"La guerra de Ucrania ha sido un punto de inflexión en la sofisticación de los ciberataques"

El Mando Conjunto del Ciberespacio (MCCE) es el órgano responsable de dirigir, coordinar, controlar y ejecutar las acciones necesarias para asegurar la libertad de acción de las Fuerzas Armadas en el ámbito ciberespacial. A su frente se encuentra el general de división Rafael García Hernández, comandante del Mando, quien detalló a CSO, en una entrevista concedida en el marco del evento Cybersecurity Forum 2023, organizado recientemente por el grupo editorial Foundry y la firma IDC, cómo trabaja su equipo para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las Fuerzas Armadas y por qué están poniendo el foco en la formación de cara al futuro con la creación de una Escuela Militar de Ciberoperaciones y un Centro de Desarrollo, Adiestramiento y Pruebas (CDAP) en 5G.

 

Aterrizó en el Mando hace cinco años pero éste ha cambiado y ampliado sus funciones en los tres últimos; de hecho, antes se denominaba Mando Conjunto de Ciberdefensa, no de Ciberespacio. ¿A qué se debe esta nueva denominación?

El Mando Conjunto del Ciberespacio nació justo hace 10 años como Mando Conjunto de Ciberdefensa, pero, en efecto, adoptó un nuevo nombre en 2020 pasando a denominarse con su nombre actual, que recoge el término ‘ciberespacio’. Yo mismo, que llegué al Mando en 2018, impulsé este cambio para ampliar nuestra actividad de gestión de sistemas de información, que es lo que hacíamos como cualquier otra compañía, e integrar en nuestro espectro las operaciones militares en el ciberespacio porque nos dimos cuenta de que también debíamos proteger los GPS, coordinar las operaciones electromagnéticas… En definitiva, era necesario que todo lo que incluye el ciberespacio y transita por éste forme parte de nuestra responsabilidad.

 

Porque la idea no es acabar creando en España un ejército específico del ciberespacio como tal… 

Nosotros no tenemos que defender solo las redes de comunicaciones sino más ámbitos y necesitamos el intercambio de experiencias con los profesionales de las fuerzas armadas de los otros espacios (tierra, mar, aire y espacio). El ciberespacio es totalmente transversal y afecta a todos los sistemas de armas que podamos pensar. El intercambio que hacemos entre el MCCE y los Ejércitos va a ser beneficioso en los dos sentidos. 

 

¿Es así como está organizado en otros países de nuestro entorno, con mandos como el que lidera?

Sí. Normalmente, casi todos los países, tanto de la OTAN como de la UE, tienen sus propios mandos del ciberespacio. Todos empezamos a defender solamente las redes de comunicaciones pero al final nos hemos dado cuenta de que había que hacer algo más, y la guerra de Ucrania nos lo está demostrando. 

 

 

"El ciberespacio es totalmente transversal y afecta a todos los sistemas de armas que podamos pensar"

 

¿Cómo ha impactado (y sigue impactando) la guerra de Ucrania en el aumento de los ciberataques?

La guerra de Ucrania ha sido un punto de inflexión, no tanto en el aumento del número de ataques, sino en el de su sofisticación y profesionalidad. Ahora nos es más difícil parar los ciberataques.

 

¿El aumento de la tensión entre los bloques de Oriente y Occidente también agrava los problemas de seguridad cibernética?

Lo ha hecho igual que ha ocurrido en la esfera económica, pero más que de Oriente y Occidente yo hablaría de países de corte occidental u oriental. 

 

¿De qué países recibe España más ciberataques?

Atacan desde muchos, otra cosa es que tengan éxito y que les dejemos entrar. Estados Unidos es, sin duda, el país desde el que recibimos más ataques, pero esto no significa que los agresores estén allí. De hecho, los países que están más activos en este tipo de ataques son Rusia, Irán, Corea del Norte y China.

 

Según los datos del Ministerio de Defensa, esta institución sufrió unos 2.000 ciberataques en 2022 (unos 5,5 al día de media). Lidiar con esta realidad no tiene que ser fácil. ¿Cómo lo hacen?

Bueno, y esos son los ataques que investigamos, porque en realidad recibimos muchos más intentos, pero se quedan en un nivel bajo o los paran las propias defensas de nuestras redes. Sí, es imposible lidiar con todos los ataques que se producen, por eso intentamos automatizar todo lo que podemos, por ejemplo, los sistemas firewall.

 

Imagino que los avances que se están produciendo en inteligencia artificial les podrá ayudar en este sentido, el problema es que también los atacantes pueden beneficiarse de ellos…

Efectivamente, la tecnología es la misma para todos. Pero es una realidad que la inteligencia artificial nos va a beneficiar. Ahora mismo estamos intentando automatizar las primeras defensas y conectando las plataformas que tenemos con inteligencia artificial de forma que la propia plataforma vaya aprendiendo. Perseguimos hacer un sistema de sistemas de ciberseguridad que aprovechará todo ese aprendizaje y la mano de obra barata que nos proporciona toda la inteligencia artificial.

 

Se refiere Sistema de Combate del Ciberespacio (SCOMCE), ¿verdad?

Sí, el SCOMCE, que no es solo un sistema de defensa sino un sistema de sistemas e interconectado; este aprovechará al máximo nuevas tecnologías como la inteligencia artificial para efectuar la defensa, a ser posible, sin necesidad de intervención humana, gracias a la automatización, porque, como veíamos antes, con ese número tan elevado de incidentes, necesitamos filtrar los ataques más pequeños y centrarnos e investigar en los que sean más peligrosos.

 

"El SCOMCE no es solo un sistema de defensa sino un sistema de sistemas e interconectado; aprovechará al máximo tecnologías como la inteligencia artificial para efectuar la defensa, a ser posible, sin necesidad de intervención humana"

 

Un proyecto que aglutinará una inversión de 80 millones de euros… ¿Cuándo estará listo?

Eso es lo que se publicó en prensa, pero nosotros nunca hemos hablado de una cifra concreta porque, de hecho, aún no la hemos valorado. Tras analizar los requisitos que queremos que cumpla el sistema, este año estudiaremos la viabilidad del proyecto y hablaremos con empresas para materializarlo, estamos empezando ahora el proceso; tenemos que ver si existe ya una herramienta o un desarrollo que nos lleve a la herramienta que necesitamos, pero de momento todavía no sabemos cuál será el coste de SCOMCE. 

 

¿Estas empresas serán españolas? En alguna ocasión ha comentado que siempre prefieren trabajar con empresas españolas en materia de ciberseguridad. 

Así es. Siempre buscamos empresas españolas a ser posible. Si estamos defendiendo España prefiero hacerlo con compañías españolas. Y lo creo por muchos motivos. Primero, porque tienen la tecnología y, segundo, porque legalmente no puedes exigir lo mismo a una empresa extranjera que a una nacional y con sede en nuestro país. 

 

¿La industria española de ciberseguridad sí está totalmente preparada?

Sin duda. Tenemos muchos grandes referentes como Indra, Telefónica, Oesía y muchas más. Y también contamos con empresas más pequeñas pero muy punteras en ciberseguridad, sobre todo en la parte ofensiva, de respuesta, que generan software que niega al enemigo la capacidad de atacarnos.  

 

Hablemos del proyecto que tienen entre manos de crear una Escuela Militar de Ciberoperaciones y un centro (llamado Centro de Desarrollo, Adiestramiento y Pruebas o CDAP con tecnología 5G) para adiestrar a sus militares en operaciones en el ciberespacio (proyecto, este último, para el que la Subdirección General de Gestión Económica ha publicado recientemente una licitación de un montante de 35 millones de euros). 

Estamos inmersos en crear la escuela, cuya infraestructura de momento será semipermanente. Los dos primeros cursos comienzan en mayo. Nuestra aspiración es contar con 1.200 militares más el personal civil que nos apoya fundamentalmente de Isdefe (también, en menor medida, de alguna otra consultora), que nos aporta ingenieros, un perfil que necesitamos y que apenas tenemos en las Fuerzas Armadas. La acogida del centro está siendo buena, sobre todo entre los jóvenes. A la juventud le gusta el mundo ciber y nosotros le ofrecemos algo que no le proporciona la empresa privada: jugar un poco más allá. 

 

"Si estamos defendiendo España prefiero hacerlo con compañías españolas"

 

Pero las empresas privadas pagan salarios mucho más elevados. Les será difícil captar talento.

En Estonia, donde está el centro de referencia de la OTAN, me comentaban que están recuperando profesionales que se habían ido de su mando de ciberdefensa a la empresa privada porque allí se aburrían. La empresa privada se dedica a defender los activos pero nosotros les ofrecemos algo distinto: la reacción. Ese ‘ir un poquito más allá’ es lo que nos permite captar talento, sobre todo entre los más jóvenes.

 

Hablaba de la OTAN. En Locked Shields, el último ejercicio de ciberguerra organizado por el Centro de Excelencia de Ciberdefensa de la OTAN de Tallín (Estonia) en 2022,  en el que participaron unos 2.000 expertos de 32 países España quedó en última posición. ¿Qué es lo que ocurrió?

Que hay que empezar a trabajar con más tiempo. Pero este año ya lo estamos haciendo. Se trata de un ejercicio muy complejo en el que entran en juego muchos aspectos, no solo los técnicos, sino también legales; además, no se trata de un escenario militar puro, por ejemplo, participan empresas del área de hidrocarburos porque son infraestructuras críticas esenciales para que funcione el resto de la nación, también bancos… De hecho, en España necesitaríamos hacer un ejercicio de ciberseguridad como este a nivel nacional para estar preparados en el caso de que llegara una guerra como la de Ucrania. El ejercicio de la OTAN va en esa línea y cada vez crece más. Con nosotros, por ejemplo, desde hace dos años participa Telefónica, porque el sector de las comunicaciones es una infraestructura crítica. Cada vez participarán más empresas, organismos e incluso la propia Administración del Estado. 

 

La famosa colaboración público-privada que usted también defiende.

Sí, en Defensa, la colaboración entre el sector público y el privado cada vez es mayor y mejora más. De hecho, en España se creó un Foro Nacional de Ciberseguridad que es donde se está impulsando esa colaboración público-privada y donde empresas y universidades, por un lado, y la Administración pública, por otro, cada vez nos sentamos y hablamos más para tratar de colaborar.

 

Por cierto, ¿qué le parece el modelo de suministro de TI basado en la nube? ¿Lo descantan por motivos de ciberseguridad?

No podemos descartarlo. Todos acabaremos yendo a cloud. De hecho, muchos de los servicios de infraestructuras críticas que tenemos que proteger estarán en la nube. Lo que sí tenemos que analizar qué modelo de nube queremos, qué proveedores… Pero podemos tener nubes más pequeñas o incluso nubes privadas de la propia Administración por motivos de seguridad. De hecho, en España tenemos ya nubes, y nubes privadas, y no tenemos que irnos a proveedores externos de fuera de España.

 

¿Qué opina de la teoría del usuario como el eslabón más débil de las organizaciones?

Así es, y por eso en las organizaciones hay que aplicar las políticas de confianza cero. Nosotros, por ejemplo, no tenemos que creer que no nos pueden atacar desde dentro porque esto puede ocurrir. No tenemos que fiarnos ni de nosotros mismos.

 

"España es el cuarto mejor país del mundo en ciberseguridad"

 

¿Cuál diría que es el estado actual de España en materia de ciberseguridad?

Si nos atenemos a la estadística pura somos los cuartos del mundo, según los datos de la Unión Internacional de Telecomunicaciones, y tenemos por detrás países bastante más grandes y que invierten más dinero que nosotros. Y recibimos bastantes ataques. Por ejemplo, la banca española es la banca europea que más ataques recibe; también es cierto que nosotros hacemos el 70% de las transacciones de forma electrónica mientras que en otros países como Inglaterra solo están en el 20%, así que nosotros tenemos más probabilidad de sufrir ciberataques. 

En España, además de más medidas técnicas, tenemos una legislación cada vez mejor y que ahora, además, es de carácter europeo. Me refiero a la Directiva NIS, que ahora se ha actualizado a la Directiva NIS2 sobre ciberseguridad [esta legislación, que entrará en vigor a finales de 2023, pretende mejorar la resiliencia de la infraestructura crítica y alinear los esfuerzos de ciberseguridad en toda la Unión Europea].

 

Finalmente, ¿cuáles son los grandes retos que afronta como comandante jefe del MCCE?

El gran reto es continuar en la línea del año pasado, en el que los 2.000 ataques que recibimos fueron a redes no clasificadas, porque en las redes clasificadas, que es por donde va la información realmente sensible, no tuvimos ningún ataque. Otro desafío es avanzar en el proyecto de la escuela que acabamos de crear, retener el talento y seguir mejorando tecnológicamente al menos al mismo ritmo que lo hacen los ciberatacantes.