A través de la historia podemos comprobar que la progresiva aparición de nuevas tecnologías conlleva siempre un cambio en las doctrinas militares, aunque éste no se produzca de forma inmediata (Torres, 2013: 331). La forma de hacer la guerra y sus métodos han evolucionado con la humanidad. El desarrollo tecnológico que ha sido capaz de experimentar el ser humano a lo largo de la historia se ha vinculado generalmente a la búsqueda de la obtención de una superioridad militar respecto a sus enemigos. Y al igual que el desarrollo de la navegación, la aviación o la conquista espacial se tradujeron en la apertura de unos nuevos “dominios”[1] y esferas de influencia en el método de la guerra, en la actualidad el desarrollo tecnológico cibernético ha dado lugar a la aparición de uno nuevo: el dominio cibernético.
El espacio cibernético, más conocido como ciberespacio, se ha constituido como un nuevo quinto elemento, sumándose a los otros cuatro (tierra, mar, aire y espacio) e interaccionando estrechamente con estos, al no tratarse éste de un entorno aislado, sino profundamente vinculado y apoyado en los medios físicos que lo sustentan (por ejemplo, las redes eléctricas o de telefonía).
Esta interacción e interconexión entre lo físico y lo ciber da lugar a importantes vulnerabilidades de seguridad, que se traducen en un gran impacto y repercusión sobre los estados, y especialmente sobre sus estrategias de seguridad nacionales e internacionales (Curtis Lemay, 2011).
Ciertamente, estas vulnerabilidades de seguridad vinculadas al dominio cibernético implican unos riesgos para el Estado y las empresas privadas: un ciberataque implica intrínsecamente un impacto económico, y si además éste se hace público, también un coste reputacional. Sin embargo, los riesgos no se limitan a lo económico, sino que, también pueden llegar a afectar a la vida de los ciudadanos.
El año 2020, será tristemente recordado por diversos motivos, entre ellos por la pandemia producida por el SARS-CoV-2, pero también por haber sido el año en que un ciberataque produjo la primera víctima mortal registrada de la historia. El día 15 de septiembre de 2020, un ataque ransomware produjo el colapso informático del servicio de urgencias del Hospital Universitario de Dusseldorf (Alemania) y como consecuencia una paciente falleció mientras era traslada a otro hospital capaz de funcionar correctamente (La Razón, 2020).
Por ello, la protección en el dominio cibernético resulta fundamental, y ésta precisa de una doble vía, por un lado, se vuelca en el desarrollo de medidas defensivas que permitan a los estados proteger sus infraestructuras críticas de posibles ciberataques enemigos, y, por otro lado, se busca garantizar la seguridad del personal militar desplegado en los distintos teatros de operaciones.
Tanto la OTAN, que considera el entorno cibernético como un dominio para las operaciones militares desde la Cumbre de Varsovia de 2016, como España consideran el ciberespacio como un entorno primordial en el que implementar sus acciones.
En el presente artículo trataremos de abordar el recorrido histórico que se produjo en nuestro país hasta que el dominio cibernético y la ciberdefensa adquirieron el peso que poseen en la actualidad en el debate estratégico-militar.
Además, trataremos de predecir si España superará el paradigma defensivo de la resiliencia actual y progresará hacia un escenario en el que sea capaz de implementar acciones ofensivas (offensive cyber capabilities, OCC) que afiancen la lógica de la disuasión.
Dada la importancia de la ciberseguridad y la ciberdefensa como elementos principales de estudio en el siglo XXI, creemos necesario el realizar un primer análisis de estado de la cuestión en España. Centrándonos principalmente en el recorrido histórico de la materia en nuestro país desde que después de los años 90 comenzase a ser objeto de estudio por parte de las principales instituciones militares españolas.
Todo ello con el objetivo de responder a la pregunta: ¿Ha integrado España correctamente las respuestas a amenazas provenientes del dominio cibernético en su sistema de seguridad nacional?
1. Definiendo conceptos
Un estudio, o al menos una buena aproximación a la materia, precisa de la definición de los conceptos más básicos vinculados a la ciberdefensa y el dominio cibernético o ciberespacio.
Con frecuencia términos como ciberdefensa, ciberseguridad, ciberespacio, dominio cibernético o seguridad de la información son empleados por los medios de comunicación, trascendiendo así los foros de debate técnico-especializados.
Sin embargo, la popularización de términos tan técnicos entraña que a veces se produzca una desvirtuación de su significado. Especialmente, debido a que en su mayoría estos son traducidos del inglés de forma literal, sin tener en cuenta que no siempre la traducción literal de términos implica una traducción de significado.
Por ello, en el presente marco teórico creemos necesario realizar una definición de los principales conceptos que utilizaremos a lo largo de la presente investigación.
Si bien existen muchas definiciones de la ciberdefensa, hemos decidido utilizar la definición empleada por Pastor Acosta (2012) por su sencillez, entendiendo el concepto como: «El conjunto de sistemas, infraestructuras, personas, medios de apoyo y procedimientos doctrinales, que permitan cumplir con la misión de defender el ciberespacio.».
No obstante, esta definición nos obliga a recoger en el presente marco teórico dos conceptos más, por un lado, el de dominio cibernético, entendido como:
Un dominio global dentro del entorno de la información, compuesto por una infraestructura de redes de tecnologías de la información interdependientes, que incluye Internet, las redes de telecomunicaciones, los sistemas de información y los controladores y procesadores integrados junto con sus usuarios y operadores. (NMS-CO, 2006).
También, por otro lado, el de capacidad militar, entendida como:
El conjunto de factores (sistemas de armas, infraestructura, personal y medios de apoyo logístico) asentados sobre la base de unos principios y procedimientos doctrinales que pretenden conseguir un determinado efecto militar a nivel estratégico, operacional o táctico, para cumplir las misiones asignadas. (García Sieiro, 2006).
En este sentido, debemos considerar el ciberespacio como un entorno global y dinámico, en constante evolución; un escenario complejo que posee unas características propias; una infraestructura transversal capaz de incidir físicamente pese a su inmaterialidad; y, en definitiva, un nuevo ámbito para las operaciones militares plagado de vulnerabilidades y unas amenazas cada vez más sofisticadas.
La ciberseguridad consiste precisamente en la aplicación de un proceso de análisis y gestión de estos riesgos asociados al uso, procesamiento, almacenamiento y transmisión de información y de los sistemas y procesos usados. O, dicho de otro modo, la ciberseguridad debe formularse proactivamente como un proceso continuo de análisis y gestión de los riesgos asociados al ciberespacio (Fellu Ortega, 2012).
A menudo, las amenazas provenientes del dominio cibernético se ajustan a la definición del término “acción no convencional”, o, dicho de otro modo, un ciberataque puede ser considerado como parte de un ataque híbrido, compuesto por la implementación de acciones militares convencionales con otras no convencionales (ciberataques, manipulación de la información, elementos de presión, política, social o económica).
Este tipo de acciones se apoya principalmente en determinadas características propias del ciberespacio, como son la dificultad que entraña el individualizar a los autores de un ciberataque, la diversidad de adversarios existentes y la falta de una regulación internacional (Arteaga, 2019).
Por el momento, los estados han optado por dos posicionamientos distintos respecto a las amenazas del ciberespacio, la disuasión y la ofensiva. En lo que respecta a la disuasión (deterrence), se entiende como la táctica que permite a un Estado evitar acciones ofensivas del oponente, convenciéndolo de que su costo superará el beneficio esperado. En otras palabras, la disuasión se basa en percepciones y su efectividad depende no sólo de la respuesta a la pregunta de “cómo” sino a las de “quién” y “qué”. Por ejemplo, puede ser efectiva con algunos actores y no con otros, o, a pesar de que resulte irónico, es más fácil disuadir a grandes estados de realizar actos como la destrucción de una red eléctrica que evitar que cometan acciones que no llegan a ese nivel (Nye, 2019).
Principalmente existen cuatro grandes mecanismos de disuasión orientados a la reducción y prevención de conductas indeseables en el ciberespacio: disuasión por amenaza de castigo, por medidas defensivas de negación (denial), por interdependencia (entanglement) y por tabú normativo[2].
Además, la disuasión no termina en el ámbito cibernético, sino que su respuesta puede darse en el plano físico. Así, Estados Unidos ha dejado claro en su estrategia de disuasión que responderá a ciberataques en una variedad de ámbitos o sectores, con cualquier arma de su elección, en proporción al daño que se le haya infligido al Estado –abarcando estas declaraciones desde la denuncia pública o las sanciones económicas hasta la respuesta nuclear (Nye, 2019).
Los mecanismos de disuasión se desarrollan con el objetivo de disuadir a los potenciales adversario de realizar un ataque en base a dos principios. El primero, el hacer entender al adversario que sus ataques no van a conseguir sus objetivos y que los costes, en caso de asumirlos, van a ser elevados. El segundo, que la respuesta al primer ataque será contundente y orientada a ocasionarle un daño superior al que está dispuesto a asumir (Denning, 2016).
En el caso español, desde el año 2017, según el Concepto de Empleo de las Fuerzas Armadas (CEFAS 2017), se entiende que para que la disuasión en el ciberespacio sea efectiva tiene que cumplir tres condiciones (EMAD, 2017: 31): disponer de unas capacidades militares preparadas para ser utilizadas; que el enemigo las conozca[3], por su uso en ejercicios y operaciones; y que éste tenga la certeza de que en caso de ataque serán utilizadas, ya que, no disponer de capacidades ofensivas de contraataque o no estar dispuestos a usarlas genera en el enemigo un efecto contrario a la disuasión que incentiva los ciberataques ante la certidumbre de impunidad y de que no encontrarán respuesta (Gil, 2017).
2. El desarrollo histórico del dominio cibernético en España
2.1 El desarrollo normativo de la ciberseguridad en España
Hasta el momento hemos podido comprobar que el ciberespacio es un entorno per se asimétrico, un dominio casi infinito donde las fronteras no se encuentran todavía definidas y en el que los estados todavía no tienen especialmente claro el cómo actuar (Sánchez-Román, 2020).
Creemos necesario por tanto el confeccionar un estudio sobre la implicación del sistema de seguridad nacional español en la materia, realizando un recorrido que nos permita observar si se ha avanzado en la estrategia de ciberdefensa en España y si se ha alcanzado ya la madurez suficiente en las estrategias de ciberdefensa como para que éste pueda permitirse desempeñar una política de defensa basada en la disuasión.
En España, normativamente los conceptos de seguridad y defensa se vinculan al espacio cibernético desde 1978, cuando nuestra Constitución en sus artículos 18 y 20 especifica que se puede limitar el uso de la informática con el objetivo de garantizar la libertad de expresión e información (CE, 1978).
No obstante, no es aproximadamente hasta el año 2000, con la publicación del Libro Blanco de la Defensa, cuando nuestro país empieza a considerar el entorno cibernético como un “escenario estratégico” para la defensa nacional y se comienza a prestar interés a “los prodigiosos avances registrados en los campos de la comunicaciones y sistemas de información” (Libro Blanco de la Defensa, 2000).
Tres años más tarde, en la Revisión Estratégica de la Defensa del año 2003, se incluyen por primera vez a los ciberataques (llamados “ataques cibernéticos” por aquel entonces) como un riesgo para la seguridad española, delimitándose además en la revisión dos campos sobre los que podría afectar la citada amenaza.
Por un lado, entendían ya las autoridades de la época que, la amenaza comprendería los ataques contra los sistemas que integran las infraestructuras básicas del Estado (contemplándose ya la posibilidad de que un ciberataque pudiese llegar a ocasionar graves daños a los servicios públicos e incluso la paralización del transporte férreo o la interrupción energética); y por otro, se entendía ya de la gravedad que supondría una vulnerabilidad ciber en la infraestructura de defensa nacional que permitiese una penetración cibernética en la Red de Comunicación, Mando y Control de las Fuerzas Armadas, en el Sistema Nacional de Gestión de Crisis o en las bases de datos de los Servicios de Inteligencia pueden suponer una amenaza directa a la Seguridad nacional.
No obstante, pese a que la Revisión Estratégica de la Defensa del año 2003 apostaba por la implementación de estructuras capaces de hacer frente a las ciberamenazas ni en la Ley Orgánica de la Defensa Nacional 5/2005 ni tampoco en la Directiva de Defensa Nacional 1/2008 (y su actualización, la Directiva de Defensa Nacional 1/2009), se apuesta por la creación de estructuras de seguridad capaces de defender a España de ataques cibernéticos –aunque sí es cierto que éstas ya sí enmarcan a las ciberamenazas dentro de las Estrategias de Seguridad Nacional (Fellu Ortega, 2012).
Es en el año 2011 con la publicación de la Estrategia de Seguridad Nacional (EES), se incluye no solamente a las ciberamenazas como una de las principales amenazas a la seguridad nacional, sino que además se prevé la creación, dentro del Consejo Nacional de Defensa, de un Consejo Español de Seguridad, dependiente del presidente del Gobierno.
Cada vez una mayor parte de nuestra actividad se desarrolla en el ciberespacio, donde las amenazas pueden ocasionar graves daños e incluso podrían paralizar la actividad de un país. Los ciberataques más comunes tienen fines comerciales, pero también estamos expuestos a agresiones por parte de grupos criminales, terroristas u otros, incluso de Estados. Las nuevas tecnologías de información y comunicación ofrecen nuevos y más sofisticados medios para el espionaje y la contrainteligencia. Mejorar la seguridad en el ciberespacio pasa por fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de los sistemas de gestión y comunicación de las infraestructuras y los servicios críticos, y por fomentar la colaboración público-privada con este fin. Es necesaria la coordinación de los diversos agentes involucrados, así como impulsar la cooperación internacional con el objetivo de desarrollar acuerdos de control de las ciberamenazas (EES, 2011).
Sin embargo, todavía en 2011, si bien existía legislación distribuida en distintos ámbitos ministeriales, no se contemplaba el desarrollo de una legislación específica y completa en materia de ciberseguridad, no existiendo todavía una política común a nivel nacional y estratégico de ciberdefensa –las responsabilidades en el ciberespacio se encontraban repartidas entre los diferentes organismos de la estructura de seguridad nacional, desde el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), hasta las estructuras de la Guardia Civil y la Policía Nacional, pasando por los organismos de los tres ejércitos, el Equipo de Respuesta de Emergencia Informática (CERT), del Centro Criptológico Nacional (CCN) y el propio Centro Nacional de Inteligencia (CNI).
En el año 2013, la Estrategia de Seguridad Nacional consideraba que el ciberespacio era un ámbito especialmente poco regulado y de difícil control, estableciendo así la necesidad de actuar en el mismo.
La forma de actuación se plasmó en la Estrategia de Ciberseguridad Nacional del año 2013, la cual constituyó todo un hito a nivel de regulación del ciberespacio en España. Pues no solamente contemplaba la existencia de ciberamenazas, sino que además fijaba por primera vez una serie de objetivos a nivel estratégico (los cuales comprendías desde el fortalecimiento de los Sistemas de Información y Telecomunicaciones de las Administraciones Públicas hasta el potenciamiento de las capacidades de prevención, detección, respuesta, investigación y coordinación en el ciberespacio; e incluso se buscaba sensibilizar a los ciudadanos, empresas y administraciones respecto de los riesgos en el ciberespacio) y unas líneas de acción orientadas a la consecución de los objetivos establecidos.
Además, se desarrollaba por primera vez una estructura orgánica clara de la ciberseguridad en nuestro país. Bajo la dirección del Presidente del Gobierno, la estructura se compondría de tres órganos, uno ya existente, el Consejo de Seguridad Nacional, como Comisión Delegada del Gobierno para la Seguridad Nacional; y dos nuevos: el Comité Especializado de Ciberseguridad, que daría apoyo al Consejo de Seguridad Nacional prestando asistencia a la dirección y coordinación de la Política de Seguridad Nacional en materia de ciberseguridad y el Comité Especializado de Situación, que, con apoyo del Centro de Situación del Departamento de Seguridad Nacional, gestionaría las situaciones de crisis de ciberseguridad.
La seguridad en el entorno ciber va adquiriendo conforme pasan los años una importancia cada vez mayor, y los avances implementados por la EES 2013 y la Estrategia Nacional de Ciberseguridad 2013 se consolidan mediante la Estrategia de Seguridad Nacional del año 2017, la cual una vez más vuelve a destacar la importancia de los ciberataques, a los cuales considera uno de los principales retos a la seguridad nacional española, al considerar que de ellos surgen las denominadas amenazas hibridas (EES, 2017).
Además, la EES 2017, siguiendo la doctrina de las Cumbre de Varsovia de 2016 de la OTAN, contempla al ciberespacio como un espacio común global, junto con el espacio terrestre, marítimo, aéreo o ultraterrestre –es decir, lo considera el quinto elemento de los espacios comunes globales.
A su vez, la EES 2017 fija como objetivo y líneas de acción de la Seguridad Nacional, el orientar la acción del Estado hacia el avance de un modelo integral de gestión de crisis, el promover una cultura de Seguridad Nacional, el favorecer el buen uso de los espacios comunes globales y el impulsar la dimensión de seguridad en el desarrollo tecnológico y fortalecer la proyección internacional de España (EES, 2017).
Todas estas previsiones serán desarrolladas más extendidamente en una nueva Estrategia Nacional de Ciberseguridad, aprobada el 30 de abril de 2019, la cual busca reforzar la dirección centralizada y la ejecución coordinada de los esfuerzos en materia ciber desde un enfoque multidisciplinar.
No obstante, quizás el hito más importante que supone esta nueva estrategia radique en el hecho de que por primera vez se apuesta en España por la transición desde un modelo de ciberseguridad de carácter preventivo y defensivo hacia un esquema más global y con un mayor peso geopolítico, el cual busca incorporar elementos de mayor fuerza disuasoria.
El empleo del ciberespacio como dominio de confrontación, de forma independiente o como parte de una acción híbrida, es un rasgo ampliamente reconocido. La disuasión en ciberseguridad requiere la obtención y potenciación de capacidades de ciberdefensa, como elemento fundamental de la acción del Estado (Estrategia Nacional de Ciberseguridad, 2019).
Además, por primera vez se aconseja apostar por un refuerzo de la ciberinteligencia y por una mayor integración de ésta en el esquema conjunto de la ciberseguridad, como método para atajar la rápida evolución de las ciberamenazas y factor clave para ser capaz de gestionar las alertas de forma temprana, permitiendo así la anticipación del Estado frente a las acciones de los potenciales adversarios en el dominio cibernético.
Por su parte, en lo que respecta a las estructuras desarrolladas en el marco del Sistema de Seguridad Nacional, la Estrategia Nacional de Ciberseguridad de 2019 suma a las desarrolladas por la pasada estrategia de 2013 (Consejo de Seguridad Nacional, Comité Especializado de Ciberseguridad y Comité Especializado de Situación) tres componentes más y la reestructuración del Comité Especializado de Ciberseguridad, estableciendo de esta forma la citada Estructura Nacional de Ciberseguridad de 2019 que existen seis componentes: el Consejo de Seguridad Nacional, el Comité de Situación –único para el conjunto del Sistema de Seguridad Nacional ante situaciones de crisis–, el Consejo Nacional de Ciberseguridad, la Comisión Permanente de Ciberseguridad, el foro Nacional de Ciberseguridad y las distintas Autoridades públicas competentes, las cuales trabajarán con los Equipos de Ciberseguridad y Gestión de Incidentes españoles (CSIRT[4]) de referencia nacionales.
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
3 Comments