GUERRA CIBERNÉTICA: ASPECTOS ORGANIZATIVOS

Transcripción

1 GUERRA CIBERNÉTICA: ASPECTOS ORGANIZATIVOS Grupo de Trabajo nº 3 Presidente: GB. D. Ramón Prieto Osés Miembros: D. Alejandro Hernández Mosquera D. Alfonso Candón Adán Dña. Ana Murillo Tapia Dña. Carmen Quesada Alcalá D. Nicolás Enríquez González D. Joaquín Calderón Moreno Abril de 2013

2 1. INTRODUCCIÓN GRUPO DE TRABAJO Nº3 GUERRA CIBERNÉTICA: ASPECTOS ORGANIZATIVOS Después de haber definido la ciberseguridad y sus aspectos económicos, así como el ciberespacio y su empleo en la guerra asimétrica, definiremos la guerra cibernética o ciberguerra y sus aspectos organizativos. Habida cuenta de los avances que se han producido en España en cuanto a ciberdefensa y su desarrollo organizativo, enfocaremos el presente estudio al desarrollo de la capacidad nacional de ciberdefensa militar, que por mantener dentro de la capacidad de ciberdefensa, la de poder hacerlo con alguna acción de réplica, pudiera ser estudiado como aspecto de la ciberguerra aunque sea de manera impropia y por ceñirnos al título del estudio. Lo que empezó siendo un simple reto intelectual y un desafío para jóvenes informáticos, una especie de gamberrada con tintes de desafío intelectual y técnico, pasó a convertirse en objeto de pequeñas trampas y estafas. La gran proliferación de la informática en la administración pública, las empresas, banca e industria, sus conexiones a través de líneas telefónicas y, posteriormente, el desarrollo de internet, animó a la violación de medidas de seguridad informática para obtener información de inteligencia gubernamental, industrial, económica y científica para, rápidamente, en el plazo de pocos años, ser objeto de ataques con el fin de ocasionar daños. Hoy en el ciberespacio aparecen también hackers patrocinados por los estados. Los ciberataques han pasado a invadir todos los sectores de la actividad individual y colectiva de nuestra sociedad. La razón principal de la proliferación es que, en el ciberespacio, atacar una red es más fácil que defenderla, por la enorme desproporción entre el esfuerzo necesario para un ataque cibernético, amparado en el anonimato, con la ventaja para el atacante de elegir el momento y el objetivo, y el necesario para la protección de los sistemas. Nos enfrentamos a amenazas reales que ponen en peligro nuestros sistemas físicos incluyendo nuestros sistemas militares y, en definitiva, todas nuestras infraestructuras críticas. El incremento del interés por las tecnologías de la información ha llevado a una cada vez mayor implicación de las industrias dedicadas a estas tecnologías en todo tipo de actividades y procesos. Desde la banca, la gestión de redes eléctricas y ferrocarriles, hasta los sistemas de mando, control e información militar, todas basan sus actividades en programas informáticos, que han de estar dotados del máximo nivel de inviolabilidad. 1

3 La ciberdefensa es un nuevo dominio de guerra, prueba de ello es que más de 140 países, entre ellos España, están ya desarrollando sus capacidades. Estamos ante un problema del estado, que implica a las Fuerzas Armadas, a las Fuerzas y Cuerpos de Seguridad del Estado y a los sectores estratégicos. El problema fundamental para la Defensa es el cambio que las nuevas tecnologías han producido. Si en el pasado era suficiente con aprovecharse de las nuevas capacidades de los sistemas de información y del ciberespacio para mejorar la eficacia operacional de las Fuerzas Armadas, ahora es necesario poder combatir, y ganar, en el ciberespacio. La Defensa requiere asegurar las capacidades en el ciberespacio para poder garantizar la efectividad en las operaciones tradicionales. Se ha dicho del ciberespacio que es el campo de batalla del futuro. Este cambio obliga a modificar los conceptos y doctrinas que se aplican a la confrontación clásica, que deben ser adaptados a las exigencias de un escenario virtual. Este proceso adaptativo debe ser el punto de partida para la definición sólida y la creación ordenada de una capacidad de Ciberdefensa. La protección y la defensa del ciberespacio se ha convertido en uno de los retos fundamentales para las Fuerzas Armadas de la mayoría de los países, de ahí la necesidad de disponer de unas Fuerzas Armadas adaptadas a un entorno con continuos avance tecnológicos y dentro de un presupuesto cada vez más restrictivo. El riesgo omnipresente de ataques desde el ciberespacio, hace prever que en los futuros conflictos, las primeras acciones tengan lugar en el ciberespacio. Para abordar con éxito esta problemática, ya se ha avanzado significativamente en concienciación y organización. Ya en 2011 se produjo la promulgación de la Visión del JEMAD de la Ciberdefensa militar, en la que se definen las implicaciones en el uso del ciberespacio derivadas del concepto de la estrategia militar. En marzo de 2013 se ha firmado un convenio de colaboración entre el Instituto de Tecnologías de la Comunicación (INTECO), dependiente del Ministerio de Industria, y el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), del Ministerio del Interior, para actuar de forma coordinada ante ataques cibernéticos a este tipo de infraestructuras. Gracias a este acuerdo, se ha creado el primer Equipo de Respuesta ante Emergencias Informáticas (CERT) especializado en infraestructuras críticas, de las que el 80% son empresas privadas. A nivel estatal, el Centro Criptológico Nacional, encuadrado en el CNI, es el responsable de gestionar la seguridad del ciberespacio en cualquiera de los tres niveles de la Administración, y dispone de un Equipo de Respuesta ante Emergencias Informáticas (CERT), pero queda por desarrollar cómo se va a 2

4 llevar a cabo la seguridad nacional en el ciberespacio. La Vicepresidencia del Gobierno ha anunciado la inminente publicación de la Estrategia Nacional de Ciberseguridad que será el documento que marcará la pauta en la integración de las estrategias sectoriales. El aspecto organizativo resultará una de las claves para la definición e implantación de un buen sistema de ciberdefensa y la coordinación de esfuerzos, capacidades, responsabilidades y objetivos, deberá ser el eje fundamental sobre el que gire el todo. La OTAN y la Unión Europea están en plena transformación de sus capacidades de ciberdefensa. La OTAN ha aprobado durante el año 2011, una nueva política y un plan de acción de ciberdefensa; y la Unión Europea aprobó en 2009 el "concepto de operaciones en red en operaciones militares lideradas por la Unión Europea". En febrero de 2013, la Comisión Europea ha publicado una estrategia de ciberseguridad que representa la visión de conjunto de la UE sobre cómo prevenir y resolver mejor las perturbaciones de la red y los ciberataques. El ciberespacio es un espacio mundial común, y desde esa perspectiva necesita una respuesta global. Por esa razón, la cooperación internacional con gobiernos aliados y organizaciones de ámbito supranacional es esencial. 2. DEFINICIÓN DE ELEMENTOS CLAVE Ciberamenaza: Amenaza a los sistemas y servicios presentes en el ciberespacio o alcanzables a través de éste. Ciberarma: Software o hardware especialmente diseñado para realizar ciberataques. Ciberataque: Uso del ciberespacio para atacar a los sistemas y servicios presentes en el mismo o alcanzables a través de aquel. El atacante busca acceder sin autorización a información, o alterar o impedir el funcionamiento de los servicios. Ciberespacio: Espacio virtual mundial que interconecta sistemas de información, dispositivos móviles y sistemas de control industrial. Está soportado por todo tipo de comunicaciones tales como internet y redes de telefonía móvil. La interconexión proporciona acceso en línea a información y servicios. Ciberoperaciones: Operaciones militares conducidas en el ciberespacio. Ciberseguridad: Conjunto de actuaciones orientadas a hacer más seguras las redes y sistemas de información que constituyen el ciberespacio; detectando y enfrentándose a intrusiones; detectando, reaccionando y recuperándose de incidentes; y preservando la confidencialidad, disponibilidad e integridad de la información. 3

5 Ciberguerra: El uso de capacidades basadas en la red de un estado, para interrumpir, denegar, degradar, manipular o destruir información residente en ordenadores y redes de ordenadores, o los propios ordenadores y las redes de otro estado. En la Orden Ministerial 10/2013, de 19 de febrero, por la que se crea el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, se parte de una serie de definiciones, que componen el marco conceptual en el seno del cual se va a desarrollar el establecimiento de dicho Mando Conjunto. En efecto, el Mando Conjunto de Ciberdefensa español se va a mover en un contexto conceptual, que no se aleja del establecido en otros ámbitos, como el de los Estados Unidos. Así, se calca la definición de Ciberespacio, entendiendo por tal el Dominio global y dinámico compuesto por infraestructuras de tecnología de la información incluyendo internet, redes de telecomunicaciones y sistemas de información 1. Sin embargo, hemos de tener en cuenta que no existe consenso entre los Estados sobre cómo se tiene que aplicar el Derecho Internacional a la guerra que tiene lugar en el ciberespacio. Conviene saber que la definición adoptada en España, a similitud de las definiciones contempladas en otros países, parten de un presupuesto básico. De esta manera, Ciberespacio no es un lugar físico, sino que se trata de un término amplio que se utiliza para referirse al espacio creado por la confluencia de redes de telecomunicaciones, sistemas de información y redes de telecomunicaciones 2. En el caso de los Estados Unidos, tan sólo se define Ciberespacio y Ciberguerra, mientras que, en el supuesto de España, y en relación con la creación de dicho Mando Conjunto, también contamos con las definiciones de Ciberataque, Ciberseguridad y Ciberdefensa Militar. Se trata de una opción por una definición terminológica precisa, que dota a la creación del Mando Conjunto de un contexto conceptual muy claro, y menos ambiguo que el proporcionado por otros ordenamientos, como el ya mencionado, el estadounidense. Según la Orden Ministerial, Ciberataque es la Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan. Es una definición clásica, que responde a la experiencia de ataques ya producidos, 1 JOINT CHIEFS OF STAFF, JOINT PUBLICATION 1-02, DEP T OF DEF. DICT. OF MILITARY & ASSOC D TERMS, at 141 (12 Apr. 2001). 2 WINGFIELD, Th. C. The Law of Information Conflict: National Security Law in Cyberspace, Aegis Research Corp,

6 como el de Estonia, en abril de No podemos olvidar, en este sentido, que un ataque de estas características sería considerado un ataque a efectos del ejercicio de la legítima defensa individual colectiva, tal y como establece el art.51 de la Carta de las Naciones Unidas. En consecuencia, la definición del Ciberataque también era un punto básico para el establecimiento del Mando Conjunto en España, puesto que en sus funciones también va a figurar la reacción ante ataques de estas características, por lo que éstos habrían de estar definidos de un modo concreto. Por otra parte, Ciberseguridad se define como el Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y la información que manejan.. Esta definición parte de un presupuesto como es el uso correcto del ciberespacio y las posibles consecuencias de un uso indebido del mismo, lo que ha de encuadrar las actividades del Mando Conjunto. Finalmente, siguiendo la Orden Ministerial, Ciberdefensa militar es el Conjunto de recursos, actividades, tácticas, técnicas y procedimientos para preservar la seguridad de los sistemas de mando y control de las Fuerzas Armadas y la información que manejan, así como permitir la explotación y respuesta sobre los sistemas necesarios, para garantizar el libre acceso al ciberespacio de interés militar y permitir el desarrollo eficaz de las operaciones militares y el uso eficiente de los recursos. Esta última definición está en íntima conexión con la creación del Mando Conjunto y sienta las bases de sus funciones, que se concretan en la preservación de la seguridad en relación con la información y sus sistemas de las Fuerzas Armadas y en el uso adecuado y eficaz del ciberespacio con fines militares. 3. CIBERDEFENSA Y CIBERGUERRA La ciberguerra no se encuentra en la punta de la pirámide de la escalada de un conflicto. La ciberguerra, en su forma de ciberespionaje, tendrá lugar desde las primeras fases del proceso. En su forma de ciberataque dependerá de las tácticas que se adopten en el planeamiento conjunto de las operaciones, si bien normalmente será anterior y/o simultánea a la fase de conflicto. Un ciberconflicto se puede originar de una forma aislada, sin necesidad de que haya una mayor escalada de violencia. 3 RYAN, J., Growing Dangers: Emerging and Developing Security Threats, NATO Review, Winter 2007, disponible en: http// 5

7 Comparando los conflictos habidos en los últimos años en lo que ha existido ciberguerra, con los totales del último siglo, se llega a la conclusión de que los conflictos han sido y siguen siendo los mismos a lo largo de la Historia, y lo único que han variado han sido los escenarios en los que se llevaron a cabo. Aparte de sutilezas conceptuales de lo que para unos o para otros constituyen los instrumentos de poder, con lo que sí parece existir acuerdo es que son las herramientas de las que disponen los Estados para influir y/o presionar a otros estados con el objeto de conseguir sus intereses y objetivos nacionales. De todos los instrumentos de poder solo uno incide directamente en el mundo físico: el militar. Todos los demás presentan la dicotomía de mostrar una parte cognitiva, lo que le da valor, y otra física, meramente circunstancial. La parte cognitiva representa el valor del significado que tiene un acuerdo diplomático, un embargo económico o una noticia; la parte física es su mera representación en un soporte (documento, cinta, archivo, etc.). Sin embargo, es sobre esta última en la que incide hoy día el ciberespacio. Lo que se roba, lo que se altera o lo que se interceptan en el ciberespacio son los datos que conforman esos archivos o las transmisiones que los mueven. Este hecho es capaz de alterar la parte cognitiva, por lo que su seguridad ha adquirido tanta importancia como su contenido. El mundo físico tiene, por tanto, una gran trascendencia sobre los instrumentos de poder de una nación, ya sea por incidencia directa (el militar) o circunstancial (diplomático, económico y de información). Este mundo físico tiene su reflejo en los escenarios de conflicto. El ciberespacio no es ni una misión ni una operación. Es un escenario estratégico, operacional y táctico. Internet es la interconexión mundial de redes de datos. El lugar físico que ocupan estas redes es el ciberespacio. En Internet existen multitud de servicios. Los más conocidos son la web y el correo electrónico, pero también presta otros muchos como la transmisión de ficheros, el acceso remoto, chats, mensajería instantánea, telefonía, televisión, etc. El rápido progreso tecnológico permitió el aumento de las capacidades de los equipos informáticos y de comunicaciones y la facilidad, comodidad y rapidez con la que se accedía a la información fue incrementando la fiabilidad del sistema y la confianza de los usuarios en él, por lo que administraciones, empresas y usuarios volcaron todos sus viejos ficheros y conocimientos en servidores de archivos gestionados por sistemas de información conectados en red. Mientras que la industria ha progresado desarrollando sus sistemas poniendo mayor énfasis en su robustez y su interoperabilidad, se ha ido 6

8 dejando un poco de lado el tema de la seguridad, probablemente guiados por el principio de primar la operatividad sobre la seguridad. A partir de este error surgieron las vulnerabilidades físicas y lógicas, en sistemas operativos, también en aplicaciones y protocolos de comunicaciones. Aprovechando estas vulnerabilidades, aparecieron como un juego los primeros virus de los que pronto se descubrió su gran potencial maligno, que se convirtieron en las armas del ciberespacio. Los beneficios que esta explotación podría proporcionar a determinados sectores, grupos o mafias, impulsaron definitivamente su I+D. Apareció la ciberdelincuencia, los ciberataques, el ciberespionaje, el ceberterrorismo y, lógicamente, la ciberdefensa. Sin embargo, la capacidad de las naciones para defender sus redes y sistemas siempre quedará por detrás de la habilidad del enemigo para aprovecharse de sus puntos débiles. Siempre existirán vulnerabilidades susceptibles de ser descubiertas por expertos y siempre se superarán las medidas de seguridad que se impongan para intentar evitar intrusiones. En un entorno eminentemente ofensivo, una mentalidad basada en la mera acción defensiva no tiene futuro. Nos encontramos en un nuevo escenario físico, desarrollado de manera vertiginosa en los últimos 30 años y en el que apenas e ha puesto cuidado en la seguridad, del que nuestra sociedad se ha hecho totalmente dependiente y en el que han surgido importantes amenazas que explotan los fallos de su rápido diseño para obtener pingües beneficios, lo que pone en riesgo nuestro bienestar. Hace falta, por tanto, una fuerza capaz de operar en este nuevo entorno que proteja a la nación de las crecientes amenazas. Para el Departamento de Defensa de Estados Unidos, el ciberespacio se ha convertido en un campo de operaciones de igual entidad que la tierra, el mar, el aire o el espacio y por tanto susceptible de ser escenario tanto de maniobras defensivas como ofensivas, lo que podría incluir ataques preventivos y represalias. Pero para el nuevo escenario artificial no se habían creado fuerzas específicas hasta ahora. Los enfrentamientos que ya se están produciendo en él, las exigen. La necesidad se impone y ante nuevas necesidades se requieren nuevos medios. Las fuerzas del ciberespacio deberán disponer de capacidades ofensivas y defensivas y su objetivo será permitir el libre uso del ciberespacio a los ciudadanos de cada nación e impedirlo, si fuera necesario, a sus enemigos. Para conseguir este objetivo, las fuerzas deberán estar especializadas, ser permanentes y tener dedicación exclusiva a la ciberdefensa. Esto sólo se consigue con fuerzas conjuntas con adiestramiento conjunto desde el inicio o mejor aún, con fuerzas independientes de los actuales ejércitos. La complejidad del entorno y su rápida evolución no permiten otra opción. 7

9 IMPLEMENTACIÓN DE LA CIBERDEFENSA Abordaremos a continuación la descripción de las principales formas de implantación, que están llevando a cabo en las naciones y organismos internacionales de nuestro entorno, para el despliegue operativo de las capacidades de Ciberdefensa. Capacidad de respuestas ante incidentes informáticos. Seguramente la más ampliamente usada a nivel internacional es CERT (Computer Emergency Response Team) o Equipo de Respuesta de Emergencias Informáticas, ya que fue la primera en aparecer a finales de los años ochenta, tras el ataque del gusano Morris, que se propagó rápidamente por todo el mundo, infectando una gran cantidad de sistemas. La OTAN también se compromete a desplegar una capacidad similar a un CERT, a raíz de las decisiones tomadas en las cumbres de Praga (2002) y Estambul (2004), pero en este caso la denomina CIRC (Computer Incident Response Capability) de la OTAN o NCIRC (NATO Computer Incident Response Capability), que podríamos traducir como Capacidad de Respuesta ante Incidentes Informáticos de la Alianza. Ciberequipo Rojo La misión de un Ciberequipo Rojo sería la de evaluar la eficacia general de las medidas de seguridad de los sistemas de información y comunicaciones operativos, que apoyan el cumplimiento de la misión, a través de la ejecución controlada y sin previo aviso de ciberataques verosímiles, demostrando a las partes interesadas, y en especial a los responsables en la toma de decisiones, el posible impacto negativo en la misión, mejorando la capacidad del equipo de seguridad de detectar y responder a dichos ataques. Su papel es el de un ciberequipo enemigo que ataca nuestros sistemas para evaluar la capacidad defensiva, a la manera de los Equipos Rojos en el planeamiento de los Estados Mayores convencionales. Ciberejército Cada vez con más frecuencia, y en mayor número de países, ha ido surgiendo la opinión de que el crecimiento y la sofisticada evolución de la ciberamenaza hacen necesario enfrentarla con medidas más activas, que busquen no sólo prevenir, detectar, reaccionar y recuperar las infraestructuras propias, sino neutralizar la ciberamenaza desde su origen, implementando los aspectos de explotación y ataque de las capacidades de ciberdefensa. Surgen así los conceptos de ciberguerra y ciberejército, así como las reglas de enfrentamiento que permitan a éstos pasar al ataque. De esta forma podemos encontrar numerosas iniciativas en diferentes países, para crear y estructurar un cibermando militar. 8

10 Seguramente sea el Mando de Ciberdefensa (USCYBERCOM) de Estados Unidos el que disponga de un cuerpo doctrinal más avanzado y conceptualmente elaborado, además de ser el que con mayor transparencia informa del avance en la implementación de sus capacidades. Analicemos, por tanto, el ciberejército norteamericano como forma de describir las características genéricas que cualquier otra nación implementa, implementará, o pretenderá implementar dentro de sus posibilidades, para sus respectivos ciberejércitos. En junio de 2009 el secretario de Defensa norteamericano ordenó establecer el Mando de Ciberdefensa estadounidense (USCYBERCOM) con la misión de planificar, coordinar, integrar, sincronizar y llevar a cabo actividades para: Dirigir las operaciones y la defensa de las redes de información específicas del Departamento de Defensa. Preparar y, cuando así se indique, llevar a cabo todo el espectro de las posibles operaciones militares en el ciberespacio, con el objetivo de facilitar las acciones en todos los ámbitos. Garantizar libertad de acción de Estados Unidos y sus aliados en el ciberespacio, y negar la misma a sus adversarios. Dependiente de la Agencia Nacional de Seguridad (NSA) y dirigido en la actualidad por el jefe de ésta, el general de cuatro estrellas Keith Alexander, el USCYBERCOM alcanzó la capacidad final operativa en octubre de A pesar de los recortes a los que se enfrentará el Pentágono en la próxima década, la financiación de esta unidad parece estar asegurada, dado el creciente papel que está ganando y que aumentará en el futuro, reforzado con un plan que contempla el incremento de la plantilla actual, formada por unos efectivos, hasta una cifra que puede ser cercana a los efectivos, de los que el 80% serán militares y el resto civiles. En mayo del pasado año, el jefe de Estado Mayor Conjunto presidió unas reuniones en las que se debatió la posibilidad de desligar al Mando de la Agencia Nacional de Seguridad para darle una identidad propia, que le colocaría al nivel de los Mandos de Combate Unificado del Pentágono. Esta decisión pondría la amenaza cibernética al mismo nivel que las amenazas a las que se enfrentan los ochos mandos actuales y potenciaría el carácter ofensivo del Mando de Ciberdefensa. Es la confirmación que falta para concluir que en el ciberespacio se librarán las guerras del futuro. El USCYBERCOM es el medio por el que se consigue centralizar el mando de las operaciones en el ciberespacio, fortaleciendo e integrando las capacidades del Departamento de Defensa en el ciberespacio, ya que reúne todas las cibercapacidades existentes, creando una sinergia que no existía hasta ese momento. De esta forma, el USCYBERCOM se compone de las ciberunidades de los diferentes servicios que componen las Fuerzas Armadas estadounidenses, en concreto: 9

11 1 Cibermando del Ejército 2 Cibermando de la Fuerza Aérea 3 Cibermando de la Flota 4 Cibermando de la Infantería de Marina Por otro lado, desde hace tiempo se viene revisando la Doctrina Militar estadounidense, en sus diferentes componentes, para adecuarla a los nuevos retos que suponen las operaciones militares en el ciberespacio, intentando definir las capacidades que deben prepararse para afrontarlas. Así, el Ejército de Estados Unidos establece, en su Plan de Capacidad de los años para el concepto de Operaciones en el Ciberespacio, que éstas se componen de: Comprensión de la Cibersituación Operaciones de la Red Cibernética Ciberguerra Soporte Cibernético Ciberguerra es el componente de las Ciberoperaciones que extiende el poder cibernético más allá de los límites de la Defensa del ámbito cibernético propio, para detectar, detener, denegar y derrotar a los adversarios. Las capacidades de la Ciberguerra tienen como objetivos las redes de telecomunicaciones y los ordenadores, así como los procesadores y controladores integrados en equipos, sistemas e infraestructuras. 4. DESARROLLO DE LA GUERRA CIBERNÉTICA 4.1. DOCTRINA DIFERENCIA ENTRE CIBERSEGURIDAD Y CIBERDEFENSA Hoy, el ciberespacio y sus redes asociadas se han convertido en un elemento esencial del que dependen infraestructuras, transportes, comercio, desarrollo económico, etc., además de un número cada vez mayor de servicios públicos. Su carácter crítico y su escasa regulación lo hace cada vez más vulnerable a múltiples amenazas y ha puesto el foco de atención prioritario sobre los aspectos ligados a la seguridad y la defensa, así como el derecho a la privacidad de sus usuarios. Estas amenazas, así como la utilización cada vez más frecuente de ataques a los sistemas de mando y control militar en operaciones, han dado lugar a dos conceptos diferenciados; ciberseguridad y ciberdefensa. La Estrategia Española de Seguridad señala que la ciberseguridad no es un mero aspecto técnicos de la seguridad sino un eje fundamental de nuestra sociedad y sistema económico. Dada la cada vez mayor importancia de los sistemas informáticos en la economía, la estabilidad y 10

12 prosperidad económica del país dependerá, en buena medida, de la seguridad de nuestro ciberespacio. A lo largo de los textos legales se adivina la idea de la necesidad de proteger el ciberespacio de determinados riesgos y amenazas en beneficio de su seguridad y confiabilidad, es, por tanto, un enfoque reactivo dirigido a la protección de la información que, progresivamente, está evolucionando hacia la aplicación de un proceso de análisis y gestión de los riesgos relacionados con su uso, lo que representa una posición más proactiva en el ámbito de la ciberseguridad. La ciberdefensa, como capacidad militar, proviene del incremento en el uso del ciberespacio para el desarrollo de operaciones militares. Es, por tanto, un nuevo dominio en el ámbito militar relacionado especialmente con los sistemas de mando y control. De acuerdo con la definición del apartado 2., la ciberdefensa militar es un concepto ligado al principio de libertad de acción y que, al contrario de la ciberseguridad, pretende actuar de forma activa sobre los sistemas de información adversarios. La enorme capacidad de crecimiento y evolución de la amenaza, la escalada de sus efectos o la extensión y amplitud de su impacto añadidos al anonimato que proporciona, convierten esta capacidad en un recurso rentable ante la asimetría de fuerzas en el actual campo de batalla. CAPACIDADES QUE REQUIEREN NUESTRA FUERZAS ARMADAS PARA GARANTIZAR LA CIBERDEFENSA MILITAR. El ciberespacio no es solamente propiedad de los estados sino también de la empresa privada y de la sociedad civil, de ahí que no sirvan los instrumentos clásicos para combatir los riesgos que conlleva su utilización. En la actualidad, todos los países de nuestro entorno están desarrollando estrategias, doctrina y estructuras que les garanticen superioridad en el empleo del ciberespacio en operaciones militares. La escasa regulación de este dominio hace vital el intercambio de información en tiempo oportuno de los diferentes centros de respuesta de la administración, de la empresa privada y de los mandos militares responsables de la ciberdefensa. Con este propósito, el proyecto de Estrategia de Ciberseguridad Española pretende crear un órgano supervisor de las actividades de ciberseguridad adscrito al Ministerio de la Presidencia, el Consejo de Ciberseguridad, constituido por los representantes de los organismos con competencia en esta materia. El organismo de coordinación nacional sería el Centro Nacional de Ciberseguridad que, entre sus misiones, tendrá la de articular un sistema de intercambio de información y comunicación de incidentes 11

13 entre los diferentes centros de respuesta, entre ellos los dependientes del Ministerio de Defensa. Entre los diferentes centros de respuesta dependientes de este organismo destacan, dentro del Ministerio de Defensa, el Centro de Operaciones de Seguridad de la Información (COSDEF), cuyos cometidos veremos en el subapartado 4.2. La Instrucción 96/2011, que regula sus actividades, no incluye acciones ofensivas en operaciones militares que en España corresponden a la cadena operativa (JEMAD). En España y en el área de ciberdefensa corresponde al JEMAD la dirección, planificación y coordinación de la capacidad de ciberdefensa para los sistemas de comunicaciones e información de las Fuerzas Armadas y la ejecución de las capacidades de explotación y respuesta. Recientemente, se ha creado bajo su autoridad el Mando Conjunto de Ciberdefensa, que dirigirá y coordinará las actividades de los tres ejércitos en este ámbito y cuyos cometidos veremos en el subapartado 4.2. El valor añadido de este Mando Conjunto descansa no sólo en detectar y reaccionar ante las amenazas cibernéticas al estilo de los centros de respuesta distribuidos por todo el territorio nacional sino en la capacidad de disuasión que le proporcionan las acciones ofensivas propias de ciberguerra. Es decir, explotar las oportunidades que ofrece el ciberespacio de forma proactiva. La Directiva de Defensa Nacional de 2012 define la disuasión como la voluntad de hacer frente a las amenazas como resultado de disponer de unas capacidades y de la determinación de usarlas si fuera necesario. Con la creación de este Mando, las Fuerzas Armadas pretenden, por una parte centralizar todas las acciones en este ámbito, participando en la estructura que le proporciona la próxima Estrategia de Ciberseguridad, así como planear y ejecutar acciones en las redes y sistemas de telecomunicaciones del adversario. Es por tanto un elemento integrado en la capacidad de disuasión de nuestras Fuerzas Armadas y su desarrollo orgánico debe partir no solo de mantener la libertad de acción de nuestros sistemas sino de la voluntad de dañar las del adversario. La capacidad de respuesta de los sistemas de respuesta que disponga esta estructura para ejercer dicha disuasión, está, a día de hoy, lastrada por la dificultad de trazar el origen de los ciberataques. Es por ello fundamental que la Estrategia de Ciberseguridad defina los términos en los que los elementos de su estructura compartirán información y recursos y la forma en la que estos se conectarán con las redes de nuestros socios y aliados, especialmente en las organizaciones internacionales de defensa a las que pertenecemos. 12

14 4.2. ESTRUCTURA DE LA ORGANIZACIÓN 4 PLAN DE ACCIÓN PARA LA OBTENCIÓN DE LA CAPACIDAD DE CIBERDEFENSA MILITAR El Ciberespacio es un nuevo dominio que junto a los tradicionales, terrestre, marítimo, aéreo y espacio exterior, conforma el nuevo escenario en el que se desarrollan las operaciones militares. Las Fuerzas Armadas deben estar organizadas, adiestradas y equipadas para cumplir sus misiones en este nuevo entorno y para ello, deben disponer de una Capacidad de Ciberdefensa que las haga eficaces en operaciones que se desarrollen en el Ciberespacio, la cual se obtendrá mediante la implementación de un plan de acción que, de forma sinérgica y gradual, permita dotar a las Fuerzas Armadas de los recursos precisos. En esa línea, en julio de 2012 el JEMAD aprobó el "Plan de Acción para la Obtención de la Capacidad de Ciberdefensa Militar". Este se configura como un documento vivo para adaptarse a la naturaleza dinámica del ciberespacio y a la evolución de las tecnologías de la información. Para lograr la mayor eficiencia, el plan persigue la sinergia mediante la coordinación de los esfuerzos entre el ámbito conjunto (EMAD), el ámbito corporativo (DIGENIN), y los ámbitos específicos (Ejércitos y Armada), así como mediante el aprovechamiento de las estructuras existentes. Su implementación incremental y modular permitirá reaccionar a los cambios que se produzcan durante su desarrollo, como ha sido la creación del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, que no contemplaba el plan de acción, como organización, aunque sí sus capacidades. MANDO CONJUNTO DE CIBERDEFENSA DE LAS FUERZAS ARMADAS (MCCD) La Directiva de Defensa Nacional de 2012 establece que el Ministerio de Defensa participe en el impulso de una gestión integral de la ciberseguridad, en el marco de los principios que se establezcan al efecto en la Estrategia de Ciberseguridad Nacional. A tal efecto mediante Orden Ministerial 10/2013 de 19 de febrero se crea dentro del Estado Mayor de la Defensa integrado en la estructura operativa de las Fuerzas Armadas el Mando Conjunto de Ciberdefensa. Su ámbito de actuación son las redes y los sistemas de información y telecomunicaciones de las fuerzas armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y afecten a la Defensa Nacional. 4 Anexo 1: OBTENCIÓN DE LA CAPACIDAD DE CIBERDEFENSA 13

15 Su misión es el planeamiento y la ejecución de las acciones relativas a la ciberdefensa militar en las redes y sistemas de la información y telecomunicaciones de las Fuerzas Armadas u otros que pudiera tener encomendados así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional. Entre sus cometidos figura el ejercer la respuesta oportuna, legítima y proporcionada en el ciberespacio ante amenazas o agresiones que puedan afectar a la defensa nacional. Deberá cooperar con los centros nacionales de respuesta a incidentes de seguridad de la información -CNI +INTECO-, de acuerdo con lo que determinen las estrategias y políticas nacionales de ciberseguridad en vigor. También deberá cooperar con los centros nacionales de respuesta a incidentes de seguridad de la información, de acuerdo con lo que determinen las estrategias y políticas nacionales de 'ciberseguridad' en vigor. Según la mencionada normativa el conjunto de tecnologías, redes, ordenadores e infraestructuras forma parte de un nuevo dominio denominado ciberespacio que constituye una parte esencial para el funcionamiento de los países, el bienestar de los ciudadanos y la seguridad nacional. El MCCD ejercerá la representación del Ministerio de Defensa en materia de ciberdefensa militar en el ámbito nacional e internacional y dirigirá y coordinará la actividad que en esta materia realicen los Ejércitos. Además, se encargará de definir dirigir y coordinar la concienciación, la formación y el adiestramiento especializado en materia de ciberdefensa. Este dominio plantea un nuevo escenario de posibilidades pero también de vulnerabilidades y amenazas que lo hacen muy atractivo para determinados actores, que aprovechándose de las mismas, quieran infligir un daño a la sociedad mediante la realización de ciberataques. Los cometidos que llevará a cabo el MCCD, según establece la OM, se descomponen hasta en 23 actividades diferentes, incluido el mando 5. Dichas actividades se agrupan funcionalmente en áreas de actividad. Dichas áreas se agrupan en áreas funcionales de mayor nivel que constituyen las diferentes secciones del Mando 6. El ejercicio de dichas actividades y su agrupación funcional determina el número de efectivos necesarios para su ejecución 7. COSDEF 5 Anexo 1Figura 2. 6 Anexo 1Figura 3. 7 Anexo 1Figura 4 y Figura 5. 14

16 Un Centro de Operaciones de Seguridad de la Información ( COS) es una organización que tiene por finalidad afrontar la amenaza cibernética sobre la seguridad de la información mediante dos funciones : - detectar - coordinar la respuesta operativa a los incidentes de seguridad que se puedan producir así como proporcionar una mejor comprensión del problema cibernético a través de la divulgación de las amenazas informáticas. Los ataques de la ciberdelincuencia son cada vez más numerosos y críticos. En los últimos años se ha producido un incremento de incidentes tales como las intrusiones a páginas web con el fin de robar información, la detección de nuevas familias de malware, la introducción de código dañino en los de sistemas industriales etc En este sentido un COS constituye una buena solución para desarrollar de forma coherente todas las acciones orientadas a afrontar las amenazas en el ciberespacio. En España el Ministerio de Defensa dispone del COSDEF (Centro de Operaciones de Seguridad de la Información) creado por la Instrucción 96/2011 de 16 de diciembre del Secretario de Estado de Defensa, que tiene por misión gestionar las actividades de carácter proactivo, reactivo y de detección, relacionadas con la seguridad de la información y ciberdefensa en los sistemas de información y telecomunicaciones corporativos. Se encuentra encuadrado en el Área de Seguridad de la Información de la Subdirección General de Tecnologías de la Información y Comunicaciones y se estructura en cuatro células: - Célula de Prevención - Célula de Detección y Operación - Célula de Reacción - Célula de Soporte El conjunto de cometidos proactivos que lleva a cabo el COSDEF está orientado a analizar las amenazas que pueden materializarse en los sistemas de información y telecomunicaciones, a detectar las vulnerabilidades en dichos sistemas y a promover la implantación de medidas de seguridad de carácter preventivo. El conjunto de cometidos de detección está dirigido a dos aspectos fundamentales la monitorización de los sistemas de información y telecomunicaciones buscando signos de intrusiones y otras actividades anómalas y la gestión e inspección de los registros de actividad de los sistemas de inspección de los sistemas de información y de telecomunicaciones. Entre los cometidos de gestión fomenta la colaboración con otros organismos tanto del Ministerio de Defensa como ajenos al mismo. 15

17 Para abordar los cometidos de reacción cuenta con un conjunto organizado de medios humanos, materiales y procedimientos, con capacidad de llevar a cabo tanto actividades de gestión de incidentes como de efectuar análisis forense. Fomenta la colaboración con otros organismos tanto del Ministerio de Defensa como ajenos al mismo y desarrolla y distribuye informes periódicos sobre el estado de seguridad de la información del Ministerio de Defensa. El Mando Conjunto de Ciberdefensa mantendrá la coordinación con el COSDEF. 5. ASPECTOS LEGALES DE LA CIBERGUERRA Atendiendo al Tallinn Manual on the International Law Applicable to Cyber Warfare, escrito a instancias del NATO Cooperative Cyber Defence Centre of Excellence, sito en Tallin, Estonia, por expertos en derecho internacional, el concepto y marco jurídico de la ciberguerra es no es todo lo novísimo que esperaríamos. De hecho, se delimita en los mismos parámetros y términos que lleva marcando la legislación internacional en la materia desde, al menos, la creación de la Sociedad de Naciones. El documento, se ocupa de definir el concepto de ciberguerra, las legítimas razones que un Estado tiene para entrar en ella, y el modo ajustado a derecho de comportarse en la misma, hace especialmente evidente su continuismo en las definiciones de uso de la fuerza 8, legalidad y legitimidad en el uso de la fuerza, amenaza, legítima defensa, necesidad y proporcionalidad. En definitiva, la verdadera novedad sobre la ciberguerra es el nuevo espacio estratégico. Su marco legal, las reglas de juego que la OTAN sugiere adoptar, son muy cercanas, prácticamente idénticas a las que se adoptarían si el escenario del conflicto fuera el aire, o el mar. Ahora bien, todo marco jurídico requiere de un compromiso ético multinacional, si bien nos encontramos todavía, en este ámbito, lejos de cualquier semblanza del Imperio de la Ley. LOS ASPECTOS ORGANIZATIVOS DE LA CIBERDEFENSA Y EL DERECHO INTERNACIONAL PÚBLICO La Ciberdefensa y sus aspectos organizativos están en conexión con varios ámbitos del Derecho Internacional Público, el Derecho que regula el uso de la fuerza, el Derecho Internacional Humanitario y el Derecho de la Guerra. A este respecto, se ha de tener en cuenta que, al crear el Mando Conjunto de Ciberdefensa en España, se han de contemplar dichas normas del Derecho Internacional Público. En particular, el art.2.4 de la Carta de la 8 Una ciberoperación tendrá la consideración de uso de la fuerza cuando su escala y efectos sean comparables a los de operaciones convencionales que pudieran recibir dicha consideración, Regla 11 del Manual, P.48 16

18 ONU, que prohíbe el uso de la fuerza en las relaciones internacionales; el art. 51 del mismo tratado, que establece la definición y requisitos para el ejercicio de la legítima defensa, individual o colectiva; la Resolución 3314 (XXIV) de la Asamblea General de la ONU, que define la agresión. En el ámbito más específico del Derecho de la Guerra y del Derecho Internacional Humanitario, habremos de prestar atención al Reglamento de la Haya, los Convenios de Ginebra y sus Protocolos Adicionales, así como a los principios generales del Derecho de la Guerra y las Normas Consuetudinarias. En particular, en el ejercicio de la Ciberdefensa, se han de tomar en consideración los principios relativos a: la necesidad militar, distinción, proporcionalidad, sufrimiento innecesario, perfidia y neutralidad. INCIDENCIA DE LA LEGALIDAD INTERNACIONAL EN LA CIBERGUERRA Nada en la legalidad internacional prohíbe de forma explícita las operaciones de ciberguerra; sin embargo, seguramente existen limitaciones legales respecto a su aplicación. Además, las operaciones de ciberguerra tienen la capacidad de constituir un uso de la fuerza o una violación de las leyes de guerra. Las operaciones de ciberguerra ofrecen una gran variedad de métodos para impactar en la capacidad del adversario para conducir la guerra. Pueden permitir a un estado infiltrar la red de un adversario, obtener archivos, diseminar desinformación o introducir debilidades en los sistemas de un adversario. Las operaciones de ciberguerra pueden también hacer posible que un estado tome el control de la red de un adversario con el propósito de deshabilitarla temporal o permanentemente o afectar la infraestructura que aquella apoya. Además las operaciones de ciberguerra tienen la capacidad de privar a un adversario de la infraestructura esencial de apoyo a las acciones militares, tales como los satélites de comunicación. Una ventaja de las operaciones de ciberguerra es que, con frecuencia, alcanzarán los resultados deseados con menores daños colaterales que la guerra tradicional, tales como, deshabilitar una red eléctrica accediendo a su red informática en lugar de bombardear la planta de energía. A pesar del hecho de que las operaciones de ciberguerra tienen la capacidad de limitar los daños colaterales durante períodos de hostilidades, presentan algunos riesgos a los estados que puedan emplear tal tipo de guerra. Un ejemplo sería la potencial escalada de hostilidades menores en el estallido de un conflicto. Por ejemplo, un estado A que ha recibido evidencias específicas que establecen que el estado B estuvo detrás de los ataques de denegación de servicio (DoS) contra el gobierno del estado A, declara los hechos como de uso ilícito de la fuerza y ordena llevar a cabo una campaña de bombardeo aéreo contra las instalaciones de comunicaciones del estado B, fuente del ataque. El estado B puede a su vez 17

19 declarar las acciones del estado A como acciones de guerra y lanzar misiles contra el estado A. Quién es el culpable en este escenario? Alguno realmente violó la legalidad internacional? Uno de los mayores retos de la ley es mantenerse actualizada al ritmo del avance de la tecnología. La comunidad internacional se ha esforzado a menudo para poner en práctica normas de conducta oportunas con relación al avance del armamento. En el pasado, cuando emergían nuevas tecnologías, en un esfuerzo por evitar la guerra o minimizar el sufrimiento humano cuando se producían conflictos, los estados redactaban normas que tenían como resultado, por ejemplo, tratados que restringían las armas biológicas, químicas o láser. En marzo de 2006, Nikolai Kuryanovich, un miembro de la Duma rusa, señaló en una carta a un grupo hacker ultranacionalista conocido como La Unión Eslava que, en el futuro más cercano muchos conflictos no tendrán lugar en el campo de batalla en terreno abierto, sino más bien en los espacios de internet, combatidos con la ayuda de soldados de la información Creemos que el futuro, que el Sr. Kuryanovich plantea, es el momento actual, y que ahora es el momento para que los estados determinen lo que está y no está permitido en la legalidad internacional en relación con las operaciones de ciberguerra. El fracaso en que esto se haga ahora, puede tener como resultado una normativa excesivamente restrictiva y reaccionaria como respuesta a un ciberataque tipo Pearl Harbour, en lugar de un enfoque bien meditado proactivo y estructurado. 6. CONCLUSIONES Tras el análisis realizado, podemos extraer las siguientes conclusiones: La ciberdefensa sería el subconjunto más operativo de las capacidades de ciberseguridad, lo que parece lógico y coherente si pensamos que en el mundo físico la defensa es la parte más operativa de las capacidades que desarrollan las naciones para garantizar la Seguridad Nacional. La mayoría de los cuerpos de doctrina militar clasifican las capacidades de ciberdefensa en tres tipos: las de defensa, centradas en la prevención, detección, reacción y recuperación frente a ataques; las de explotación, que permiten la recopilación de información sobre potenciales adversarios; y las de respuesta, que incluyen las medidas y acciones a tomar ante amenazas o ataques. Una capacidad de respuesta a incidentes informáticos implementa fundamentalmente capacidad de defensa, dentro de la estrategia de ciberdefensa de una nación y organismo internacional, buscando garantizar la prevención, detección, reacción y recuperación frente a ataques, intrusiones, interrupciones u otras acciones hostiles deliberadas. 18

20 Un Ciberequipo Rojo también implementa la capacidad de defensa, dentro de la ciberdefensa, puesto que al centrar su actividad únicamente en los sistemas propios, se excluyen por definición las actividades de explotación y respuesta. De todas formas, no debemos confundirlo con una CIRC, ya que es una capacidad complementaria y potenciadora de ésta, y cuyo adiestramiento y forma de operar está más próximo al de un ciberejército, diferenciándose de éste fundamentalmente en su doctrina y en los objetivos de su misión. Debido a la creciente sofisticación de la ciberamenaza, cada vez en más países se está imponiendo la opinión de que es necesario hacerle frente con medidas más activas, que busquen no sólo prevenir, detectar, reaccionar y recuperarse ante un ataque, sino neutralizar la ciberamenaza desde su origen, desarrollando las capacidades de un ciberejército, así como las reglas de enfrentamiento que permitan a éstos pasar al ataque. Tras analizar los diferentes modelos, compromisos y alcances, no excluyentes unos de otros, a la hora de implementar una adecuada capacidad de ciberdefensa, podemos deducir que en general ésta busca dar respuesta a dos aspectos o misiones diferenciados: Por un lado, la protección de las TIC de la Defensa, sobre las que se apoya la capacidad operativa militar en el mundo físico tradicional. Estas capacidades suelen ser las primeras en implementarse en forma de CIRC-CERT. Por otro, implementar una capacidad militar en el ciberespacio, para garantizar la defensa de los intereses nacionales en ese nuevo ámbito. Que se suele implementar partiendo de las anteriores y cuya máxima expresión serían los ciberejércitos. 7. PROPUESTA DE FUTURO Lo que define una estrategia son sus objetivos y sus líneas de acción y, como en toda guerra, puede ser ofensiva o defensiva. Una estrategia ofensiva será la que tenga por objetivos la información y los sistemas del adversario que protegen las infraestructuras críticas. Las líneas de acción serán los distintos empleos de las ciberarmas para anularlos. Por el contrario, una ciberestrategia defensiva tendrá por objeto la información y los sistemas propios, y las líneas de acción estarán enfocadas a la conservación de los sistemas propios, lo que redunda en la protección de las infraestructuras críticas. No obstante lo anterior, las estrategia ofensiva requiere estar preparado para defenderse de un ciberataque sofisticado. Tendremos que fortalecer la capacidad de prevención y respuesta ante incidentes informáticos, pues en general las naciones aisladamente no 19