En las últimas décadas se han producido importantes cambios en el escenario internacional debido a la incorporación de las Tecnologías de la Información y Comunicación, pero tan sólo en los últimos años los gobiernos están empezando a ser conscientes de los cambios que implica la expansión del ámbito digital en nuestras sociedades y sus implicaciones en la seguridad nacional. Para hacer frente a los desafíos digitales se han desarrollado documentos estratégicos que, en el caso de España, se concreta en la nueva Estrategia Nacional de Ciberseguridad 2019, que analizamos a continuación.
El Consejo de Seguridad Nacional aprobó el 12 de abril de 2019 la nueva Estrategia Nacional de Ciberseguridad 2019 -en adelante, EC 2019-. La elaboración de este nuevo documento corresponde a la previsión señalada en la Estrategia de Seguridad Nacional 2017, que establecía la voluntad de revisar las estrategias sectoriales existentes, entre las que se encontraba la actualización de la ya lejana Estrategia de Ciberseguridad Nacional 2013 -en adelante, EC 2013-.
Contextualización de la ciberseguridad
Las novedades que han comportado las Tecnologías de la Información y Comunicación (TIC) han tenido un impacto extraordinario en prácticamente todos los ámbitos de aquellas sociedades más avanzadas tecnológicamente y un progreso en muchos casos difícil de imaginar tan sólo unos años antes, gracias a que este entorno digital permite el intercambio de información de forma rápida -casi a tiempo real-, a un coste reducido y desde prácticamente cualquier parte del mundo. Sin embargo, a pesar de los enormes avances que se han producido con la revolución digital, también han surgido nuevos desafíos que pueden afectar a la Seguridad Nacional, debido en gran medida a la enorme dependencia que el país tiene respecto a estas tecnologías.
En este sentido, se está produciendo un aumento progresivo de las actividades delictivas relacionadas con el crimen organizado, actividades de influencia y/o espionaje, así como ataques informáticos a infraestructuras críticas, realizadas en muchos casos por actores estatales.
En este contexto, España, al igual que el resto de países desarrollados tecnológicamente, está expuesto a este tipo de actividades que pueden comportar la interrupción de los servicios básicos, importantes pérdidas económicas, el robo de información sensible con implicaciones en la propia seguridad nacional o, menos tangible pero de vital importancia en nuestras sociedades democráticas, el impacto que un ciberataque puede tener en la confianza de la ciudadanía en sus instituciones. Por todo ello, es de vital importancia garantizar el libre acceso al ciberespacio, la confidencialidad de la información que circula y la disponibilidad de las redes y sistemas existentes.
La ciberseguridad en España
La EC 2019 no es un documento novedoso en el ámbito de la ciberseguridad española, sino que se desarrolla a partir de los avances que se han producido desde la anterior edición del año 2013. Esta primera edición, que estaba alineada con otro documento estratégico, la Estrategia de Seguridad Nacional 2013 -identificaba las ciberamenazas como uno de los doce riesgos y amenazas para la Seguridad Nacional-, constituía el primer documento específico de este tipo en España y se erige como el marco de referencia del ámbito de la ciberseguridad, a partir del cuál se crea una estructura orgánica integrada en el Sistema de Seguridad Nacional. La EC 2013 establecía, además, las directrices y las líneas generales de actuación y planteaba el esquema de gobernanza nacional en el ciberespacio.
Pero debido a los rápidos cambios que se han producido en los últimos años se antojaba necesario actualizar el documento al actual contexto de la ciberseguridad. Entre ambas ediciones se han producido importantes avances estratégicos y normativos, como la constitución a principios de 2014 del Consejo Nacional de Ciberseguridad -órgano de apoyo al Consejo de Seguridad Nacional-, la publicación de la Ley 36/2015 de Seguridad Nacional, que define la ciberseguridad como un ámbito de especial interés, o la incorporación al ordenamiento jurídico nacional de la Directiva (UE) 2016/1148, conocida popularmente como la Directiva NIS, que establece unos requisitos comunes de seguridad tanto para los operadores de servicios esenciales como a los proveedores de servicios digitales.
Por último, la publicación de la Estrategia de Seguridad Nacional 2017 -en adelante, ESN 2017-, además de señalar que el ciberespacio es uno de los global commons, identifica las vulnerabilidades del ciberespacio como una de las amenazas y desafíos para la Seguridad Nacional y determina que el objetivo en el entorno digital consiste en “garantizar un uso seguro de las redes y los sistemas de información y comunicaciones a través del fortalecimiento de las capacidades de prevención, detección y respuesta a los ciberataques potenciando y adoptando medidas específicas para contribuir a la promoción de un ciberespacio seguro y fiable”. Para cumplir este objetivo en el ámbito digital, en agosto de 2018 se aprueba el procedimiento para la elaboración de la EC 2019.
Ámbito de actuación de la Estrategia Nacional de Ciberseguridad 2019
En la elaboración de la Estrategia participaron hasta trece ministerios y organismos como el Centro Nacional de Inteligencia, el Departamento de Seguridad Nacional, así como un Comité de Expertos en ciberseguridad que agrupa profesionales, empresas y al sector académico, lo que desde un inicio ya nos muestra la transversalidad del ámbito digital. Este enfoque se encuentra presente a lo largo del documento, y por ello pretende abordar estas cuestiones desde un enfoque multidisciplinar e internacional. Los retos del ciberespacio no son asunto estrictamente nacional, al contrario.
Por ello, la EC 2019 expone la importancia que tiene la colaboración con los organismos internacionales, principalmente a través de la Unión Europea -en colaboración con el resto de estados miembros y a través del fortalecimiento de la coordinación y el desarrollo de normativa europea, con el objetivo de garantizar un ciberespacio abierto, protegido y seguro- y sus socios de la Alianza Atlántica y en el marco de Naciones Unidas, sin olvidar la importancia de acuerdos bilaterales que refuercen la defensa de los intereses nacionales en entorno digital.
Por otro lado, la EC 2019 está alineada con la ES 2017 y se basa en sus mismos principios rectores como son la unidad de acción -implicación de todos los sectores de la sociedad para mejorar la respuesta a los posibles incidentes-, la anticipación -pasar de una posición defensiva a una posición proactiva-, la eficiencia -mejorar la planificación en un contexto económico complejo- y la resiliencia -para garantizar la disponibilidad de los servicios básicos-.
En relación a la anticipación, la EC 2019 muestra la voluntad de cambiar de un modelo de ciberseguridad que califica de preventivo y defensivo, hacia un modelo que incorpore medidas disuasorias, es decir, el paso a un modelo proactivo, lo que implica un cambio en cómo el país pretende afrontar los desafíos de la ciberseguridad. En cuanto a la eficiencia, el documento subraya el contexto de austeridad económica en el cual se ha desarrollado la Estrategia -al que habríamos de añadir la incertidumbre política que ha caracterizado los últimos-, y afirma que para obtener la eficiencia deseada con los recursos disponibles hay que hacerlo a través de la “unidad de acción, compartición de información e integración de recursos”.
El ciberespacio como espacio común global
A diferencia de lo que pueda parecer, la Estrategia Nacional de Ciberseguridad 2019 no es un documento técnico, sino estratégico, que expone la situación de España en el ámbito de la ciberseguridad y las implicaciones que las TIC tienen en nuestra sociedad en su conjunto, desde las administraciones públicas, al sector privado y en la ciudadanía.
El documento se estructura en cinco capítulos, el primero de los cuales nos expone una visión general del ciberespacio y de las oportunidades que nos ofrece -principalmente a través de libre circulación de la información o del progreso económico y social que ha comportado en los últimos años-, pero también nos plantea los desafíos que presenta a la hora de garantizar la seguridad de los sistemas y redes de comunicación. La extensión y actual dependencia de las TIC genera nuevas vulnerabilidades en la protección de la información y la privacidad de los datos que, en muchos casos, contienen información de importante valor estratégico para el país.
Además, este capítulo señala algunos de los puntos críticos en el actual entorno de la ciberseguridad -que serán recurrentes a lo largo del documento- como son la falta de personal con los conocimientos y la formación necesaria o la falta de concienciación y cultura de ciberseguridad. Pero aquí queremos destacar una de las escasas referencias que el documento hace del entorno digital en el ámbito de la defensa, al concebir el ciberespacio como un entorno de confrontación entre Estados y que por ello advierte de la necesidad de reforzar las capacidades de ciberdefensa “como elemento fundamental de la acción del Estado”.
Amenazas y desafíos cibernéticos
El segundo capítulo identifica las principales amenazas y desafíos en el ciberespacio y los actores que participan, partiendo de los elementos identificados en la ES 2017, y desarrolla la distinción entre las ciberamenazas -entendidas como “todas aquellas disrupciones o manipulaciones maliciosas que afectan a elementos tecnológicos”- y las acciones que utilizan el ciberespacio como medio para llevar a cabo las actividades maliciosas. En el primero de los casos no profundiza en su explicación, pero si destaca que las ciberamenazas pueden tener un impacto en los distintos ámbitos de la Seguridad y Defensa Nacional, y en sectores como la economía y las infraestructuras críticas, y que por ello, debe ser afrontado desde una perspectiva integral en las que participe desde la Administración Pública, el sector privado y la ciudadanía.
Pero el énfasis lo pone en aquellas acciones que hacen un uso del ciberespacio como medio para realizar actividades maliciosas, entre las que destaca el ciberespionaje y la cibercriminalidad. En relación al espionaje cibernético, señala que los actores estatales son la principal amenaza, sobretodo a través de las denominadas Amenazas Persistentes Avanzadas -APTs, por sus siglas en inglés-, debido a que los Estados poseen las mayores capacidades económicas y de conocimientos. Por otro lado, señala que el cibercrimen es un problema de primer orden por su impacto en organismos, empresas y ciudadanos, pero no profundiza en ninguno de estos dos fenómenos. Lo que si aporta es una distinción entre estas actividades que, dependiendo de su autoría, de sus motivaciones y de sus objetivos, el documento las divide entre:
- Ciberdelincuentes: relacionados con el crimen organizado y con el objetivo de obtener recursos económicos, dónde podríamos incluir la contratación de servicios de cibercriminales por parte de individuos, empresas y estados.
- Grupos terroristas: distingue entre aquellas actividades relacionadas directamente con ciberataques y las que tienen como objetivo la propaganda, el reclutamiento y la financiación.
- Grupos hacktivistas: los ciberataques los llevarían a cabo por razones ideológicas y buscarían con ello tener un impacto mediático y social.
En este capítulo también hace referencia a las amenazas híbridas y las campañas de desinformación, pero de forma aislada, un hecho cuanto menos llamativo teniendo en cuenta que en relación a las campañas de desinformación – que han sido las actividades que sin duda han centrado la atención en el ciberespacio en los últimos años- tan solo hace unas breves referencias por su capacidad de influir en la opinión pública y en procesos electorales.
Propósito, objetivos y líneas de acción
El tercer capítulo -en los que expone el propósito, los principios y objetivos de la Estrategia- el y cuarto capítulo -dónde expone las líneas de acción y las medidas- son los más extensos del documento. A continuación ambos capítulos se exponen juntos para aportar una mayor comprensión de los objetivos y medidas que aporta la Estrategia.
El propósito del documento, presente en el tercer capítulo de la EC 2019, consiste en establecer las directrices generales para alcanzar los objetivos señalados en la ES 2017 en el ámbito de la ciberseguridad, y para ello pretende avanzar en el refuerzo de las capacidades, fomentar la cultura de ciberseguridad, impulsar la industria española de ciberseguridad, la investigación, el desarrollo y la innovación -en línea con la falta de personal disponible actualmente- o intensificar la cooperación internacional en el ámbito digital.
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
Be the first to comment