Más del 90% de las comunicaciones entre Europa y Asia circulan a través de cables submarinos instalados en el fondo del Mar Rojo.
A principios de marzo de 2024 se cortaron intencionadamente tres de los 14 cables ahí existentes, lo que supuso una reducción del 25% del tráfico de internet entre ambos continentes, con la consiguiente disminución en la velocidad de Internet en otras regiones cercanas al tener que redireccionar todas esas conexiones afectadas.
Este hecho evidenció una gran dependencia de parte de la economía global en estos enlaces submarinos, además de plantear la necesidad de redefinir la seguridad de las comunicaciones que circulan a través de aquellos.
Esta situación no es novedosa. Antes al contrario, si buscamos en Google “submarinos rusos cerca de cables submarinos” encontraremos enlaces de 2015, 2019, 2022, 2023 y 2024 con noticias relacionadas con una eventual amenaza rusa a las comunicaciones europeas y norteamericanas. Del mismo modo que encontraremos también noticias que informan acerca de ataques de tiburones a este tipo de cables.
Y es que, en un momento como el actual, los gobiernos de todo el mundo están prestando especial atención a su posible dependencia de ciertas infraestructuras, tales como los gaseoductos, oleoductos y, como no, los cables submarinos que nos siguen conectando a Internet, si bien el desarrollo de la infraestructura satelital ha avanzado muchísimo en estos últimos años, como lo demuestra la conocida iniciativa Starlink o el Internet rural de la empresa española Hispasat.
Ante el riesgo de que cualquier tipo de perturbación de las comunicaciones por cable submarino, pueda acarrear consecuencias especialmente graves, las autoridades europeas han considerado como amenaza plausible el ataque físico o sabotaje de los cables submarinos, así como los eventuales cortes de electricidad que pudieran afectar a este tipo de infraestructura.
De este modo, el regulador europeo ha reconocido a los cables submarinos como infraestructuras críticas y, por tanto, le atribuye un nivel superior de protección y de obligaciones para sus responsables, a la hora de garantizar su seguridad y resiliencia, tal y como señala la Directiva 2022/2557, relativa a la resiliencia de las entidades críticas.
Adicionalmente, la todavía pendiente de transposición al ordenamiento jurídico español, la Directiva NIS2, obliga a los Estados miembros a adoptar políticas relacionadas con el mantenimiento de la disponibilidad general, la integridad y la confidencialidad del núcleo público de la internet abierta, incluida, en este caso, la ciberseguridad de los cables submarinos de comunicaciones.
En efecto, y de conformidad con el artículo 23 de la Directiva NIS2, los incidentes que afecten a los cables submarinos de comunicaciones deben notificarse al correspondiente equipo de respuesta a incidentes de seguridad informática («CSIRT») o a la autoridad competente.
Con independencia de la regulación, las estrategias nacionales de ciberseguridad de los Estados miembros también deben tener en cuenta la ciberseguridad de los cables submarinos de comunicaciones y, en su caso, incluir un inventario de los posibles riesgos de ciberseguridad y las medidas de mitigación que garanticen el máximo nivel de protección para tal cableado y para la información que circula por ellos.
En este sentido, en su Estrategia de Seguridad Marítima de 2023, la Unión Europea ya destaca el mayor riesgo de ataques por parte de agentes malintencionados contra infraestructuras marítimas críticas, y propone medidas para mejorar la resiliencia y la protección de dichas infraestructuras.
Por su parte, la estrategia española de seguridad marítima ya contemplaba, en su edición de 2013, a los cables submarinos como un interés nacional en su dimensión de seguridad marítima que deben ser tenidos en cuenta. Y en su reciente estrategia, aprobada en 2024, ya destaca que, con referencia a las amenazas híbridas:
"Todos estos factores se manifiestan en el dominio marítimo. Ejemplos reales, como el sabotaje al gasoducto Nord Stream, o las acciones de disrupción de cables submarinos de telecomunicaciones, sitúan actualmente a la seguridad de estas infraestructuras marítimas entre los factores de mayor preocupación".
Mientras que, por su parte, la Comisión europea ha creado el Grupo informal de expertos sobre infraestructuras de cables submarinos, para asesorar y aportar conocimientos especializados a la Comisión en relación con este particular.
En definitiva, a la hora de que las empresas (especialmente las sujetas a la normativa NIS2), diseñen sus planes de riesgos cibernéticos y de continuidad de negocio, sigue siendo esencial que contemplen el hecho de que, en la actualidad, el 99% de la información digital a nivel mundial transcurre a través de cables submarinos, lo que incluye transacciones financieras, el intercambio de información digital y la dependencia del creciente número de dispositivos conectados a la red.
Vista la dependencia europea de este tipo de cables, la Comisión Europea publicó, el pasado mes de febrero, una recomendación (2024/779) sobre unas infraestructuras de cables submarinos seguras y resilientes. Se trata de que, considerando ciertos cables submarinos como de interés europeo, se siga protegiendo la soberanía digital europea, especialmente en estos tiempos convulsos y de desestabilización.