El Mando Conjunto del Ciberespacio ha contenido más de 600 ataques peligrosos para la defensa de España en el último año
Si algo nos ha enseñado el coronavirus es que la amenaza más peligrosa a veces es invisible, sin embargo, sus consecuencias pueden paralizar un país entero. Esto es exactamente lo mismo que sucede con los ciberataques.
“Hoy el ciberespacio es un área en conflicto: cada día estamos más expuestos, y no somos conscientes”, asegura el teniente coronel Óscar Corbacho, al mando de la sección de Adiestramiento y Formación del Mando Conjunto del Ciberespacio (MCCE).
La seguridad, tal y como la entendemos hoy, no tiene nada que ver con lo que era hace unos años. Y las Fuerzas Armadas han dejado de ser los únicos responsables de la defensa de España: la empresa privada y cualquier ciudadano con un smartphone en la mano son responsables de su propia ciberseguridad, y son también la primera línea de defensa.
Estos ataques proceden de organizaciones criminales (asociadas o no a un Estado), cada vez están más profesionalizados y es muy difícil atribuir su autoría. “Desde el MCCE detectamos cada día miles de ataques dirigidos a organismos de Defensa en España, de los cuales unos 600 han resultado potencialmente peligrosos en el último año”, explica el teniente coronel Corbacho.
Pero, ¿quién puede sufrir un ciberataque? “Desde una centrifugadora nuclear, hasta el GPS de un barco o el sistema informático de un hospital del que pueden depender cientos de vidas”. Según la OTAN, el ciberespacio ya es el 5º dominio de operaciones militares, y como tal hay que estar preparados para hacer frente a los conflictos que se libran ahí.
Para eso hay que ejercitarse. Igual que los soldados del Ejército de Tierra se entrenan en campos de maniobras, o los marinos en una fragata, los efectivos del Mando Conjunto del Ciberespacio lo hacen en simulacros virtuales. Hay dos ejercicios claves cada año, uno a nivel nacional y otro internacional organizado por la OTAN: el Cyber Coalitión, que se ha realizado en diciembre y ha contado con la participación de 30 países y un total de 1.000 personas.
Cyber Coalition es el ejercicio de ciberdefensa colectiva anual insignia de la OTAN. Se realiza desde 2008 (España ha participado desde el principio) y se monitoriza desde Centro de Entrenamiento Seguridad Cibernética de Estonia (el Cyber Range 14).
Se trata de un ejercicio colectivo, en lugar de competitivo, lo que significa que los participantes trabajan juntos hacia un objetivo en particular en lugar de competir entre ellos. Cyber Coalition persigue tres objetivos clave:
- Ejercer los mecanismos existentes para la interacción entre la OTAN, los aliados y los socios para mejorar la colaboración dentro del dominio del ciberespacio.
- Mejorar la capacidad de la Alianza para realizar operaciones en el ciberespacio para entidades civiles y militares mediante el ejercicio del desarrollo de la conciencia situacional, el intercambio de inteligencia del ciberespacio y la gestión de incidentes cibernéticos.
- Y proporcionar información para identificar brechas de seguridad, requisitos de capacitación y validar procedimientos en desarrollo para apoyar el desarrollo de la guerra cibernética.
Este año, entre los 30 países que han participado se encuentran Finlandia, Suecia, Suiza e Irlanda. Estas naciones han respondido al simulacro de ciberataque trabajando codo con codo junto a los países socios de la OTAN, así como otros participantes de la industria y el mundo académico. En total, unas 1.000 personas a la vez, de forma remota, desde las diferentes capitales nacionales.
Los escenarios de 2021 incluyeron un ciberataque a las tuberías de suministro de gas de un país ficticio; otro ciberataque que interrumpía el despliegue de tropas y la logística; y un ataque de ransomware relacionado con una pandemia, en el que se robaban datos de vacunas y se ponía en peligro los programas de vacunación.
Unos escenarios menos ficticios de lo que cabría imaginar. Y prueba de que alguno de estos supuestos puede suceder de verdad en cualquier momento ha sido el ciberataque masivo que ha sufrido Ucrania recientemente, y que ha inhabilitado los sitios web de su Ministerio de Exteriores, además de lanzar un mensaje con la finalidad de desatar el pánico de los ciudadanos (inmersos ya de por sí en una escalada de tensión ante los movimientos de Rusia).
Hasta aquí la teoría. Pero, ¿cómo es un ciberataque? “Es exactamente igual que si hubiera un ataque en la vida real, como el que se produjo contra el SEPE en 2021, y que tumbó el Servicio Público de Empleo durante semanas”, explica el teniente coronel Corbacho. “De repente empiezan a pasar cosas. Llegan mensajes, avisos de personas que alertan de que su ordenador no funciona; o nos informan de que está sucediendo algo en otro país que puede estar relacionado con nuestras redes”. Así arranca el simulacro.
A partir de ese momento en el que “empiezan a pasar cosas” los ingenieros y el resto del equipo del Mando Conjunto del Ciberespacio comienzan sus análisis forenses para averiguar qué sucede y ponerlo en contexto. “No es lo mismo que un ciberataque dirigido contra un barco inhabilite el timón de mando, a que simplemente impida a los marineros leer el Marca cuando están a bordo… No sólo hay que descubrir qué está pasando, lo más importante es valorar qué consecuencias puede tener”, aclara a modo de ejemplo el oficial encargado del ejercicio.
Con esa información, elaboran informes que se comparten con el Cyber Range de Estonia, y a su vez con el resto de naciones que participan. También se pone a prueba la capacidad de entenderse con otros países a la hora de atajar un ataque de este tipo.
En la actualidad, compartir información real de carácter sensible entre Estados es algo impensable. Por muy socios que sean. Así que la única solución para aprender a colaborar entre aliados a la hora de neutralizar un ciberataque masivo es practicar con este tipo de ciber maniobras.
El ejercicio dura una semana y cuando acaba, con las observaciones que se han hecho durante el proceso, se elabora una doctrina OTAN. Además, se crean procedimientos de actuación a nivel nacional e internacional.
En el último Cyber Coalition, España ha participado con más de 40 personas. Un equipo multidisciplinar donde había perfiles especializados en monitorización, análisis forense o inteligencia. Y donde se han integrado técnicos procedentes de empresas privadas, de organismos públicos como el Ministerio de Interior, y efectivos de otros cuerpos de seguridad del Estado. “Nosotros ya trabajamos habitualmente con Policía y Guardia Civil, y en este tipo de prácticas nos conocemos mejor. La ciberdefensa, a diferencia de otras áreas de conflicto, no depende sólo del Ejército”.
“Si un banco español sufre un ciberataque, eso afecta a la seguridad del país entero; y aunque su ciberdefensa no sea por definición responsabilidad de las Fuerzas Armadas, en el momento en que afecta a la seguridad del país sí debemos colaborar”. Por eso es importante que la empresa privada se integre en este tipo de prácticas con el personal militar. Y España está entre los cinco países del mundo en los que mejor comunicación y cooperación se da en materia de ciberseguridad.
Además, existen ventajas en materia económica. “Realizar estas ciber maniobras OTAN (las más importantes que existen a día de hoy) es mucho más barato que mover una sola fragata”, prosigue el teniente coronel. La principal inversión que requiere el Mando Conjunto del Ciberespacio es humana: “necesitamos muchas horas de ingeniería social, y personas muy cualificadas dedicadas a ello”.
“El usuario no es consciente de que un programa informático puede necesitar más horas de ingeniería para ser creado que un puente colgante”. “Como a veces nos lo regalan, por ejemplo algunas aplicaciones del teléfono, nos pensamos que no cuesta nada hacerlas”, prosigue el oficial al frente del ejercicio OTAN. “En materia de ciberdefensa sucede igual: las horas previas de ingeniería que hay que dedicar para prepararse no se ven, pero son la clave para que los sistemas de defensa funcionen”.
En la actualidad, el MCCE cuenta con 230 efectivos militares y 50 civiles. Pero este personal debería duplicarse en los próximos cinco años para tener capacidad ante los retos que se avecinan en materia de ciberdefensa.
“Nos falta personal altamente cualificado. El ejército de España tiene un grave problema”, sentencian desde el Mando. A la pregunta de por qué es tan difícil lograrlo, hay dos respuestas: la rotación propia de las Fuerzas Armadas, donde para ir ascendiendo tienes que ir cambiando de destino; y la contraoferta de las empresas privadas, que “roban” a los efectivos militares más cualificados con tentadoras ofertas económicas.
En la pugna por ingenieros especializados en ciberseguridad no participa sólo el Ejército: tanto organismos públicos como empresa privada demandan cada vez más personas y cada vez más especializadas: desde ingenieros informáticos hasta analistas de inteligencia. El sector registra paro cero a día de hoy.
El Mando Conjunto del Ciberespacio es uno de los tres CERT (Computer Emergency Response Team) que hay actualmente en España. Se creó en 2013 y, al ser parte del Ejército, se ocupa de velar por la seguridad de todos los equipos e infraestructuras informáticas que dependen de Defensa.
Los otros dos Equipos de respuesta para emergencias informáticas son el CCN, que depende del CNI y vigila los equipos de la Administración Pública; y el INCIBE, orientado a pymes y particulares, cuya sede está en León y que atiende a la ciudadanía a través del teléfono 017.
En lo que a Defensa se refiere, el porcentaje de éxito del Ejército de España a la hora de neutralizar estas ciber amenazas es del 100%. Pero esto no significa que se puedan relajar ante los próximos hitos que se avecinan –como la implantación del 5G o la proliferación del internet de las cosas–; y es que las previsiones apuntan a que el número de ciber ataques crecerá exponencialmente a medida que crece el uso que hacemos de la red.
El ciberespacio se ha convertido en un ámbito transversal, y la colaboración entre el mundo civil, académico, militar y la empresa privada es la clave para lograr una ciberseguridad eficaz.
