¡°No somos conscientes de que la amenaza m¨¢s importante est¨¢ en las conexiones a Internet¡±

Las se?ales en ingl¨¦s a la entrada del complejo de peque?os edificios a las afueras de Pozuelo de Alarc¨®n, Madrid, llaman la atenci¨®n. La Base de Retamares fue el cuartel general de la OTAN en Espa?a. En el verano de 2013 hac¨ªan la mudanza para dejar sitio a una unidad reci¨¦n creada por el Ministerio de Defensa: el Mando Conjunto de Ciberdefensa (MCCD).

Semanas despu¨¦s, en septiembre, comenzaba a operar en el ciberespacio un equipo de 70 militares y 21 civiles comandados por el General Medina (pas¨® a la reserva el pasado julio, d¨ªas antes de celebrarse esta entrevista) junto a un especialista en Comunicaciones con experiencia en operaciones internacionales, el Capit¨¢n de Nav¨ªo Enrique Cubeiro (Madrid, 1962). Su cometido principal era proteger las redes y sistemas del Ministerio y planear y ejecutar operaciones militares en el ciberespacio. Entonces era algo desconocido, para algunos, incluso una misi¨®n extra?a. Hoy, el ciberespacio se considera el quinto ¨¢mbito de operaciones (despu¨¦s de tierra, mar, aire y espacio).

Cubeiro ya era conocido por su participaci¨®n en la Operaci¨®n Atalanta de la UE contra la pirater¨ªa en el ?ndico y el apresamiento de los primeros piratas juzgados y condenados en Espa?a. Habla calmada y abiertamente. Como alguien acostumbrado a explicar a qu¨¦ se dedica.

P. ?C¨®mo valorar¨ªa nuestro grado de exposici¨®n como sociedad a la ciberamenaza?

R. Hoy est¨¢ considerada uno de los principales riesgos por la alta probabilidad de que ocurra y por el impacto que podr¨ªa tener. Es la principal amenaza de origen humano junto con la nuclear. Nos enteramos de la punta del iceberg de lo que pasa en el ciberespacio, que es bastante opaco, no trasciende, salvo cuando hay efectos visibles sobre infraestructuras o servicios. Hay mucha guerra de la informaci¨®n, mucho intento de intrusi¨®n en sistemas que el ciudadano medio no ve y que incluso a veces a nosotros nos cuesta ver. Hay amenazas muy sofisticadas que precisamente lo que buscan es el sigilo.

Se ha reacionado tarde, mal y precipitadamente a algo que era evidente
desde hac¨ªa tiempo que requer¨ªa respuesta"

P. ?Cu¨¢les son las que m¨¢s les preocupan?

R. Lo que m¨¢s preocupa al MCCD no es lo mismo que preocupa al Centro Nacional de Protecci¨®n de Infraestructuras Cr¨ªticas o al Incibe. Nuestras principales amenazas son agencias de informaci¨®n de estados, potencialmente adversarios, que tratan de posicionarse en nuestras redes y sistemas para obtener informaci¨®n.

P. Pero una amenaza a infraestructuras cr¨ªticas, por ejemplo, ser¨ªa considerada tambi¨¦n de seguridad nacional. ?Es clara la delimitaci¨®n de competencias entre las diferentes agencias?

R. En Espa?a s¨ª est¨¢ bien conseguida. Los que nos dedicamos a ello tenemos perfectamente claro nuestro ¨¢mbito de actuaci¨®n. Este mundo no es muy grande y estamos muy habituados a vernos, tenemos relaciones de amistad, hay confianza entre el CCN, Incibe, CNPIC, MCCD, DSN, Guardia Civil... nadie busca un protagonismo, sino la eficacia y la eficiencia. Creo que es un ejemplo de buen trabajo de cooperaci¨®n.?

P. Desde 2013 las ciberamenazas se han sofisticado, los especialistas dicen que estamos ya en la quinta generaci¨®n: a gran escala y en todos los medios a la vez, redes, nube y m¨®viles. ?C¨®mo ha evolucionado la misi¨®n del MCCD desde entonces?

R. M¨¢s que la misi¨®n, han evolucionado nuestras capacidades. Cuando llegamos aqu¨ª, esto eran solo un edificio y unas personas. Tuvimos que crear todo de la nada con no demasiado presupuesto y una idea no demasiado clara de ad¨®nde ten¨ªamos que ir, porque no hab¨ªa referencias. Somos una unidad nueva en un ¨¢mbito nuevo y est¨¢ costando educar al entramado militar operativo de que esta capacidad existe. Estamos en una tarea permanente de educaci¨®n y formaci¨®n.

P. ?No hab¨ªa ning¨²n modelo en la UE?

R. En otros pa¨ªses de nuestro entorno, Italia, Francia, Suiza, Holanda, se estaban creando mandos parecidos a la vez con el mismo grado de desorientaci¨®n. Exist¨ªa el Cibercomando de Estados Unidos, que naci¨® en 2009 ¡ªa ra¨ªz de un incidente muy grave por un malware que se introdujo en sus sistemas de Defensa¡ª con unos recursos impensables para nosotros y unas 100.000 personas. Obviamente, hab¨ªa campos en los que s¨ª ten¨ªamos experiencia, por ejemplo, en la protecci¨®n de los sistemas del Ministerio de Defensa. Pero tuvimos que desarrollar capacidades de ciberinteligencia y ofensivas. Y en esos ¨¢mbitos no hab¨ªa nadie a quien preguntar. Si la ciberdefensa es ya bastante opaca entre naciones, imagine cuando se entra en inteligencia o en capacidades ofensivas. Ah¨ª nadie te cuenta nada.

P. ?Ni siquiera entre socios de la OTAN?

R. No. Se comparte informaci¨®n de car¨¢cter defensivo, pero no ofensivo.

P. Vi¨¦ndolo ahora en retrospectiva, ?no ha reaccionado tarde el mundo occidental?

R. S¨ª, siempre lo digo. Se ha reaccionado tarde, mal y precipitadamente a algo que era evidente desde hac¨ªa tiempo que requer¨ªa respuesta. Influyeron mucho los conflictos de Siria o Ucrania, en los que se vio que una parte muy relevante ocurr¨ªa en el ciberespacio: ataque a infraestructuras cr¨ªticas, apagones de centrales el¨¦ctricas, robo persistente de informaci¨®n¡­ y una parte que ahora mismo es dif¨ªcil de ubicar, que es todo lo que tiene que ver con guerra de la informaci¨®n y propaganda, para lo cual se utilizan mucho las redes sociales, que se han convertido en campo de batalla y en armas de persuasi¨®n masiva.

P. Son los mismos principios de propaganda de Goebbels potenciados por la tecnolog¨ªa...

R. Exactamente. Hay estados que se est¨¢n aprovechando de que no est¨¢n sometidos al escrutinio por parte de su opini¨®n p¨²blica porque no tienen contrapoderes.

P. ?Estamos hablando de Rusia o China?

R. Estamos hablando de los que ya sabe. Cuando se juntan pa¨ªses en los que no hay ninguna vigilancia de los agentes del Estado y un ¨¢mbito como el ciberespacio en el que la atribuci¨®n es pr¨¢cticamente imposible y donde la impunidad es lo habitual, te encuentras con que no hay restricciones para la actividad maliciosa. Se acusa a Rusia de haber realizado campa?as de manipulaci¨®n en redes sociales en las elecciones de Francia y de Estados Unidos utilizando ej¨¦rcitos de trols o puppets, de?robar informaci¨®n¡­ Imagine que se supiera que el gobierno franc¨¦s, el brit¨¢nico o el espa?ol hubiesen hecho algo as¨ª. Lo m¨¢s probable es que supusiera la ca¨ªda del Gobierno. Es una partida desigual.

P. Si EE UU, con los recursos que dedica a ciberseguridad, sufre injerencias en unas elecciones, ?c¨®mo defender las democracias de pa¨ªses m¨¢s peque?os?

R. Es verdaderamente complicado. El nivel de amenaza es similar al que existe en el terreno del robo: hay millones de carteristas capaces de hacer robos, pero solo hay un Ocean¡¯s Eleven capaz de entrar en la sala acorazada del casino de Las Vegas. Aqu¨ª es igual. Hay infinidad de actores con capacidades muy b¨¢sicas, pero luego est¨¢ el agente con capacidad absoluta que, si tiene un objetivo, normalmente lo conseguir¨¢. Si han podido interferir los correos electr¨®nicos del director de la CIA o del director del FBI o robarle las ciberarmas a la NSA, cualquier cosa es posible dependiendo del inter¨¦s que haya detr¨¢s de un agente altamente cualificado.

P. ?Qui¨¦nes son esta ¨¦lite?

R. Ser¨ªan los grupos ciber de las grandes potencias. En la base de la pir¨¢mide de las ciberamenazas est¨¢n los chavalines de quince a?os que usan aplicaciones en la red; a medida que vas subiendo est¨¢n los hackers profesionales; m¨¢s arriba, las organizaciones de crimen organizado y hacktivistas; en un siguiente nivel, organizaciones gubernamentales con importante presupuesto y gente coordinada experta en diferentes ¨¢mbitos que conforman equipos multidisciplinares: programadores, ingenieros sociales, descubridores de vulnerabilidades y, por ¨²ltimo, en la c¨²spide, las agencias de las grandes potencias: la NSA, las diferentes agencias del GRU ruso, el MI6 brit¨¢nico¡­ A esos no se les resiste nada.?

P. ?Es Wannacry el mayor ciberataque que hemos sufrido en Espa?a o solo el m¨¢s conocido?

R. En Espa?a no ha habido ning¨²n ciberataque grave. Hemos tenido incidentes aislados. Wannacry ha sido muy famoso, pero en t¨¦rminos de da?os fue insignificante, aunque medi¨¢ticamente fuera muy importante. Se reaccion¨® bien, creo que en parte por esa confianza que exist¨ªa ya entre los organismos responsables de ciberseguridad y los CISOS [m¨¢ximos responsables de ciberseguridad de las empresas]¡­ Se cre¨® un grupo de trabajo que en horas empez¨® a dar frutos. Hubo varios cientos de ordenadores afectados, algunas empresas tuvieron que tirar abajo sus sistemas durante uno o dos d¨ªas, pero, en general, los efectos no fueron muy serios. No hemos sufrido ese gran ciberataque que s¨ª han tenido otros estados. Y quiz¨¢s por eso el nivel de concienciaci¨®n de la ciudadan¨ªa no es muy grande.

P. ?Hay falta de concienciaci¨®n hasta el punto de ser un problema?

R. S¨ª. Wannacry nos vino bien a los organismos de ciberseguridad y ciberdefensa porque supuso un salto en concienciaci¨®n. La c¨²pula directiva de muchas empresas empez¨® a ver que esto era un riesgo de verdad y comenzaron a aumentar los recursos. ?Cu¨¢l es el pa¨ªs m¨¢s concienciado en ciberseguridad del mundo? Estonia, que sufri¨® un ciberataque en 2007 que la dej¨® offline durante casi un mes.

P. ?Cu¨¢l es el sector m¨¢s concienciado en ciberseguridad?

R. La banca, porque va a su balance de negocio. La banca sabe que tiene unas p¨¦rdidas m¨¢s o menos ya contabilizadas cada a?o por culpa de incidentes de ciberseguridad. Pero eso no existe en otros sectores. Seg¨²n el Incibe, el 86% de las empresas espa?olas ha sido objeto de un ciberataque en los ¨²ltimos cinco a?os. Y el coste medio es de 60.000 euros. Para una pyme puede suponer el cierre.

P. ?Son gastos por secuestro de informaci¨®n o por reparaci¨®n de da?os causados?

R. Por los dos. Ahora mismo, el negocio de delincuencia m¨¢s lucrativo es el ransomware: el cifrado de los datos de un ordenador a cambio de un rescate ha superado al de la droga y la prostituci¨®n. Una empresa que desarrolle productos de ingenier¨ªa, que tenga 15 ordenadores y le encripten todo su know how puede perder su principal valor. Los ciberatacantes piden rescates asequibles. Parte del negocio es atacar a mucha gente y pedir rescates razonables. Si una empresa ve que toda su informaci¨®n ha sido encriptada y la alternativa es pagar un rescate de 1.500 euros, normalmente lo pagar¨¢.

P. Cite nuestros peores h¨¢bitos.

R. No se actualizan los sistemas operativos ni las aplicaciones, no se tiene segmentada la red para poner barreras, no hay copias de seguridad o, si las hay, est¨¢n en ordenadores conectados a la red... Hay normas b¨¢sicas que no cumplimos y que son el equivalente a cerrar la puerta de casa. Si la gente supiera lo f¨¢cil que es activar una c¨¢mara web en remoto se asustar¨ªa. Hay una aplicaci¨®n que convierte el flash del m¨®vil en una linterna y que, curiosamente, te pide acceso a fotograf¨ªas, libretas de direcciones, correo electr¨®nico¡­ ?Una linterna! Y la instalamos. No tenemos antivirus o est¨¢n caducados. Y nadie tiene un antivirus en el m¨®vil, que es una vulnerabilidad important¨ªsima, toda nuestra informaci¨®n est¨¢ ah¨ª. Somos muy vulnerables y, a la vez, s¨²per ciberdependientes. Y el usuario medio es el que sale siempre perdiendo.

Wannacry nos vino bien a los organismos de ciberseguridad y ciberdefensa porque supuso un salto en concienciaci¨®n"

P. ?Cu¨¢ntas intrusiones se llegan a identificar?

R. Es muy dif¨ªcil, entre otras cosas porque es muy f¨¢cil imitar, reutilizar software¡­ hasta hace unos a?os, cuando una empresa de ciberseguridad analizaba una campa?a hab¨ªa una serie de indicios que se utilizaban para decir ¡°probablemente han sido los rusos o los chinos¡±, como el lenguaje de la programaci¨®n, notas de los programadores, el uso de un teclado espec¨ªfico. Eran indicios muy endebles. A este nivel es casi imposible obtener pruebas v¨¢lidas para un tribunal.

P. ?No resulta muy obvio dejar esos rastros?

R. Se dejaban, en muchas ocasiones eran funcionarios del Estado que trabajaban en horario de oficina. Siempre digo que cuando desarrollemos un malware vamos a poner un poquito de ruso, un poquito de chino, un poquito de iran¨ª y unas horas de compilaci¨®n que correspondan a todos lados.

P. ?Quiere decir que ustedes tambi¨¦n llevan a cabo ciberataques?

R. Nosotros estamos desarrollando capacidades ofensivas, nunca lo hemos ocultado. Si no tienes capacidades ofensivas no tienes capacidad de disuasi¨®n. En este caso, el MCCD estar¨ªa legitimado para, en circunstancias muy restrictivas, poder atacar en el ciberespacio si ha existido una agresi¨®n previa.

P. ?Por ejemplo?

R. No puedo dar ejemplos de acciones concretas, pero s¨ª del abanico de posibilidades: infiltraci¨®n en sistemas adversarios con diferentes fines, como obtenci¨®n de informaci¨®n, alteraci¨®n de la informaci¨®n como paso previo a inutilizar el sistema, reducir o impedir un determinado servicio, secuestro de activos, etc¨¦tera. Como en el resto de ¨¢mbitos operativos, nuestras acciones tienen que cumplir una serie de requisitos previos, de los cuales la legitimidad es el primero y fundamental.

Vamos hacia la existencia de ciberej¨¦rcitos

P. ?Se compran tambi¨¦n ciberarmas?

R. S¨ª, se compran vulnerabilidades. Las ciberarmas son muy vol¨¢tiles. Su efectividad est¨¢ sometida a una casu¨ªstica muy grande, caducan e incluso las puede reutilizar el atacado en tu contra, usar tu c¨®digo, hacer lo que se llama ingenier¨ªa inversa, descubrir c¨®mo funciona y utilizarla contra ti.

P. ?Qu¨¦ estrategia consideran m¨¢s eficaz para la seguridad, hacer p¨²blicas posibles vulnerabilidades descubiertas o reservarse la informaci¨®n?

R. La NSA ten¨ªa ciberarmas que explotaban vulnerabilidades desconocidas de productos de Microsoft y no lo advirtieron, porque prefirieron tener el conocimiento. Yo pienso que estar¨ªa antes la denuncia de esa vulnerabilidad que el posible uso que podamos hacer de ella. Me parece mucho m¨¢s importante avisar de que hay una vulnerabilidad que podr¨ªa poner en peligro a personas y organizaciones.

P. Se ha quejado de la falta de recursos y reacci¨®n r¨¢pida a las peticiones. ?Sigue con las mismas carencias?

R. Yo no me quejaba a nivel de Defensa, sino en general. Me quejo de que todav¨ªa no seamos conscientes de que la amenaza m¨¢s importante ahora mismo para organizaciones y empresas est¨¢ en las conexiones a Internet, de que las organizaciones no tengan muy claro d¨®nde est¨¢ su per¨ªmetro en el ciberespacio, que no tengan expertos en ciberseguridad o tengan pocos y sin la formaci¨®n adecuada, de que no se gaste en recursos. La ciberseguridad requerir¨ªa de un gasto al menos similar al de la seguridad f¨ªsica, y es mucho m¨¢s probable que el ataque llegue desde el ciberespacio.

P. ?Tienen problemas de captaci¨®n de expertos, es un talento escaso muy cotizado en el sector privado?

R. S¨ª, cotiza muy al alza, pero curiosamente no hay tanta demanda del mercado. Hay estudios que dicen que hay una carencia de dos millones de expertos en ciberseguridad en el mundo, que equivaldr¨ªa a entre a 50.000 y 100.000 en Espa?a, pero la realidad es que no hay esas ofertas de trabajo porque todav¨ªa no hay esa concienciaci¨®n de que hay que gastar en esto.

P. ?Siguen viendo la creaci¨®n de un cuerpo civil de ciberreservistas como una soluci¨®n de apoyo?

R. Esta iniciativa, que no parti¨® de Defensa, creemos que es interesante, ya funciona en otras naciones. Si tira de hemeroteca, esta idea se asocia a tres falacias: queremos 2.000 hackers gratis. No son 2.000, el grupo inicial estar¨ªa m¨¢s cerca de los 20, ser¨ªa un grupo peque?o con un crecimiento progresivo; no son hackers, son expertos en los distintos campos de la ciberseguridad y la ciberdefensa; y no trabajar¨ªan gratis, tendr¨ªan una retribuci¨®n. S¨ª ser¨ªan personas cuyo principal inter¨¦s es sentirse a gusto por poner su talento al servicio de una sociedad que podr¨ªa estar en riesgo. No hablamos de patriotismo ni de Fuerzas Armadas, sino de sociedad. Y hay much¨ªsima gente que est¨¢ deseando entrar a trabajar con nosotros por esa raz¨®n.

P. ?D¨®nde buscan a sus expertos?

R. Nos tenemos que nutrir del ¨¢mbito de las Fuerzas Armadas, fundamentalmente de gente que tiene conocimientos de seguridad de la informaci¨®n y que luego formamos para su puesto de trabajo: no es lo mismo un especialista en ingenier¨ªa inversa de malware que un operador de gesti¨®n de incidentes o un experto en intrusi¨®n de sistemas... hay infinidad de perfiles a desarrollar porque son nichos muy espec¨ªficos. Somos probablemente la unidad de las Fuerzas Armadas que m¨¢s tiempo y dinero dedica a formar a su gente, aqu¨ª hay que reciclarse continuamente. Por eso, para nosotros, m¨¢s importante que la captaci¨®n es la retenci¨®n.

P. ?Est¨¢ consiguiendo retenerlos?

R. S¨ª, con motivaci¨®n, con liderazgo, consiguiendo un buen ambiente de trabajo, que el d¨ªa a d¨ªa les llene, que vean su trabajo reconocido¡­ lo que m¨¢s me interesa es que la gente se levante con una sonrisa porque le encanta venir a trabajar. Tengo a gente as¨ª. ?Se puede saber cu¨¢ntos son? No, es una de las pocas cosas que no puedo contar. Pero vamos hacia la existencia de ciberej¨¦rcitos. Hace tres d¨ªas desped¨ªa al General Medina y le agradec¨ªa su visi¨®n de la trascendencia hist¨®rica que ten¨ªa crear una unidad muy peque?ita, el embri¨®n de algo que llegar¨¢ a ser muy importante. Ya estamos viendo que otros pa¨ªses de nuestro entorno van a unidades de hasta cuatro cifras.

El ruido de fondo de las obras no ha cesado durante la entrevista. El edificio nuevo ya suena.