Emilio Rico Ruiz Security Advisor TRC

Ciberdefensa en España: un análisis de capacidades, preparación y retos

Emilio Rico Ruiz, de TRC, analiza la situación de la ciberdefensa en España y los retos que supone.

Vivimos un momento en el que la ciberseguridad debería ser un eje estratégico para cualquier particular, organización u empresa, y no hay día donde falten noticias sobre un ciberataque, con unas cifras de cibercrimen auténticamente desoladoras. Si echamos unos pasos atrás para tener una visión más amplia, observaremos un panorama internacional marcado por el creciente aumento y sofisticación de las amenazas cibernéticas, la expansión de ciertos actores hostiles estatales y una dependencia tecnológica, cada vez más crítica, de cualquier infraestructura.

Con una guerra cruel a pocos miles de kilómetros y aludiendo a principios de prudencia y prevención, cabe preguntarse si estamos convenientemente protegidos y si España está preparada para una guerra cibernética.

La verdad es que bien, regular o mal, siempre son conceptos relativos. Depende de la situación o escenario que queramos analizar o con quién nos comparemos. Mirando a nuestros aliados, si pudiera, me quedaría con lo mejor de cada casa.

Del Kommando Cyber alemán, me quedaría con sus efectivos: 15.200 militares que representan el 7,7 por ciento del total de sus Fuerzas Armadas (Bundeswehr), aunque quizá esta cifra sea pedir demasiado y me conformaría con un porcentaje más ajustado a la media de Europa (1,3% de las Fuerzas Armadas de un país). De Francia elegiría el desarrollo normativo de su doctrina de empleo. De Reino Unido su decidida apuesta por las capacidades ofensivas. Del USCYBERCOM de los Estados Unidos elegiría su organización, su potencia y su capacidad.

Aunque el caso de los Estados Unidos es punto y aparte. Es un mando unificado de combate (Unified Combatant Command), situado en el escalafón más alto del organigrama, con control efectivo sobre todas las fuerzas desplegadas. Su comandante es también el director de la Agencia de Seguridad Nacional. Además, cada rama de las Fuerzas Armadas tiene su propio componente cíber. Con sus 6.200 efectivos, son capaces de crear hasta 135 equipos de respuesta a incidentes, y este es un dato que no puedo pasar por alto porque siempre he pensado que en España los CERT gubernamentales tienen poco músculo para atender todos los incidentes que se producirían en nuestras infraestructuras en caso de conflicto.

Pero suspirar por los demás no soluciona gran cosa; es mejor centrarse en lo que tenemos y mejorar en todo lo posible.

Es imprescindible consolidar una estrategia de ciberdefensa más ambiciosa, integrada y resiliente

Ciberdefensa militar

En España, las operaciones militares en el ciberespacio recaen en el Mando Conjunto del Ciberespacio (MCCE), creado en 2020, asumiendo las funciones que ya ejercía el Mando Conjunto de Ciberdefensa (2013). El MCCE tiene la responsabilidad de la ciberdefensa militar, la protección de las redes y sistemas del Ministerio de Defensa, la coordinación con otros organismos nacionales e internacionales y el desarrollo de capacidades ofensivas y defensivas.

Y un detalle relevante: el MCCE es la única fuerza de combate que depende orgánicamente del Jefe de Estado Mayor de la Defensa (JEMAD). Los ejércitos son estructuras que deben estar preparadas para cumplir su misión permanente de defensa del territorio y facilitar la fuerza que les solicite el JEMAD en cumplimiento de nuestros compromisos internacionales, normalmente en misiones de mantenimiento de la paz. Son estructuras donde a las unidades de la fuerza se suma el apoyo a esa fuerza (armamento, logística, formación, doctrina…) dirigidos por un cuartel general.

No he elegido esas funciones al azar. Con 400 efectivos (un 0,3% del total de las Fuerzas Armadas), el MCCE es responsable de dotarse a sí mismo de esos apoyos al tiempo que cumple sus misiones. Nadie les hace la doctrina, nadie les proporciona formación, nadie les desarrolla el código de las ciberarmas. Se lo hacen todo ellos solos.

A nadie se le escapa que la formación de un ciberguerrero en tareas defensivas, ofensivas o como analista forense, su adiestramiento continuo y la experiencia necesaria no se adquieren en unos meses y requiere de actualizaciones permanentes, dado que la tecnología no deja de evolucionar. Además, no es un personal que se pueda sustituir fácilmente.

También sabemos que la ciberseguridad ya no es solo competencia de unos pocos. Todos los sistemas de armas, de inteligencia, de mando y control, etcétera, se soportan sobre sistemas informáticos, y garantizar la ciberseguridad de esos sistemas será esencial para obtener y mantener la libertad de acción en un campo de batalla. De igual forma sucede en el terreno ofensivo, donde pueden conseguirse efectos similares o parecidos a los cinéticos. A partir de ahora, las unidades de ciberseguridad se ponen a disposición del mando para alcanzar los objetivos marcados; por tanto, será necesario conocer el empleo de esta nueva fuerza y saber mandarla. Disponer de una doctrina clara, realizar un acertado planeamiento de sus misiones y ejecutar esos planes con una conducción eficaz, con unos procesos de mando y control engrasados, listos y entrenados, será fundamental para que funcione una unidad operativa cíber.

Resiliencia

Pero la ciberseguridad moderna no solo trata ya de prevenir que ocurra un incidente, sino de saber gestionar la incidencia en caso de que ocurra, de minimizar su impacto y de recuperarse en el menor tiempo posible. Debemos ser conscientes de que nuestros centros de procesos de datos y nuestras infraestructuras críticas van a ser objetivos a batir, por lo que disponer de infraestructuras resilientes que lo permitan será también un factor clave de éxito.

Por último, y aunque parezca una utopía, debemos desarrollar capacidades ofensivas. Proteger y asegurar está bien, pero en el ciberespacio no basta con defender: hay que saber anticiparse, prever y disuadir. Y en algunas ocasiones, cuando sea necesario y de manera proporcional, hay que poder responder de la misma manera.

Ante un panorama geopolítico incierto y frente a la amenaza real de un conflicto, resulta imprescindible consolidar una estrategia de ciberdefensa más ambiciosa, integrada y resiliente. España se enfrenta al reto de fortalecer su presencia en el ciberespacio y de desarrollar sus propias capacidades. Tenemos conocimiento y talento, pero preparar una fuerza para combatir en el ciberespacio requiere tiempo, dedicación, esfuerzos y dinero, así que estamos obligados a acelerar los procesos de transformación que nos permitan ser un actor verdaderamente preparado y relevante para una guerra cibernética.

No, no es pequeña ni sencilla la tarea que hay por delante.