Preparados para la ciberguerra
España dispondrá en poco tiempo de un Mando de Defensa del Ciberespacio, dependiente del Estado Mayor de la Defensa, para hacer frente a una guerra no convencional.
La guerra en el ciberespacio parecía un asunto de película, pero ya ha dejado de serlo. El ministro de Defensa, Pedro Morenés, lo anunció oficialmente durante el acto de celebración de la Pascua Militar, el pasado 6 de enero: “Está en proceso de creación el Mando de Defensa del Ciberespacio, con el objetivo de contrarrestar las amenazas que desde este nuevo entorno pongan en riesgo la seguridad nacional”. Semanas después, el capitán de navío Francisco Zea, jefe de la Sección de Seguridad de la Información y CIS (Sistemas de Información y Telecomunicaciones) del Estado Mayor de la Defensa, concretó en un foro universitario que el documento base para constituir ese mando ya está elaborado por los militares. E insistió en la necesidad de ponerlo en funcionamiento cuanto antes “porque la ciberdefensa ya se ha convertido en una capacidad militar más”.
En el mismo foro, el teniente general Luis Feliú señaló que “las amenazas a la seguridad nacional provienen principalmente de organizaciones internacionales o transnacionales y de Estados inviables”. Según la experta opinión del militar del Ejército de Tierra, “lanzar un ciberataque es más barato y rentable que un ataque físico”, lo que le hace coincidir con la doctrina de la OTAN al afirmar que los ciberataques y el ciberterrorismo “constituyen la misma amenaza a la seguridad nacional que un misil”. La urgencia por disponer de los medios necesarios para afrontar un conflicto encuadrado en esas características es tal que la Unión Europea inauguró hace un mes el Centro Europeo de Ciberdelincuencia, integrado en Europol, que pretende proteger a empresas y personas privadas ante los ataques informáticos.
También el pasado mes de enero, en Estados Unidos, se ha sabido que el Pentágono ha decidido potenciar al máximo las competencias y los medios de su Mando Cibernético para aumentar la capacidad de defensa de los sistemas críticos para la seguridad del país y, al mismo tiempo, disponer de las mejores armas de ataque informáticas. Esta noticia coincidió con unas declaraciones de Janet Napolitano, la secretaria de Seguridad Nacional estadounidense, en las que defendía la amenaza real de un ataque informático contra infraestructuras clave para cualquier país, como las de suministro de gas y otras fuentes de energía, que podrían provocar los mismos estragos que una tormenta tropical. “No podemos esperar –concluía Napolitano– a que se produzca un 11-S informático”.
Doscientos ataques en 2012.
En España, el teniente coronel Javier Candau, jefe del Área de Ciberseguridad del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI), acaba de desvelar el dato de que el año pasado detectaron más de 200 ciberataques de riesgo “muy alto” o “crítico”, el doble de los que registraron el año anterior. Además de ir contra la Administración del Estado, estos ataques golpearon a los sectores energético, financiero, químico, espacial y nuclear. Las empresas afectadas nunca cuentan que han recibido un ataque de este tipo.
El Mando de Defensa del Ciberespacio se constituirá en los próximos meses y los especialistas consideran que será único y abarcará al Ejército de Tierra, la Armada y el Ejército del Aire. No se considera rentable económicamente hacer tres estructuras, por lo que la que se monte prestará los servicios necesarios a cada uno de ellos, pero dependerá del Estado Mayor de la Defensa. El objetivo es crear especialistas con conocimientos tecnológicos avanzados que desarrollen su carrera militar allí, como un arma más de las Fuerzas Armadas, que en ocasiones actuará en solitario y en otras lo hará coordinada con los tres ejércitos. Un ejemplo del primer caso sería el de un suceso similar al ocurrido en Irán, cuando el programa de ciberataques del presidente Obama, Juegos Olímpicos, introdujo el virus informático Stuxnet a las instalaciones de la planta nuclear de Natanz, paralizando el trabajo de 1.000 centrifugadoras. Un ataque que no puso en riesgo vidas humanas, pero de una enorme efectividad. En el segundo caso, el de los ataques lanzados al mismo tiempo que una guerra declarada, cabe citar el reciente conflicto en Libia, en el que se llevaron a cabo acciones de ciberdefensa.
El Mando de Defensa del Ciberespacio cumplirá mayoritariamente misiones de defensa para evitar que ataques procedentes de cualquier enemigo consigan robar información o cegar nuestros medios de defensa militares. Uno de los principales problemas que se está estudiando es cómo se coordinará con las unidades similares que están organizándose en España. Una de ellas, la más importante, estará en el Ministerio del Interior, donde la Policía Nacional y la Guardia Civil ya son operativas en este terreno, aunque es previsible que también se vean potenciadas. Una tercera unidad está ya activa y a pleno rendimiento. Se trata del ya citado Centro Criptológico Nacional, que creó el CNI hace muchos años.
Estas tres unidades tendrán que coordinarse y el Gobierno deberá decidir quién es la autoridad máxima que dirigirá e impulsará los esfuerzos en la materia. Especialistas en ciberguerra explican que la coordinación es importante, porque un conflicto de estas características no afecta exclusivamente a los órganos defensivos del Estado, sino también a las redes informáticas y a los sistemas cibernéticos que controlan determinados procesos industriales y financieros, así como a todas las infraestructuras críticas –suministro de agua, gas, electricidad…– del país.
El teniente coronel del Ejército del Aire Ángel Gómez de Ágreda afirma a este respecto: “Los gobiernos tienen que comenzar por admitir su limitado papel en la defensa cibernética. Más del 80% de los sistemas críticos para una nación se encuentran en manos privadas y su protección es solo parcialmente responsabilidad de los gobiernos”. Y concreta su análisis: “La responsabilidad directa de su gestión y de su defensa está en manos privadas en la mayor parte de los casos, pero los efectos de las intrusiones en las mismas son materia, sin lugar a dudas, de seguridad nacional, al mismo nivel que los sistemas de generación y distribución energética y los de control del tráfico aéreo”.
Acción defensiva y ofensiva.
En lo que respecta al Mando de Defensa del Ciberespacio, sus competencias serán claramente militares y, según el teniente general Feliú, “no debe limitarse a acciones puramente defensivas o pasivas, sino que debe prever también capacidades ofensivas”. Feliú explica en un trabajo realizado para el Centro Superior de Estudios de la Defensa Nacional (Ceseden) que “estamos ante un nuevo escenario estratégico, en un nuevo campo de batalla o en una extensión del mismo”, en el que se emplean técnicas nuevas y se exigen planteamientos distintos e imaginativos en la gestión de crisis y la resolución de conflictos. El teniente coronel del Ejército del Aire Javier López de Turiso explica en un escrito: “[Se] precisan sistemas de armas para hacer sentir el poder terrestre, naval o aéreo. En el ciberespacio no, las armas no son cinéticas. Aquí también existen armas defensivas y ofensivas, pero son de índole totalmente diferente”, y añade que “en el ciberespacio el principal valor es la información, la que en la [acción] defensiva se ha de proteger y en la ofensiva se ha de negar, alterar o sustraer al enemigo”. Y concluye: “Así como los conflictos tradicionales se centran en el campo de batalla, el ciberespacio extiende la zona de combate hasta el mismo corazón de la nación, al ser capaz de entrar en cada una de las casas de los ciudadanos y de cortarle los suministros básicos que este necesita para su supervivencia”.
Comentarios recientes