A través de la historia podemos comprobar que la progresiva aparición de nuevas tecnologías conlleva siempre un cambio en las doctrinas militares, aunque éste no se produzca de forma inmediata (Torres, 2013: 331). La forma de hacer la guerra y sus métodos han evolucionado con la humanidad. El desarrollo tecnológico que ha sido capaz de experimentar el ser humano a lo largo de la historia se ha vinculado generalmente a la búsqueda de la obtención de una superioridad militar respecto a sus enemigos. Y al igual que el desarrollo de la navegación, la aviación o la conquista espacial se tradujeron en la apertura de unos nuevos “dominios”[1] y esferas de influencia en el método de la guerra, en la actualidad el desarrollo tecnológico cibernético ha dado lugar a la aparición de uno nuevo: el dominio cibernético.
El espacio cibernético, más conocido como ciberespacio, se ha constituido como un nuevo quinto elemento, sumándose a los otros cuatro (tierra, mar, aire y espacio) e interaccionando estrechamente con estos, al no tratarse éste de un entorno aislado, sino profundamente vinculado y apoyado en los medios físicos que lo sustentan (por ejemplo, las redes eléctricas o de telefonía).
Esta interacción e interconexión entre lo físico y lo ciber da lugar a importantes vulnerabilidades de seguridad, que se traducen en un gran impacto y repercusión sobre los estados, y especialmente sobre sus estrategias de seguridad nacionales e internacionales (Curtis Lemay, 2011).
Ciertamente, estas vulnerabilidades de seguridad vinculadas al dominio cibernético implican unos riesgos para el Estado y las empresas privadas: un ciberataque implica intrínsecamente un impacto económico, y si además éste se hace público, también un coste reputacional. Sin embargo, los riesgos no se limitan a lo económico, sino que, también pueden llegar a afectar a la vida de los ciudadanos.
El año 2020, será tristemente recordado por diversos motivos, entre ellos por la pandemia producida por el SARS-CoV-2, pero también por haber sido el año en que un ciberataque produjo la primera víctima mortal registrada de la historia. El día 15 de septiembre de 2020, un ataque ransomware produjo el colapso informático del servicio de urgencias del Hospital Universitario de Dusseldorf (Alemania) y como consecuencia una paciente falleció mientras era traslada a otro hospital capaz de funcionar correctamente (La Razón, 2020).
Por ello, la protección en el dominio cibernético resulta fundamental, y ésta precisa de una doble vía, por un lado, se vuelca en el desarrollo de medidas defensivas que permitan a los estados proteger sus infraestructuras críticas de posibles ciberataques enemigos, y, por otro lado, se busca garantizar la seguridad del personal militar desplegado en los distintos teatros de operaciones.
Tanto la OTAN, que considera el entorno cibernético como un dominio para las operaciones militares desde la Cumbre de Varsovia de 2016, como España consideran el ciberespacio como un entorno primordial en el que implementar sus acciones.
En el presente artículo trataremos de abordar el recorrido histórico que se produjo en nuestro país hasta que el dominio cibernético y la ciberdefensa adquirieron el peso que poseen en la actualidad en el debate estratégico-militar.
Además, trataremos de predecir si España superará el paradigma defensivo de la resiliencia actual y progresará hacia un escenario en el que sea capaz de implementar acciones ofensivas (offensive cyber capabilities, OCC) que afiancen la lógica de la disuasión.
Dada la importancia de la ciberseguridad y la ciberdefensa como elementos principales de estudio en el siglo XXI, creemos necesario el realizar un primer análisis de estado de la cuestión en España. Centrándonos principalmente en el recorrido histórico de la materia en nuestro país desde que después de los años 90 comenzase a ser objeto de estudio por parte de las principales instituciones militares españolas.
Todo ello con el objetivo de responder a la pregunta: ¿Ha integrado España correctamente las respuestas a amenazas provenientes del dominio cibernético en su sistema de seguridad nacional?
1. Definiendo conceptos
Un estudio, o al menos una buena aproximación a la materia, precisa de la definición de los conceptos más básicos vinculados a la ciberdefensa y el dominio cibernético o ciberespacio.
Con frecuencia términos como ciberdefensa, ciberseguridad, ciberespacio, dominio cibernético o seguridad de la información son empleados por los medios de comunicación, trascendiendo así los foros de debate técnico-especializados.
Sin embargo, la popularización de términos tan técnicos entraña que a veces se produzca una desvirtuación de su significado. Especialmente, debido a que en su mayoría estos son traducidos del inglés de forma literal, sin tener en cuenta que no siempre la traducción literal de términos implica una traducción de significado.
Por ello, en el presente marco teórico creemos necesario realizar una definición de los principales conceptos que utilizaremos a lo largo de la presente investigación.
Si bien existen muchas definiciones de la ciberdefensa, hemos decidido utilizar la definición empleada por Pastor Acosta (2012) por su sencillez, entendiendo el concepto como: «El conjunto de sistemas, infraestructuras, personas, medios de apoyo y procedimientos doctrinales, que permitan cumplir con la misión de defender el ciberespacio.».
No obstante, esta definición nos obliga a recoger en el presente marco teórico dos conceptos más, por un lado, el de dominio cibernético, entendido como:
Un dominio global dentro del entorno de la información, compuesto por una infraestructura de redes de tecnologías de la información interdependientes, que incluye Internet, las redes de telecomunicaciones, los sistemas de información y los controladores y procesadores integrados junto con sus usuarios y operadores. (NMS-CO, 2006).
También, por otro lado, el de capacidad militar, entendida como:
El conjunto de factores (sistemas de armas, infraestructura, personal y medios de apoyo logístico) asentados sobre la base de unos principios y procedimientos doctrinales que pretenden conseguir un determinado efecto militar a nivel estratégico, operacional o táctico, para cumplir las misiones asignadas. (García Sieiro, 2006).
En este sentido, debemos considerar el ciberespacio como un entorno global y dinámico, en constante evolución; un escenario complejo que posee unas características propias; una infraestructura transversal capaz de incidir físicamente pese a su inmaterialidad; y, en definitiva, un nuevo ámbito para las operaciones militares plagado de vulnerabilidades y unas amenazas cada vez más sofisticadas.
La ciberseguridad consiste precisamente en la aplicación de un proceso de análisis y gestión de estos riesgos asociados al uso, procesamiento, almacenamiento y transmisión de información y de los sistemas y procesos usados. O, dicho de otro modo, la ciberseguridad debe formularse proactivamente como un proceso continuo de análisis y gestión de los riesgos asociados al ciberespacio (Fellu Ortega, 2012).
A menudo, las amenazas provenientes del dominio cibernético se ajustan a la definición del término “acción no convencional”, o, dicho de otro modo, un ciberataque puede ser considerado como parte de un ataque híbrido, compuesto por la implementación de acciones militares convencionales con otras no convencionales (ciberataques, manipulación de la información, elementos de presión, política, social o económica).
Este tipo de acciones se apoya principalmente en determinadas características propias del ciberespacio, como son la dificultad que entraña el individualizar a los autores de un ciberataque, la diversidad de adversarios existentes y la falta de una regulación internacional (Arteaga, 2019).
Por el momento, los estados han optado por dos posicionamientos distintos respecto a las amenazas del ciberespacio, la disuasión y la ofensiva. En lo que respecta a la disuasión (deterrence), se entiende como la táctica que permite a un Estado evitar acciones ofensivas del oponente, convenciéndolo de que su costo superará el beneficio esperado. En otras palabras, la disuasión se basa en percepciones y su efectividad depende no sólo de la respuesta a la pregunta de “cómo” sino a las de “quién” y “qué”. Por ejemplo, puede ser efectiva con algunos actores y no con otros, o, a pesar de que resulte irónico, es más fácil disuadir a grandes estados de realizar actos como la destrucción de una red eléctrica que evitar que cometan acciones que no llegan a ese nivel (Nye, 2019).
Principalmente existen cuatro grandes mecanismos de disuasión orientados a la reducción y prevención de conductas indeseables en el ciberespacio: disuasión por amenaza de castigo, por medidas defensivas de negación (denial), por interdependencia (entanglement) y por tabú normativo[2].
Además, la disuasión no termina en el ámbito cibernético, sino que su respuesta puede darse en el plano físico. Así, Estados Unidos ha dejado claro en su estrategia de disuasión que responderá a ciberataques en una variedad de ámbitos o sectores, con cualquier arma de su elección, en proporción al daño que se le haya infligido al Estado –abarcando estas declaraciones desde la denuncia pública o las sanciones económicas hasta la respuesta nuclear (Nye, 2019).
Los mecanismos de disuasión se desarrollan con el objetivo de disuadir a los potenciales adversario de realizar un ataque en base a dos principios. El primero, el hacer entender al adversario que sus ataques no van a conseguir sus objetivos y que los costes, en caso de asumirlos, van a ser elevados. El segundo, que la respuesta al primer ataque será contundente y orientada a ocasionarle un daño superior al que está dispuesto a asumir (Denning, 2016).
En el caso español, desde el año 2017, según el Concepto de Empleo de las Fuerzas Armadas (CEFAS 2017), se entiende que para que la disuasión en el ciberespacio sea efectiva tiene que cumplir tres condiciones (EMAD, 2017: 31): disponer de unas capacidades militares preparadas para ser utilizadas; que el enemigo las conozca[3], por su uso en ejercicios y operaciones; y que éste tenga la certeza de que en caso de ataque serán utilizadas, ya que, no disponer de capacidades ofensivas de contraataque o no estar dispuestos a usarlas genera en el enemigo un efecto contrario a la disuasión que incentiva los ciberataques ante la certidumbre de impunidad y de que no encontrarán respuesta (Gil, 2017).
El tema es interesante pero se ha hecho un copia-pega salvaje de un documento académico y se hace pasar por artículo sin la más mínima edición. Un artículo de una revista no empieza las conclusiones con «Como hemos visto a lo largo de este documento» y frases por el estilo. Sólo quitando frases vacías como esta se puede reducir al menos 1/3 del artículo sin perder contenido.
Igualmente también sobran tantas citas y alguna sección como la definición de conceptos que es excesivamente larga y generalista mientras faltaría desglosar algunos acrónimos (ej. INCIBE).
He pasado a leer el artículo por encima muy rápido por como está escrito pero se ve mucho humo en este tema de ciberseguridad por parte de ls Administración y se traslada al artículo. Hay bastante descripción pero poco análisis (Tesis: España no tiene capital humano en el sector) que podría haberse desarrollado más.
Como suscriptor prefiero 3 artículos al mes bien currados (ej. la serie de los S80) que no 20 copia-pegas como este.
Ánimo al autor y al editor que se puede trabajar mejor.
Buenas Rubenba, por alusiones contesto a su comentario si le parece bien.
En primer lugar, me gustaría excusarme porque al proceder en cierta forma del ámbito académico, en cierto modo mi forma de escribir está adaptada a ese tipo de marcos, y en ocasiones me resulta altamente complejo hacer el cambio de contexto necesario que el publicar en una revista exige –coincido en que esto se aprecia especialmente en este artículo, que fue uno de los primeros que publiqué con REjércitos.
En segundo lugar, coincido (a medias) con usted en que efectivamente en la Administración existe un importante componente de indefinición (humo) respecto al tema ciber, especialmente en cuanto a llevar la prospectiva a la realidad dentro de nuestro marco jurídico se refiere. No obstante, digo que coincido a medias con usted porque si bien es cierto que el tema parece ser un tanto abstracto de describir y complicado de explicar, lo cierto es que, no me cabe la menor duda de que, en el día a día de las unidades técnicas (bien policiales, bien militares) orientadas a la ciberdefensa existentes en nuestro país se tienen bastante claros los cometidos y las responsabilidades a desempeñar.
Por último, no concuerdo con usted en cuanto a su valoración del número de citas y definiciones se refiere, ya que, si se desconocen los términos, o se utilizan las acepciones que la prensa suele emplear difícilmente entenderemos algo. Del mismo modo, pienso que es necesario apoyar las opiniones que uno pueda tener con las citas apropiadas, reconociendo así además el trabajo de otras personas más versadas que yo en la materia.
En cualquier caso, valoro mucho su comentario y trataré de seguir mejorando para que los artículos que escriba para REjércitos en el futuro sean cada vez de mayor calidad y pueda así seguir contribuyendo con mi pequeña aportación a la revista.
Gracias por la respuesta Josue. Creo que el artículo es interesante, mis comentarios son más bien editoriales.
Las citas son convenientes si uno reproduce una parte de un texto, imagen o señala una fuente en la que se desarrolla el tema más en detalle. Creo que para la revista, algunas vienen bien pero otras sobran. Por ejemplo la de Lemay citando que la interacción de lo ciber y el mundo físico puede dar lugar a nuevas amenazas. Sí, la hipótesis es razonable pero probablemente no haga falta.
Igualmente, son detalles y espero leer más artículos tuyos en RE.
Un saludo