¡°Nosotros no nos fiamos de nadie¡±

El general de brigada Carlos G¨®mez L¨®pez de Medina, granadino, de 55 a?os, es el primer jefe del reci¨¦n creado Mando Conjunto de Ciberdefensa (MCCD), embri¨®n de un cuarto ej¨¦rcito: el que se prepara para combatir en el territorio ignoto del ciberespacio. Su primer reto es alcanzar el 27 de septiembre la Capacidad Operativa Inicial, lo que implica estar asentado en su nueva sede ¡ªel cuartel general desalojado por la OTAN en Retamares (Madrid)¡ª y cubrir algo m¨¢s de la mitad de su plantilla: 70 militares y 21 civiles. La mejor baza de este experto en telecomunicaciones y relaciones internacionales, ayudante del Rey durante m¨¢s de tres a?os, es su acreditada capacidad para enfrentarse con situaciones que ning¨²n manual hab¨ªa previsto, como el plante de los controladores a¨¦reos de diciembre de 2010, que le toc¨® afrontar como jefe del Grupo Central de Mando y Control del Ej¨¦rcito del Aire.

Pregunta. ?Es el ciberespacio el futuro campo de batalla?

Respuesta. Es un nuevo ¨¢mbito que se superpone a los convencionales. Habr¨¢, y de hecho hay, enfrentamientos que se desarrollan solo en ese ¨¢mbito; pero es seguro que cualquier futuro conflicto en otros escenarios tendr¨¢ su traducci¨®n en el ciberespacio.

P. El ciberespacio es un escenario sin reglas. Todas las normas del derecho de guerra parecen obsoletas...

R. Se echan en falta. Hay muchos juristas debatiendo c¨®mo articular fronteras legales en ese nuevo ¨¢mbito que se ha ido configurando casi sin que nos di¨¦ramos cuenta.

P. ?Llega tarde Espa?a con su Mando de Ciberdefensa?

R. En absoluto. Algunos pa¨ªses ya lo tienen, pero la mayor¨ªa de los europeos est¨¢n como nosotros, quiz¨¢ unos meses adelantados o atrasados.

P. ?Cu¨¢l es su misi¨®n?

R. La primera es proteger los sistemas conjuntos [de comunicaciones e informaci¨®n de las Fuerzas Armadas], con especial ¨¦nfasis en los que tenemos en zona de operaciones. El primer paso es defendernos. Luego, prepararnos para una respuesta flexible y proporcionada.

P. ?Protegerse porque pueden ser atacados o porque ya lo han sido?

¡°Debe haber un ¡®zar¡¯, una autoridad nacional de ciberseguridad, que coordine a todos los ministerios implicados¡±

R. No es el caso, porque nuestros sistemas operativos no est¨¢n conectados a Internet. Utilizando el s¨ªmil sanitario: si no quieres contagiarte, lo mejor es no tener contacto. Y luego, vacunarte.

P. ?Es garant¨ªa no estar conectado? El programa nuclear iran¨ª sufri¨® un ataque...

R. La amenaza existe, aunque no est¨¦s conectado, y la prueba es el caso que cita. Si quieren ir a por ti, lo van a hacer, est¨¦s o no conectado. Y tienes que prepararte.

P. Su plantilla incluye 21 civiles. ?Podr¨¢ contratar a un hacker reconvertido para que ponga sus habilidades a su servicio?

R. No lo descarto... En todo caso, la contrataci¨®n de civiles se har¨¢ a trav¨¦s de empresas de servicios y mediante contratos de asistencia t¨¦cnica.

P. Su misi¨®n es proteger las redes militares, pero lo que preocupa a los ciudadanos es un ataque cibern¨¦tico que deje fuera de servicio los cajeros autom¨¢ticos o el suministro de electricidad...

R. Hay otros organismos encargados de eso, nuestra responsabilidad son las redes militares, aunque es verdad que podemos hacer un poco de UME [Uni¨®n Militar de Emergencias, que act¨²a ante incedios o cat¨¢strofes]. Es decir: si todo falla o hace falta nuestro apoyo, aqu¨ª estamos.

P. Defensa ha creado este mando, pero Espa?a carece de una Estrategia Nacional de Ciberseguridad que d¨¦ coherencia a lo que parecen iniciativas aisladas.

R. Es un documento que estamos esperando, porque marcar¨¢ la l¨ªnea a seguir...

P. ?Debe haber un zar, una autoridad nacional de ciberseguridad, que coordine las competencias dispersas entre los ministerios de Defensa, Interior o Industria?

R. Yo creo que s¨ª: debe haber una autoridad nacional, y los dem¨¢s debemos coordinarnos y seguir sus instrucciones.

P. ?Existe un 112 cibern¨¦tico, un centro de alerta 24 horas para emergencias?

R. Ahora mismo no existe. Hay varios CERT [Computer Emergency Response Team], pero nos falta uno que centralice las alertas y d¨¦ aviso a todos los posibles afectados. Lo debe haber y lo habr¨¢.

P. La OTAN dispone ya de una defensa a¨¦rea integrada. ?Por qu¨¦ no plantearse tambi¨¦n una ciberdefensa com¨²n?

R. La OTAN protege sus propias redes, pero, m¨¢s all¨¢ de eso, se considera que la ciberdefensa es una responsabilidad nacional. Aunque tambi¨¦n cuenta en Estonia con un centro de excelencia, de formaci¨®n de personal y elaboraci¨®n de doctrina, all¨ª no est¨¢ la capacidad operativa.

P. Seguramente, el problema est¨¢ en la desconfianza entre aliados, que parece justificada tras las revelaciones de Snowden.

R. Lo que queremos todos es la mayor autonom¨ªa posible. A la OTAN le basta con que le cuente los par¨¢metros de mi sistema, en el grado que yo quiera. No se trata de abrir las puertas para que se metan hasta la cocina, nadie hace eso...

P. ?Y se puede alcanzar una independencia tecnol¨®gica en este campo?

¡°Nuestra misi¨®n no es proteger las redes civiles, pero si todo falla o hace falta nuestro apoyo, aqu¨ª estamos¡±

R. Utilizamos programas ajenos. Eso es inevitable. Pero lo que podemos lograr, y lo logramos, es un conocimiento muy elevado de sus posibilidades, virtudes, defectos y vulnerabilidades. El paso siguiente es fabricar las llamadas ciberarmas, y para eso no necesitas una gran inversi¨®n, necesitas creatividad. Y en Espa?a la hay.

P. ?Los programas m¨¢s sensibles deben ser de fabricaci¨®n nacional?

R. Lo son. Todo lo operativo est¨¢ fabricado aqu¨ª, aunque adquieras m¨®dulos fuera. Pero los debes revisar muy bien, para asegurarte de que no traen bicho dentro.

P. La base de la ciberseguridad es la desconfianza...

R. No te puedes fiar de nadie.

P. Incluso, del mejor aliado...

R. Lo m¨¢s prudente es pensar que todo lo que llega de fuera es hostil hasta que se demuestre lo contrario...

P. ?Ha habido en Espa?a un espionaje masivo como el desvelado por Snowden en Alemania, Reino Unido y otros pa¨ªses?

R. No tengo datos.

P. Pero si uno utiliza un proveedor de servicios y sus datos personales quedan almacenados en una nube...

R. Esas nubes que cada vez est¨¢n m¨¢s cargadas... T¨² le entregas informaci¨®n a una empresa, y esa empresa se compromete a proteger tus datos. Pero la mejor manera de protegerlos es no d¨¢rselos. Desde luego, nosotros no lo haremos.

P. Su mando debe preparar la respuesta ante un ciberataque, pero, para poder responder, hay que identificar al atacante. EE UU ha acusado directamente a China. ?Es posible hacerlo con toda certeza?

R. Es complicado, pero bas¨¢ndonos en muestreos permanentes, comparando experiencias, la probabilidad se va consolidando. Entiendo que eso llev¨® a los americanos a hacer esas afirmaciones.

P. ?Cabe el ciberataque preventivo?

R. Depende. ?Qu¨¦ tiene el ciberespacio que permite ense?ar los dientes con m¨¢s facilidad que en la guerra convencional? Que empleado en determinado nivel no produce bajas. Es un arma disuasoria.

P. Snowden y Manning dicen que la gran vulnerabilidad est¨¢ en el factor humano...

R. Existen procedimientos para minimizar ese riesgo, pero, como sabe muy bien, la seguridad al cien por cien no existe.