Las tecnologías relacionadas con la ciberdefensa, requieren de un caldo de cultivo muy especial para su desarrollo. En primer lugar, necesitan de un Plan Nacional capaz de organizar y canalizar los esfuerzos en la dirección adecuada. En segundo lugar, de la materia prima, en forma de personal capacitado y empresas especializadas, capaz de alumbrar las tecnologías y herramientas adecuadas. En tercer lugar, que ambos factores se conjuguen en base a proyectos de colaboración público-privada susceptibles de poner todas las capacidades de dichas empresas y del Estado al servicio de la defensa (y la ofensa) en el «quinto dominio».
Las tecnologías de la información y el ámbito cibernético son hoy una parte fundamental de la evolución del ser humano y de la forma en que los individuos hacen la guerra, siendo un hecho incontestable que el surgimiento de este nuevo escenario de enfrentamiento artificial ha conseguido alterar las nociones básicas de los conflictos armados en el siglo XXI.
No obstante, existen voces contrarias a esta afirmación. Así, al mismo tiempo que las evidencias empíricas demuestran que el número de ciberataques a Ucrania ha experimentado un crecimiento exponencial desde el comienzo de la contienda bélica, una parte de los teóricos de los asuntos militares viene defendiendo la falta de importancia del ciberdominio como escenario de enfrentamiento militar.
Quizás haya sido la falta de espectacularidad de los ciberataques, la pericia de los defensores ucranianos, o las altas expectativas de quienes creían que vivirían un ciber armageddon, lo que ha desenfocado la realidad y ha difuminado la importancia que el ciberespacio ha tenido y está teniendo en la guerra de Ucrania.
Sin embargo, en el plano de la ciberdefensa se observa a diario como Rusia, Irán, China y sus aliados –además de los cuales en el caso de España hemos de prestar especial atención a Marruecos– despliegan herramientas cibernéticas cada vez más complejas, agrediendo de forma reiterada y flagrante las defensas occidentales, gracias al velo opaco que supone la problemática de la atribución de responsabilidades.
Las observaciones que pueden extraerse del conflicto entre Rusia y Ucrania dejan claro que el dominio cibernético no solamente está integrado con el componente cinético, sino que, además, las ciberoperaciones tienen un claro componente de limitación de escalada. O, dicho de otra forma, el dominio cibernético en líneas generales es hoy uno de los campos de proyección de las Fuerzas Armadas de los estados.
La capacidad de aguante cibernético que ha mostrado Ucrania, preparando sus capacidades de defensa, centrándose en la resiliencia y reforzando las colaboraciones público-privadas, le ha permitido no solo resistir el embate de los cibercriminales rusos, sino también, constituirse en el modelo a seguir de las Fuerzas Armadas de los estados occidentales.
Lo cierto es que, desde antes del comienzo de la invasión, el 24 de febrero de 2022, ambas partes se habían preparado para mantener la libertad de acción en el ciberespacio propio, como consecuencia de las lecciones aprendidas desde 2014. Pero, no ha sido hasta experimentar la dureza de la guerra en el aspecto cibernético cuando Ucrania se ha visto forzada a emular un sistema de ciberdefensa similar al estonio, el finlandes o el lituano: reforzando el papel de sus unidades de cibercombatientes militares gracias a una mayor inversión en su Equipo de Respuesta de Emergencias (CERT-UA); creando infraestructuras nuevas en el plano cibernético como su laboratorio cibernético (EFE, 2022); y, empleando -en la máxima expresión que permite una guerra– al personal civil especializado.
Precisamente, si algo ha demostrado la guerra de Ucrania –aunque no solo– es que tenemos que aumentar nuestras capacidades en el ciberespacio, y que a este respecto, tanto las empresas privadas como el conjunto de la sociedad civil tienen mucho que decir. O, en palabras de la Ministra de Defensa Margarita Robles: “la guerra de Ucrania ha puesto de relieve que el dominio del ciberespacio es esencial, como también lo es el dominio cognitivo” (Gabinete de prensa Ministerio de Defensa, 2022).
Siguiendo la estela marcada por Ucrania a este respecto, este artículo tiene como objetivo estudiar el estado actual de la ciberdefensa española, analizando hasta qué punto nuestras Fuerzas Armadas (FAS) podrían llegar a experimentar (o están ya experimentando) procesos de colaboración público-privados similares en cuanto al desarrollo de cibercapacidades se refiere.
La importancia de la colaboración público-privada
Ciberguerra y ciberdefensa son conceptos intrínsecamente vinculados a la seguridad nacional y a las FAS, habiendo catalizado la realidad actual a los estados como los actores principales a destacar en ambos conceptos, dado que, el monopolio legítimo de la violencia recae en última instancia en los estados como sujetos de derechos en el contexto internacional.
Sin embargo, al igual que los ejércitos tradicionales consiguieron desarrollar procedimientos de externalización de tareas indirectamente vinculadas con la defensa nacional –como pueden ser aquellas ligadas al mantenimiento, las propias de la logística y, en general, aquellas consideradas como secundarias, accesorias o complementarias a la batalla (Aznar Fernández-Montesinos, 2016)–; en el ciberespacio, también puede contemplarse un proceso de externalización similar, delegándose las funciones no vinculadas con el combate en un sentido estricto.
El enfoque de los estados respecto a su desempeño en el ciberespacio puede distinguirse hasta el momento en dos líneas de actuación. Por un lado, desde una visión ofensiva de las capacidades cibernéticas (offensive cyber capabilities, OCC); y por otro, desde la perspectiva de la disuasión (deterrence) –un planteamiento puramente defensivo (Nye, 2019).
Junto con la innovación tecnológica, es desde éste último prisma desde donde puede plantearse la posibilidad de una colaboración público-privada, pues como es lógico pensar, existen múltiples reticencias para la delegación de capacidades ofensivas estatales a empresas privadas.
Precisamente, el interés de favorecer un contexto de colaboración público-privado, externalizando las capacidades de las FAS en el ciberespacio nace principalmente debido a tres factores: (1) la búsqueda de la eficiencia económica de la Administración, (2) la ventaja en términos de innovación y desarrollo que puede aportar el contexto de competencia empresarial y (3) la falta de efectivos adecuadamente formados dentro de las FAS y las Fuerzas y Cuerpos de Seguridad (FCS).
Las ventajas que se desprenden para la Administración pública de los dos primeros factores mencionados son obvios: la externalización permitiría un ahorro económico a las arcas estatales, al delegar en su mayor parte los procesos de I+D+i a las empresas privadas que deseen basar su modelo de negocio en la venta de capacidades cibernéticas a los estados; solucionaría las problemáticas que la innovación supone para el Estado en tanto en cuanto éste tiene que hacer frente al impacto que supone la obsolescencia tecnológica de hardware y al software; y además, liberaría gran parte de la carga económica presupuestada al Ministerio de Defensa, pues la externalización del desarrollo de estas cibercapacidades supone un ahorro al poderse financiar su innovación mediante partidas presupuestarias de otros ministerios (Expósito Guisado, 2022).
Precisamente, la falta de presupuesto económico es el condicionante del tercero de los factores mencionados (la falta de personal), la cual puede observarse desde una doble perspectiva. De una parte, analizando la falta de personal militar y policial adecuadamente formado en competencias tecnológicas, y de otra, observando las carencias de la contratación de personal civil.
En España, la idea de externalización de la ciberdefensa tuvo su culmen con el proyecto de la Reserva Estratégica en Ciberseguridad (conocida como «ciberreserva»), la cual partía de la idea de establecer un voluntariado de expertos civiles capaces de gestionar respuestas cibernéticas a agresiones contra la seguridad nacional –siguiendo así la estela de otras iniciativas propuestas en el entorno europeo como la Joint Cyber Reserve Force del Reino Unido o la Réserve Cyberdéfense francesa.
Sin embargo, pese a la buena acogida que esperaba tener la medida impulsada por el Ministerio de Defensa, lo cierto es que, ésta fue un rotundo fracaso, debido, por un lado, a la dificultad jurídica que entraña la creación de una “unidad” de estas características en un organigrama institucional como el español; y, por otro, obviamente porque la comunidad de profesionales españoles dedicados a la ciberseguridad rechazó trabajar de forma gratuita (Montero, 2019).
Precisamente, en el contexto de la guerra ruso-ucraniana, éste es un tema que ha levantado especial controversia. Pues, la existencia de un grupo de cibervoluntarios ucranianos (IT-армія України, en inglés el IT-Army of Ukraine) ha puesto en el foco de la atención mediática la importancia de la voluntad de lucha de las sociedades europeas, llegándose a criticar desde ciertos sectores a los profesionales de la ciberseguridad españoles por no emular las hazañas de los voluntarios ucranianos, cuando lo cierto es que, no cabe comparación alguna, pues el contexto beligerante ucraniano no tiene símil en la Unión Europea.
Cuando se realiza el perfilado de una fuente humana mediante tácticas HUMINT, se estudia la personalidad de los individuos en función de una serie de rasgos psicológicos característicos, los cuales permiten una catalogación en relación con las aspiraciones personales o profesionales que los individuos ansían alcanzar. Es lo que se conoce como la teoría de las necesidades de McClelland, también conocida como la teoría de las tres necesidades (teoría de las necesidades adquiridas, teoría de las necesidades motivacionales y teoría de las necesidades aprendidas) (McClelland, 2009).
McClelland identificó en su teoría tres motivadores que definían a los individuos (la necesidad de logro, la necesidad de afiliación y la necesidad de poder) y estableció tres tipos de personalidades distintas en función del motivador dominante de cada individuo –es decir, existen tres personalidades principales, pero pueden existir también distintas variaciones de éstas en función de la proporción existente en la combinación.
La necesidad de logro cataloga a las personas cuyo rasgo motivador dominante es el establecerse una meta desafiante y lograrla, por ejemplo, ser capaz de lograr una cura para el cáncer; la necesidad de afiliación define a aquellas personas cuyos rasgos de personalidad se orientan hacia la pertenencia al grupo y la socialización (una persona afectiva no buscará la cura del cáncer para demostrarse así mismo que es capaz de alcanzar este logro personal y profesional, sino para contribuir con su trabajo a salvar vidas); y la necesidad de poder, donde se encuentran las personas cuyo impulso motivador se traduce en control e influencia –en el ejemplo anterior, una persona donde su rasgo motivador primordial es el poder no se verá tentada a buscar una cura de cáncer como meta, ni tampoco para ayudar a sus congéneres, sino para alcanzar un fin que le aporte una suerte de influencia sobre los demás, por ejemplo, ganando el premio nobel.
Sin embargo, todas las combinaciones posibles de rasgos de personalidad únicamente logran brillar en el individuo cuando éste es capaz de superar los objetivos más básicos para su supervivencia. Dicho de otra forma, no es hasta que el ser humano tiene garantizadas una serie de necesidades básicas (alimentación y seguridad principalmente) cuando puede permitirse la licencia de aspirar a cubrir otra serie de necesidades que conformarán unos rasgos psicológicos más evolucionados, como pudiera ser la búsqueda del poder, la mejora de su situación económica o el desarrollo de su potencial de afectividad.
Esta idea la enuncia la teoría de las necesidades de Maslow (anterior a la teoría de McClelland), la cual identifica una serie de necesidades básicas que tienen los seres humanos, en orden de importancia: necesidades fisiológicas, de seguridad y de pertenencia a un colectivo, de reconocimiento y de autorrealización (Maslow, 2014).
En el caso de la guerra de Ucrania, los cibervoluntarios ucranianos no están aportando sus conocimientos para ensalzar un sentimiento nacional, para promocionar profesionalmente, ni para lucrarse económicamente, sino que están luchando con las armas de las que disponen para alcanzar una de las necesidades principales en el orden de prioridades del ser humano: defender su nación (pertenencia al colectivo) para asegurar la alimentación y la seguridad de sus familias y de ellos mismos. Y, es precisamente, por esta razón, por lo que resulta tremendamente injusta la crítica hacia una comunidad de hackers y a un tejido empresarial que no se encuentra sometido a unos condicionantes de supervivencia similares a los ucranianos.
Estado actual de la ciberdefensa española
La ciberdefensa se ha transformado en una cuestión vital para la defensa de los estados modernos, imponiéndose más claramente la gestión de los riesgos que emanan del ciberespacio.
El ciberterrorismo, los ciberataques a empresas y administraciones públicas o el ciberespionaje son solamente algunas de las amenazas más relevantes que podemos encontrarnos y que han hecho reflexionar a los gobiernos de distintos países, potenciando una búsqueda de herramientas que les permitan minorar las consecuencias indeseables que se desprenden de este nuevo escenario de confrontación.
Las operaciones en el ciberespacio desarrolladas por el estamento militar pueden ser observadas desde una doble perspectiva, la general, cuya finalidad estratégica se vincula a la seguridad en sí misma y que aglutina al conjunto de las cibercapacidades nacionales en orden de la defensa nacional; y la militar propiamente dicha, entendida como un subconjunto de aquellas operaciones que emplean unas capacidades esencialmente militares para alcanzar un objetivo militar.
La capacidad de ciberdefensa de un Estado ha de basarse en dos pilares fundamentales, por un lado, el de proteger los sistemas propios de la acción malintencionada de terceros, el cual se despleglaría mediante la generación de operaciones de carácter defensivo orientadas a repeler la agresión del enemigo (tanto a nivel interno, es decir, que se desarrollan en su totalidad en nuestros sistemas, como externas, donde se incluirían acciones en las redes de terceros o del adversario); y por otro, las operaciones ofensivas que nacen directamente enfocando su acción hacia las redes del adversario, y que tienen como meta el alcanzar objetivos en nuestro beneficio.
En general, podemos englobar las ciberoperaciones en dos tipologías distintas, las ciberoperaciones en el ciberespacio y las operaciones a través del ciberespacio. Pero, lo cierto es que, en cualquier caso, éstas han de contemplarse desde el punto de vista de las operaciones multidominio, ya que, resulta imprescindible poseer una visión compartida y global que permita combinar distintas perspectivas en tiempo real.
El SCOMCE: el sistema de combate en el ciberespacio de las FAS
Analizando los conceptos anteriores, podemos llegar a la conclusión de que, las cibercapacidades a desempeñar se contextualizan de forma idónea dentro de las interacciones que pueden realizarse en la zona gris, es decir, en esa suerte de paz tensa donde el objetivo principal es degradar al adversario al mismo tiempo que se evita la escalada a un conflicto de mayores proporciones.
Así pues, cuando se es atacado mediante ciberacciones en la zona gris, la etapa inicial del planteamiento ha de ser el decidir si se va a optar por un planteamiento defensivo, potenciando la resiliencia de los sistemas propios, o si por el contrario, se optará por desplegar contramedidas de carácter ofensivo.
No obstante, hay que resaltar que, las acciones en el ciberespacio han de ser consideradas como creadoras de efectos en el mundo físico, y por ende, la elección del tipo de respuesta a emplear no resulta fácil –siendo todo un reto en la gestión de crisis para los decisores políticos y militares, el decidir hasta qué punto una ciberoperación puede constituirse como una parte decisiva en el escenario estratégico.
Por tanto, resulta evidente la necesidad de estar preparados y disponer de las capacidades necesarias para mantener los dos escenarios propuestos: la negación (evitar que el adversario pueda cometer acciones degradantes o desestabilizadoras en nuestros sistemas – defensa), y la negación por represalia (potenciar nuestras capacidades de respuesta y ataque) –siendo preciso demostrar esta última en escenarios de simulación y ejercicios conjuntos.
En la Estrategia Nacional de Ciberseguridad (2019) ya se hablaba de potenciar la visión ofensiva de nuestras FAS en el ciberespacio, de forma que, tal y como advierte el refranero español, en el término medio está la virtud, interiorizando así la idea de que lo más conveniente es la búsqueda y potenciación de un sistema dual que permita, por un lado, potenciar las infraestructuras de nuestro ciberespacio, y por otro, responder de forma contundente a los ataques recibidos.
Precisamente, con el objetivo de realizar un ejercicio de integración de las capacidades ciber en apoyo a operaciones cinéticas y en favor de la potenciación de un contexto altamente complejo, el Ministerio de Defensa presentó en las XVI Jornadas STIC CCN-CERT/ IV Jornadas de Ciberdefensa: ESPDEF-CERT, que tuvieron lugar a finales de noviembre del presente año en Madrid, un sistema basado en la explotación, la inteligencia y el ataque: el SCOMCE.
El SCOMCE es un sistema de combate que busca responder a la necesidad que plantean nuestras FAS de realizar operaciones en el ciberespacio, un sistema de armas específico para el ciberespacio destinado a permitir el planteamiento, la dirección, la coordinación y el control de las operaciones cibernéticas de cara a enfrentar unas amenazas concretas, y con el propósito de alcanzar un sistema coordinado, escalable y distribuido por niveles.
Be the first to comment