Del 6 al 9 de junio, cientos de millones de ciudadanos de la Unión Europea (UE) votarán para elegir a sus representantes en el Parlamento Europeo. Las elecciones europeas, que se celebran cada cinco años, son uno de los mayores ejercicios democráticos del mundo. Los votantes de cada uno de los 27 países de la UE elegirán un número diferente de diputados al Parlamento Europeo en función del tamaño de la población y sobre la base de un sistema proporcional, y los 720 diputados recién elegidos ocuparán sus escaños en julio. Todos los Estados miembros de la UE tienen procesos, instituciones y métodos electorales diferentes, y los riesgos para la seguridad son importantes, tanto en términos de ciberataques como en lo que respecta a la influencia en los votantes a través de la desinformación. Estos riesgos hacen que la tarea de garantizar la seguridad de las elecciones europeas sea especialmente compleja, y requiere la colaboración de muchas instituciones y partes interesadas, incluido el sector privado. Cloudflare está en condiciones de ayudar a gobiernos y campañas políticas en la gestión de ciberataques a gran escala. También hemos ayudado a entidades electorales de todo el mundo proporcionándoles herramientas y experiencia para protegerlas de los ataques. Además, a través del proyecto Athenian, Cloudflare trabaja con gobiernos estatales y locales de Estados Unidos, así como con gobiernos de todo el mundo a través de socios internacionales sin ánimo de lucro, para proporcionar el más alto nivel de protección de Cloudflare de forma gratuita y garantizar que los ciudadanos tengan acceso a información electoral.
Seguridad electoral en 2024: cómo responder a las amenazas nuevas y futuras
Es comprensible que una de las principales prioridades de las instituciones de la UE, así como de los gobiernos nacionales y las agencias de ciberseguridad de toda la UE sea velar por un proceso electoral libre, justo y abierto, y proteger las campañas de los candidatos. Las autoridades europeas ya han adoptado una serie de medidas para garantizar la protección adecuada de las elecciones. Los esfuerzos para coordinar las medidas de seguridad electoral entre los países de la UE están liderados por el Grupo de cooperación NIS, con el apoyo de la Agencia de Ciberseguridad de la UE (ENISA), la Comisión Europea y el Servicio Europeo de Acción Exterior (el servicio exterior de la UE).
El Grupo de cooperación NIS ha publicado recientemente un compendio actualizado sobre la protección de las elecciones ante los desafíos de la ciberseguridad, en el que destaca que "desde las últimas elecciones de la UE en 2019, el panorama de las amenazas electorales ha evolucionado significativamente". Los gobiernos señalan, en particular, el impacto de la inteligencia artificial (IA), incluidos los deepfakes, pero también la mayor sofisticación de los ciberdelincuentes y la tendencia de los "hacktivistas a sueldo" como nuevos riesgos que deben tenerse en cuenta. Las instituciones europeas también destacan el contexto geopolítico actual, como los conflictos en Ucrania y Oriente Medio, que afectan a las campañas de ciberamenazas e influencia extranjera en Europa. El Servicio Europeo de Acción Exterior analizó casos de manipulación e interferencia de información extranjera (FIMI) durante las recientes elecciones nacionales en España y Polonia, y elaboró planes propuestos para los gobiernos sobre cómo responder a las diversas etapas de esas campañas FIMI originadas por agentes extranjeros (por ejemplo, no comunitarios). El Alto representante de la UE para Asuntos Exteriores, Josep Borrell, afirmó en una publicación reciente de su blog que la protección del proceso electoral y, en general, de la injerencia extranjera en el debate público europeo"es un desafío de seguridad que debemos abordar con seriedad".
Algunos gobiernos nacionales también han advertido contra los riesgos de la llamada amenaza híbrida, mediante la cual los gobiernos extranjeros implementan diversos métodos para ejercer influencia en otros estados, como campañas de desinformación, ciberataques y espionaje. El Ministerio Federal del Interior de Alemania señala que "las elecciones suelen catalizar el aumento de los niveles de actividad ilegítima de los gobiernos extranjeros, porque avivar el miedo y propagar el odio puede contribuir a la polarización de la sociedad, lo que influye en los hábitos electorales. [...] Debemos actuar con determinación para contrarrestar estas amenazas".
Preparación de la UE para la temporada electoral
Como parte de la coordinación entre los gobiernos y las agencias, tanto a nivel nacional como de la UE, para prepararse para mitigar las amenazas y los riesgos en las elecciones europeas, ENISA apoya las medidas de los gobiernos nacionales para garantizar la seguridad de las elecciones, entre otras acciones organizando un ejercicio de ciberseguridad para probar diferentes planes de crisis y respuestas a posibles ataques de agencias y gobiernos a nivel nacional y de la UE. ENISA también ha elaborado una lista de comprobación para las autoridades con el fin de concienciar sobre riesgos y amenazas específicos para el proceso electoral.
La Unión Europea también se ha preparado para otros fenómenos que ponen en peligro la seguridad y la integridad del proceso electoral, como la difusión de desinformación a través de las plataformas digitales. Por ejemplo, la Comisión Europea ha publicado recientemente directrices estrictas para las "plataformas en línea de gran tamaño" (VLOP) y los "motores de búsqueda de gran tamaño" (VLOSE) en virtud de la Ley de servicios digitales de la UE sobre medidas para mitigar los riesgos sistémicos en línea que pueden afectar a la integridad de las elecciones. Estas grandes empresas deberán contar con personal dedicado a supervisar las amenazas relativas a la desinformación en las 23 lenguas oficiales de la UE en los 27 Estados miembros, en estrecha colaboración con las autoridades europeas de ciberseguridad. Además, en consonancia con la próxima legislación de la UE sobre la transparencia de la publicidad política, los anuncios políticos en las grandes plataformas de redes sociales se deberán etiquetar claramente como tales.
En su 11.º informe sobre el panorama de las amenazas en la UE, publicado en 2023, ENISA también advirtió sobre los riesgos asociados al auge de la manipulación de la información facilitada por la IA, incluidos los efectos perjudiciales de los chatbots de la IA. La Comisión Europea, en su esfuerzo por luchar contra la proliferación de deepfakes y tácticas sofisticadas de manipulación de votantes a través de sistemas avanzados de IA generativa, ha iniciado recientemente investigaciones sobre los principales desarrolladores de IA y ha promovido compromisos con el sector en el contexto del Pacto de la UE sobre IA.
La visión de Cloudflare: aumento de los ciberataques en torno a las elecciones
Es probable que en la UE se observe una tendencia similar a la de muchas otras jurisdicciones en las que se ha producido un aumento de las ciberamenazas contra entidades electorales. En el periodo comprendido entre noviembre de 2022 y agosto de 2023, Cloudflare mitigó 213,78 millones de amenazas a sitios web de elecciones gubernamentales en Estados Unidos. Esta cifra equivale a una media de 703 223 amenazas mitigadas al día. De hecho, ya hay pruebas de que las instituciones europeas son objeto de un número cada vez mayor de ataques.
En noviembre de 2023, el sitio web del Parlamento Europeo fue objeto de un ciberataque a gran escala. En marzo de 2024, el sitio web del gobierno francés sufrió ataques de "intensidad sin precedentes", según un portavoz. Unos días antes de los ataques, el 25 de febrero de 2024, Cloudflare bloqueó un importante ataque DDoS contra un sitio web del gobierno francés. Llegó a recibir hasta 420 millones de solicitudes por hora y duró más de tres horas.
El Gobierno del Reino Unido advirtió el año pasado que se estaban produciendo ciberataques "constantes" contra organizaciones de la sociedad civil, periodistas y grupos del sector público, así como intentos de phishing dirigidos a políticos británicos. Más recientemente, la infraestructura informática del partido político alemán CDU se vio afectada por un "ciberataque grave", según el Ministerio del Interior alemán.
También hemos observado que la magnitud de los ciberataques en general crece cada año. Como se indica en el informe sobre amenazas DDoS de Cloudflare, publicado en el primer trimestre de 2024, los sistemas de protección de Cloudflare mitigaron automáticamente 4,5 millones de ataques DDoS durante ese periodo, lo que representa un aumento interanual del 50 %. Los gobiernos de la UE señalaron en su compendio sobre la protección de las elecciones de 2024 que los ataques DDoS "pueden seguir siendo muy eficaces para socavar la confianza de los votantes en el proceso electoral, especialmente si afectan a sus fases más críticas y visibles, es decir, la transmisión, la agregación y la visualización de los resultados".
Sin embargo, no es solo el aumento del tamaño de los ataques a sitios web lo que quita el sueño a los funcionarios electorales. A menudo hay numerosos vectores de ataque que se deben tener en cuenta, y velar por la seguridad de los procesos electorales y de las instituciones públicas es una tarea muy complicada. Por ejemplo, en los tres meses previos a las elecciones legislativas estadounidenses de 2022, Cloudflare evitó unos 150 000 correos electrónicos de phishing dirigidos a funcionarios de campaña. El último informe de ENISA sobre el panorama de las amenazas en la UE señaló que, en lo que respecta a las campañas de phishing, los riesgos de la IA aplicada a la ingeniería social (por ejemplo, utilizada para elaborar mensajes de phishing más convincentes), puede hacer que el phishing sea menos caro, más fácil de escalar y más eficaz. Todos estos desarrollos muestran la necesidad de proteger los sistemas de registro de votantes, garantizar la integridad de la información relacionada con las elecciones y planificar una respuesta eficaz a los incidentes a medida que las amenazas digitales son cada vez más sofisticadas.
La capacidad de proteger el proceso democrático en la era digital requiere asociaciones entre los gobiernos, la sociedad civil y el sector privado. Cloudflare ha ayudado a entidades electorales de todo el mundo proporcionándoles herramientas y experiencia para protegerse de los ciberataques. Por ejemplo, en 2020, nos asociamos con la Fundación Internacional para Sistemas Electorales con el fin de proporcionar servicios de nivel empresarial a seis organismos de gestión electoral, entre ellos la Comisión Electoral Central de Kosovo, la Comisión Electoral Estatal de Macedonia del Norte y muchos organismos electorales locales en Canadá.
Impacto en el tráfico de Internet
La red global de Cloudflare, que abarca más de 120 países y protege alrededor del 20 % de todos los sitios web, nos permite obtener visibilidad única de las tendencias y los patrones observados en el tráfico de Internet. Algunas de esas tendencias, como el tráfico, la calidad de la conexión y las interrupciones de Internet, se pueden ver en nuestra plataforma de información de Internet, Cloudflare Radar.
Es especialmente importante observar varias de estas tendencias durante el periodo electoral. Tras un análisis más exhaustivo, observamos picos de tráfico en los sitios web relacionados con las elecciones y en los sitios web de noticias durante este periodo. A partir de los datos obtenidos en 2023 mediante un análisis de los sitios web de los gobiernos estatales y locales de EE. UU. protegidos por el proyecto Athenian, así como de las organizaciones sin ánimo de lucro de EE. UU. que trabajan a favor del derecho al voto y la promoción de la democracia en el marco del proyecto Galileo, y de las campañas y partidos políticos protegidos por Cloudflare for Campaigns, Cloudflare observó un aumento del tráfico en los sitios web electorales y sin ánimo de lucro de EE. UU. durante el periodo previo a las elecciones, y luego un pico significativo el día de las elecciones, como se ve en los gráficos siguientes.
Cloudflare observó patrones similares en sitios web de información electoral y medios de comunicación durante el primer día de las elecciones presidenciales francesas de 2022 y durante las elecciones presidenciales en Brasil ese mismo año.
Las acciones coordinadas son fundamentales
La protección de las entidades electorales y de las organizaciones e instituciones relacionadas es una tarea titánica y compleja. Como se ha señalado, se requieren asociaciones y colaboraciones entre diferentes agentes, tanto públicos como privados, con conocimientos específicos. El trabajo realizado por los gobiernos y las agencias de la UE para prepararse, estar listos y colaborar en las medidas de seguridad electoral, como se ha descrito anteriormente, es tan necesario como bienvenido para garantizar unas elecciones libres, justas y, sobre todo, seguras. Este objetivo solo puede ser una acción coordinada, en la que tanto los gobiernos como el sector trabajen juntos para garantizar una respuesta contundente a cualquier amenaza al proceso democrático. Por su parte, Cloudflare protege varios sitios web de campañas gubernamentales y políticas en toda la UE.
Queremos asegurarnos de que todos los grupos que trabajan para promover la democracia en todo el mundo tengan las herramientas que necesitan para garantizar su seguridad en línea. Si trabajas en el ámbito electoral y necesitas nuestra ayuda, ponte en contacto con nosotros. Si trabajas en una organización que busca protección en el marco del proyecto Galileo, visita nuestro sitio web en cloudflare.com/galileo.
Puedes encontrar más información sobre las elecciones de la Unión Europea aquí. Si resides en la UE, ¡no te olvides de votar!