El Mando Conjunto del Ciberespacio (MCCE), creado en mayo de 2020, es la unidad conjunta más joven de las Fuerzas Armadas españolas, fruto de la fusión de la anterior Jefatura de Sistemas de Información y Telecomunicaciones de las FAS (JCISFAS) y el antiguo Mando Conjunto de Ciberdefensa (MCCD). Ahora, además de las capacidades «ciber», se integran también las capacidades de planeamiento CIS, EW, satélites, etc., haciendo realidad la aproximación integral hacia las operaciones multidominio, en las que no se puede pensar en una operación ciber sin apoyo de satélites o viceversa, por poner un ejemplo sencillo. Como hito para la Historia, el año pasado fue la primera vez que se constituía un Mando Componente Ciberespacial (MCC) en una operación nacional, al mismo nivel que los tradicionales Mandos Componentes Terrestre, Marítimo o Aeroespacial, durante la operación “Misión Baluarte” contra el coronavirus, y bajo el mando del Comandante del Mando de Operaciones (MOPS).
¿Cuáles son las grandes amenazas que están determinando hoy la actuación de las Fuerzas Armadas en el ámbito ciberespacial? ¿De qué países tenemos más amenazas?
Básicamente las amenazas son las mismas que reciben el resto de los ministerios o agentes gubernamentales, siendo el principal objetivo de las que se dirigen contra nosotros la obtención de información clasificada o la posible interferencia en infraestructuras o servicios críticos para la Defensa Nacional. La amenaza puede considerarse global, pues en el ciberespacio es muy difícil atribuir técnicamente el origen de los ciberataques en tiempo oportuno. Sin embargo, se puede llegar a conseguir una atribución efectiva, contextualizándolo en el marco de todas las acciones que realice el presunto agresor, para lo que es fundamental la cooperación y el intercambio de información entre aliados. Por otro lado, en relación con el origen de las amenazas, se debe tener en cuenta que, en general, el origen geográfico de los ciberataques no suele coincidir con el del atacante, que suele actuar a través de sistemas interpuestos que atraviesan múltiples jurisdicciones.
En este punto se debe ser muy cauteloso y tener siempre presente la posibilidad de que los ciberataques sean de “falsa bandera”. Como todos sabemos esa amenaza global procede y se mueve con gran impunidad en Internet, y son por tanto nuestros sistemas interconectados a esta red de redes, entre ellos nuestra red de propósito general, intranet corporativa, los que son objeto de los ataques más frecuentes y donde tenemos que volcar nuestro esfuerzo principal de actividades de defensa. No podemos olvidar como antes he comentado, los sistemas que gestionan la información clasificada, que en principio son redes aisladas de Internet. Diariamente, el Centro de Operaciones de Ciberseguridad del Ministerio de Defensa (COCSMDEF), operado por el Mando Conjunto del Ciberespacio, recibe numerosos incidentes de seguridad en sus redes y sistemas, que son analizados y neutralizados.
“El ciberespacio es el entorno ideal para la ejecución de muchas de las actividades asociadas con la guerra“
En este sentido, es fundamental la colaboración con el resto de actores del ecosistema de ciberseguridad, tanto nacionales como internacionales. El MCCE constituye el Centro de Respuesta ante Incidentes de Ciberseguridad del Ministerio de Defensa (ESPDEF-CERT) y como centro de referencia nacional, se relaciona y comparte información e inteligencia con el Centro Criptológico Nacional (CNI-CCN), con el Instituto Nacional de Ciberseguridad de España (INCIBE) y con las unidades especializadas de las Fuerzas y Cuerpos de Seguridad del Estado. Asimismo mantenemos relaciones y colaboramos con nuestros homólogos de la OTAN, UE y otros países aliados.
El ciberespacio es un campo para las acciones híbridas que no son propiamente guerra y como usted mismo ha dicho “las acciones cibernéticas no distinguen entre tiempo de paz o de guerra”, ¿cómo se coordinan y dirigen las acciones en este contexto, tan diferente de los paradigmas clásicos de enfrentamiento y conflicto?
El ciberespacio es el entorno ideal para la ejecución de muchas de las actividades asociadas con la guerra híbrida, fundamentalmente las que tienen que ver con ciberataques, espionaje, desinformación y propaganda, que permiten al agresor erosionar a su objetivo mediante la acumulación y reiteración de acciones que, consideradas de forma aislada, nunca llegan a rebasar el umbral que pudiera desembocar en un conflicto armado o desencadenar una represalia severa por parte del Estado víctima. La dificultad de atribución técnica y el mantenimiento de las acciones hostiles por debajo de los umbrales de respuesta legitimados en el contexto internacional, hace que en este ámbito resulte difícil la disuasión, por quedar debilitado uno de sus principales pilares: la represalia.
“El ciberespacio forma parte permanentemente de un escenario de zona gris, incluso en tiempo de paz, híbrida”
Esto nos obliga a recurrir a una combinación de estrategias que priman la disuasión por negación frente a la disuasión por represalia, es decir, a dificultar al máximo el éxito del potencial adversario mediante la adecuada protección, defensa y resiliencia de nuestros sistemas, y a responder desde cualquier ámbito cuando seamos atacados, siempre de forma legítima, oportuna, proporcionada y sobre todo, con la debida autorización.
¿De qué forma las acciones en el entorno cibernético aseguran la libertad de actuación de los sistemas propios de mando y control y la capacidad para negárselo al adversario?
El primer deber del MCCE es garantizar que las redes y sistemas del Ministerio de Defensa estén seguros. Tenemos que proteger nuestros datos, nuestros sistemas de mando y control, nuestras redes de información, y en general, nuestras capacidades militares en el ámbito ciberespacial, que es transversal al resto de ámbitos físicos e incluso al ámbito cognitivo. De esa manera, mantendremos la libertad de acción y estaremos en condiciones de negársela al posible adversario. Todo ello se realiza desde el Centro de Operaciones en el Ciberespacio (ESP-CyOC) del MCCE, Pero es obvio que nadie puede defenderse de todo y contra todos, por lo que es necesario contar con una inteligencia buena y actualizada de las ciberamenazas para apoyar las medidas de defensa, además de unas medidas de protección y seguridad de la infraestructura CIS adecuadas, que deben implementarse desde el propio diseño de las redes.
Al mismo tiempo, la capacidad de respuesta ante posibles acciones de un adversario completa el conjunto de medidas que le permiten al Comandante ejercer su labor con libertad. La superioridad en este entorno, unido a la posibilidad de que la capacidad de ataque merme la libertad de acción del adversario, proporciona una superioridad en este ámbito que nos daría la ventaja definitiva.
El escenario actual se encamina a que en un futuro muy próximo las operaciones se desarrollen en un entorno multidominio, donde todo va a estar interrelacionado, ¿qué papel jugará ahí el control del ciberespacio?
La respuesta prácticamente enlaza con la anterior. Quien domine el ciberespacio, proporcionando la necesaria libertad de las fuerzas propias, dominará la contienda. El Mando Conjunto del Ciberespacio proporciona unas capacidades diferentes a las fuerzas que operan en los ámbitos físicos, y en las crisis del futuro ofrecerá unas opciones de respuesta militar no solo diferentes, sino que, a veces, serán las únicas posibles.
Las posibilidades que ofrecen las TIC para integrar en tiempo real sistemas de armas de distintos ámbitos operativos y, por tanto, para ejecutar operaciones multidominio, son inseparables de las vulnerabilidades inherentes al ciberespacio, lo que exige la implementación de un sistema de ciberdefensa, orientado a la misión y a la amenaza, y acorde con el nivel de criticidad de cada sistema de mando y control. Además, se debe asegurar la operación correcta de los elementos de control de los sistemas de armas, que exige un estricto control de la cadena de suministro y una capacidad de ciberdefensa de los sistemas de operación (OT) que esté a la altura de la amenaza.
¿En qué momento las actuaciones en el ciberespacio deben dejar de ser defensivas para ser ofensivas, neutralizando ataques antes de que se produzcan?
En el momento en que se pase de ser reactivo para ser proactivo. La línea que separa las definiciones no es clara. No todo es blanco o negro. Puede haber acciones de defensa reactiva o proactiva que no se puedan considerar ofensivas como tales. Además, no debemos olvidar, como claramente señalan algunos países, que las acciones cibernéticas no sólo serían como respuesta a otras acciones cibernéticas, sino ante cualquier tipo de agresión (armada, cibernética, financiera, etc.) que un Estado considere que atenta contra sus servicios críticos o su seguridad nacional. En la nueva era digital, se está implantando una nueva forma de confrontación militar. En lugar de buscar la destrucción física de las fuerzas enemigas, utilizando el desgaste o la maniobra, se buscan los puntos críticos del adversario para colapsar su funcionamiento y hacerlo incapaz de atacar, protegerse o actuar en defensa de sus intereses nacionales. Idealmente, se trata de dejar «ciego, sordo y mudo» a tu adversario, sin libertad de acción alguna, consiguiendo la máxima de Sun Tzu: “someter al enemigo sin luchar”.
La experiencia ha enseñado a los países aliados de nuestro entorno, que hoy en día es necesario operar fuera de nuestras fronteras, salir fuera de nuestras redes, para conocer las intenciones y capacidades de nuestros posibles adversarios. Si nos limitamos solo a defendernos dentro de nuestras propias redes, habremos perdido la iniciativa y ventaja, y con ello, la libertad de acción de nuestras fuerzas en el ámbito ciberespacial, principal misión de este Mando. Es cierto que el ciberespacio forma parte permanentemente de un escenario de zona gris, incluso en tiempo de paz, pues son muchos actores, incluso estatales, los que aprovechan este ámbito para llevar a cabo operaciones en beneficio de sus intereses (económicos, industriales, geoestratégicos,…) Y ahí estamos nosotros con nuestras capacidades de defensa para proteger nuestras redes y sistemas de forma permanente.
¿Está alistando las Fuerzas Armadas expertos procedentes del mundo civil o externalizando ciertas tareas o servicios que son difíciles cubrir en el seno de los organismos militares? ¿Cómo pueden contribuir las empresas, universidades, ciudadanos para apoyar al mando conjunto?
No se está contratando directamente personal civil, aunque sí se recurren a encargos con empresas civiles, que proporcionan la capacidad de ingeniería que no existe en cantidad suficiente en las Fuerzas Armadas, y además proporcionan una continuidad en el tiempo que no se puede garantizar con el personal militar que debe seguir las vicisitudes de la carrera militar. También existen otras iniciativas como crear una nueva especialidad de “ciberespacio”, como ya ha hecho este año el Ejército del Aire. El apoyo de empresas ya se está materializando mediante un grupo de trabajo bajo el paraguas del Foro Nacional de Ciberseguridad, en el marco del Consejo Nacional de Ciberseguridad.
“Se están estudiando las capacidades necesarias en el ámbito ciber alineándolas a las capacidades que puede proporcionar la industria nacional”
Se están estudiando las capacidades necesarias en el ámbito ciber alineándolas a las capacidades que puede proporcionar la industria nacional. En el ámbito de colaboración con la universidad, tenemos varios convenios de colaboración con distintas universidades que participan en desarrollo de proyectos I+D+i en áreas de interés. Sí tenemos, como no puede ser de otra manera, la aportación y apoyo en materia de información sobre ciberamenazas procedente de empresas y consultorías punteras del sector en materia de ciberseguridad.
¿Cómo valora las capacidades de la industria nacional experta en el ámbito ciber para dar respuesta a los retos del ciberespacio en el ámbito de la defensa?
La industria nacional es más que capaz de satisfacer todas las necesidades que plantea el nuevo ámbito ciberespacial y considero necesario apoyarlas todo lo posible, puesto que la concentración excesiva de productos y servicios de ciberseguridad en grandes compañías extranjeras pueden conducir a monopolios que dificulten la necesaria soberanía e independencia nacional o europea en el ciberespacio y la capacidad de proteger los “secretos nacionales”. Bien es cierto que muchas veces, las empresas españolas de ciberseguridad no tienen suficiente mercado para subsistir, y son compradas por grandes multinacionales, por lo que siempre que sea posible, hay que apostar por la industria nacional para satisfacer las necesidades de la defensa, buscando la independencia estratégica en este sector clave para la Defensa Nacional.
Está proliferando el uso de gemelos digitales, ¿cabe esperar un importante aumento en la demanda de interoperabilidad entre digital twins, tanto en el intercambio de datos como en las cosimulaciones? ¿cómo cree pudiera ayudar esto en la prevención de ciberataques?
El uso de gemelos digitales tendrá un gran crecimiento en todos los sectores, incluida la ciberdefensa y el resto de capacidades militares. Por tanto, aumentará la superficie de exposición ante los ciberataques, y ofrecerá puntos de ataque críticos que pueden impactar directamente en los procesos de decisión a alto nivel. En consecuencia, desde el primer momento, en su fase conceptual y de diseño, hay que dotarlos de las mejores medidas de ciberdefensa.
“El uso de gemelos digitales tendrá un gran crecimiento en todos los sectores y aumentará la superficie de exposición ante los ciberataques”
¿Cómo se interrelacionan ante un ataque cibernético INCIBE, CCN, el MCCE, la guardia civil? Aunque cada organismo tiene claramente separadas y definidas las competencias, la coordinación entre los CERTS gubernamentales (MCCE, CCN e INCIBE) y los Cuerpos y Fuerzas de Seguridad del Estado es permanente. Así, además de la Plataforma Nacional de Notificación y Gestión de Ciberincidentes, se emplean procedimientos adicionales, como el intercambio de oficiales de enlace para facilitar esta coordinación diaria. El CCN-CERT es competente en las redes y sistemas de la Administración y el INCIBE-CERT para las empresas privadas, las universidades y los ciudadanos. Las Cuerpos y Fuerzas de Seguridad persiguen los delitos informáticos y el uso del ciberespacio por el terrorismo y el crimen organizado. El ESPDEF-CERT actúa en aquellos casos que afecten a la Defensa Nacional.
La mejor forma de actuar es trabajar en coordinación y colaboración con todos los actores estatales en el ciberespacio. Tratar siempre de asegurar la unidad de acción, compartir información, experiencias, alerta temprana coordinada entre todos y reacción rápida y preplaneada, son la mejor opción para combatir en el ciberespacio. Gran parte de la disuasión ante las intenciones de actores hostiles a realizar un ciberataque sobre nuestra nación se basa en la fortaleza de la unión de las diferentes autoridades responsables de la Ciberdefensa y Ciberseguridad. Desde el Consejo Nacional de Ciberseguridad y desde la Comisión Permanente de Ciberseguridad, en la que este Mando representa al Ministerio de Defensa se trabaja permanente por impulsar la unidad de acción y de la mejora de la resiliencia.
.jpg)
