiliza gas lacrimógeno y balas de goma para disolver la muchedumbre.

Las acciones derivan en un incremento de la violencia por parte de los manifestantes que responden con bombas de petróleo, a la par que empiezan a realizar actos de vandalismo en los edificios y comercios del centro de la ciudad. La confrontación es ríspida poco antes de la media noche. Los diarios nacionales estiman que una persona ha fallecido, 153 están heridas y 800 han sido arrestadas, la noche del 26 de abril es denominada como los peores disturbios de Estonia, desde su independencia.

Ante esto, las autoridades estonias convocan a reunión del Comité de Crisis, un órgano gubernamental que opera en situaciones políticas extraordinarias que comprometan la estabilidad y seguridad del país. El Comité está integrado por el Primer Ministro, Andrus Ansip, el Ministro de Defensa, Jaak Aaviksoo, y es precedido por el ministro del Interior Jüri Pihl. Si bien, los tres miembros del gobierno consideran que el eje central de la sesión abordará la inestabilidad política, que acontece en las calles, reciben una noticia paralela a los disturbios.

Desde las 10:00 p.m., los sitios web gubernamentales han recibido un tránsito inusual de datos que ha causado inestabilidad en los portales online y servicios estatales. Los correos institucionales y de los funcionarios del gobierno se llenaron en pocos segundos de spam y son inoperables. El sitio de internet del Parlamento y la página del Primer Ministro han sido hackeadas, al parecer todo se debe a un ataque de tipo DDoS[2]. No obstante, éste es tan severo y coordinado que hasta el sitio valitsus.ee/et, que conjunta toda la información y sirve de guía para los servicios públicos del Vabariigi Valitsus o Gobierno de la República, es inoperable. En un instante, los disturbios y protestas que comprometen la seguridad nacional del Estado se han movido de las calles al ciberespacio.

Pronto, la amenaza se extiende a servidores de internet privados. Los portales de noticias, como el postimes.ee –uno de los más visitados en Estonia – empiezan a formar parte del ciberataque, y para su sorpresa, los comentarios negativos sobre notas gubernamentales han sido enviados a los correos de múltiples instituciones y funcionarios estatales, lo que satura el tránsito de datos y les imposibilita de compartir contenido sobre lo que está sucediendo en ese momento en las calles.

El siguiente sector en mostrar fallas son los sitios de instituciones bancarias, con la misma técnica de satura a través de sobrecargas de información, los bancos se ven obligados a suspender el uso de los cajeros electrónicos y todos los servicios que se realizan por internet. Por último, las páginas de organismos internacionales como la Unión Europea, OTAN o la ONU, que operan con contenido local en Estonia, sufren el mismo destino. 

En vista de la magnitud del problema, el Comité de Crisis convoca a una reunión extraordinaria que involucra a todos los funcionarios de gobierno. La resolución que alcanza el Presidente y el Primer Ministro es la del traslado inmediato del Soldado de Bronce para evitar peores disturbios, tanto en las calles, como en el ciberespacio. A primeras horas del 27 de abril, la policía acude a la Plaza Tõnismägi y retiran el monumento. Para este momento, el gobierno de Estonia ha identificado que las direcciones de los protocolos TCP/IP[3] que saturan todos los servicios de internet del país tienen origen en Rusia.

A pesar de esto, lo más agravante es que los ataques empeoran cada minuto y se intensifican, a tal grado que se estima un millón de bots, con una sofisticada coordinación, están implicados en el ciber ataque. Ante la severidad de los ataques se comienda al Equipo de Respuesta de Emergencia Informática (CERT,por sus siglas en inglés) estructurar un plan de acción para revertir la agresión.

Mientras tanto, las calles de Tallin viven su segundo día de disturbios consecutivos. En esos momentos, una de las principales interrogantes de la urbe embravecida es: ¿dónde se encuentra el Soldado de Bronce?, desde su remoción la estatua fue trasladada a una ubicación secreta que mantiene a los manifestantes en estado de histeria.

Pronto, en portales de noticias rusos empiezan a compartirse notas que expresan que la estatua ha sido destruida, y los restos de los soldados del mausoleo, también. Incluso, un sitio muestra una foto en la que puede observarse al monumento desintegrado en múltiples partes que hacen más creíble esta información, que es atribuida al Servicio de Prensa del Gobierno Estonio.

Lo anterior, incrementa los niveles de violencia, el caos y la confusión para cometer saqueos en locales y negocios de la ciudad. Al terminar la jornada, los daños se estiman en 99 actos reportados de vandalismo y la cifra de heridos ha ascendido de 153 a 300, mientras que los arrestados de 800 a 1000.

Mientras tanto, el CERT presenta ante el gobierno su plan de acción para detener el ataque DDoS. Los ejes de acción del programa se centran en tres puntos clave: 1) incrementar la capacidad de los servidores de internet para poder manejar el exceso de tráfico de datos; 2) implementar un filtro que separe el tráfico de buenos mensajes de los falsos o fraudulentos asociados a una ciber amenaza; 3) trabajar en conjunto con las autoridades para identificar la raíz de los servidores DNS[4] que utilizan los bots fuera del país. En adicional, el CERT sugiere bloquear todos los sitios de internet del país a usuarios foráneos y sólo permitir su acceso a usuarios nacionales. A la par de bloquear todos los dominios .ru(provenientes de Rusia), dado que se estima que el 99% del exceso de información proviene de ese país.

El plan resulta exitoso y los incidentes disminuyen los días 28, 29 y 30 de abril. A pesar de la pacificación de las protestas de Tallin y la retoma del control y operatividad de los sitios de internet del gobierno, en la última jornada el Ministerio de Relaciones Exteriores notifica al gobierno estonio una nueva problemática: su Embajada, en Moscú, ha sido asediada por manifestantes rusos que condenan el traslado del Soldado de Bronce y proclaman que se dé a conocer la ubicación del monumento y su estado.

En pocas horas, el edificio es bloqueado completamente para su acceso y el Presidente Toomas Hendrik reclama al gobierno ruso su poca disposición para defender a la representación diplomática y su personal. Por su parte, el gobierno del Kremlin no realiza acción alguna para atender la petición, hasta que el 2 de mayo la embajadora Marina Kaljurand es atacada en su automóvil durante un traslado de trabajo y el gobierno de Estonia declara la evacuación de la titular y todos los funcionarios de la misión.

En los próximos días el gobierno estonio adjudicó la responsabilidad de los ciberataques al Kremlin. No obstante, la imposibilidad de determinar la localización exacta de las direcciones TCP/IP no permitió a las autoridades atribuir completamente el ciber ataque a la potencia eslava. Al mismo tiempo que el gobierno ruso negó injerencia alguna o responsabilidad en los sucesos del 27 de abril.

Ante esto, el gobierno de Estonia apeló frente a la Unión Europea (UE) la necesidad de presentar una queja derivada de la conducta de su vecino del este en la cumbre UE-Rusia, que se celebró el 17 de mayo. En este evento, el Consejo de Europa sólo hizo alusión al bloqueo de la Embajada de Estonia en Moscú y la nula acción del Kremlin por este evento, así como el incumplimiento de la obligación de proporcionar seguridad a los diplomáticos de acuerdo con la Convención de Viena de 1961.

Sin embargo, no se refirió en concreto a los ciberataques. También, el gobierno estonio presentó el caso a las autoridades de la OTAN y personal de la alianza atlántica visitó Tallin en los días posteriores a la crisis cibernética. Ante ellos, el Presidente Hendrik y el Ministro de Defensa, Jaak Aaviksoo, proclamaron el artículo 5 del Tratado del Atlántico Norte, que cita: “un ataque armado contra uno o varios aliados, en Europa o en América del Norte, será considerado como un ataque dirigido contra todos”.

Hay que enfatizar que el tratado de la OTAN contemplaba amenazas terrestres, marítimas o aéreas, más no ataques a a través del ciberespacio. El mensaje llegó hasta el Secretario General del organismo, Jaap de Hoop Scheffer, quién atendería la petición e incluiría a los ciber ataques y ciber amenazas como parte de las injurias y agresiones en contra de los países miembros de la alianza militar. Por último, la OTAN promovería la creación del Centro Cooperativo de Ciber Defensa de Excelencia (NATO Cooperative Cyber Defence Centre of Excelence), con sede en Tallin, con la finalidad de realizar estudios en aras de mejorar la capacidad, cooperación e información entre los miembros del organismo en el ciberespacio.

Hasta nuestros días, la responsabilidad de Rusia en la coordinación y perpetración del ataque no ha sido probaba. Y los hackers operadores y ejecutores del ataque nunca lograron ser localizados o juzgados por sus acciones.

[1] La Asamblea Legislativa de la República de Estonia

[2] DDoS son las siglas en inglés de Denial of Distributed Service o “Denegación de Distribución de Servicio”, una de las técnicas de ataques a través del ciberespacio más utilizada por hackers o crackers. Su finalidad es hacer inaccesible o inoperable una red de internet o sistema computacional a sus propietarios o usuarios legales. La técnica de un ataque DDoS consiste en la saturación de los puertos de un sitio de internet a través de la sobrecarga de información inusual a un portal en internet. Para esto es necesaria la utilización de una red de bots o robots informáticos programados para enviar contenido que satura la línea, desde múltiples puntos geográficos, hasta dejar inoperable el portal objetivo. La técnica deDDoS es de las más sencillas y efectivas para quebrantar un sitio web. 

[3] TCP/IP son las siglas de Protocolo de Control de Transmisión/Protocolo de Internet (en inglés Transmission Control Protocol/Internet Protocol), un sistema de protocolos que hacen posibles servicios Telnet, FTP, E-mail, y otros entre ordenadores que no pertenecen a la misma red.

[4] Un servidor DNS en informática responde a las siglas Domain Name System, estos permiten conocer los nombres y ubicación en las redes, como las de Internet o las de una red privada. Es decir, se conoce la dirección IP de un computador, donde está alojado geográficamente, el dominio del portal al que se accede.