Uno de los suplementos de octubre de The New York Times Weekly del diario El País publicaba un informe sobre 16 institutos californianos, que han iniciado talleres experimentales para jóvenes hackers, financiados por el Gobierno de Estados Unidos a través de DARPA, la Agencia para Proyectos de Investigación Avanzada de Defensa norteamericana.
No es un asunto de menor cuantía. España recibe cada año decenas de miles de ataques informáticos. Se valora en alrededor de nueve millones de euros el coste anual para Estados Unidos a consecuencia de los ciberataques. A consecuencia de los ataques sufridos en 1999 por diversos aliados de Estados Unidos, con motivo de la Operación Allied Force en los Balcanes, la OTAN creó su primer programa de ciberdefensa en 2002. En 2007 tuvo lugar un ataque informático masivo en Estonia. El mismo año, durante el bombardeo israelí del reactor nuclear en Siria, parece probable que un ciberataque dejó inoperantes las defensas antiaéreas de este país. En 2008, con ocasión de la guerra de Georgia, volvieron a emplearse métodos cibernéticos en beneficio de una acción militar. A fecha de hoy, son más de 30 los países que disponen, en la estructura orgánica de sus Fuerzas Armadas, de unidades especiales de cibernética.
La vieja trilogía tierra-mar-aire se vio, no hace muchos años, ampliada a t-m-a-espacio y, hoy, nos vemos obligados a completar la panoplia con el póker t-m-a-e-ciberespacio. El director del CNI, general Félix Sanz Roldán, ha declarado: -«La amenaza de un ciberataque esponsorizado por un estado es real y una de las más serias que enfrenta el sistema de información de España».
¿Debemos pensar que se trata tan sólo de un problema a resolver técnicamente? ¿O es más acertado afirmar que estamos ante un asunto con suficiente contenido estratégico y político como para catalogarlo de auténtico riesgo a la seguridad nacional? ¿Está en juego la posibilidad de un colapso en todos los ámbitos de la vida nacional?, por lo que surge un nuevo interrogante: ¿corresponde su enfrentamiento a las Fuerzas Armadas?, ¿a la Defensa?, ¿tal vez a Interior?, o ¿sus repercusiones en la vida social y económica de todo el entramado nacional aconsejan pensar en una coordinación en los más altos niveles de la Administración?
Desde 2006, España dispone, en el CNI, del CNN-CERT (Centro Nacional Criptológico-Computer Emergency Response Team), responsable de la protección de las redes y sistemas de información en los niveles nacional, autonómico y local, aunque (y ello podría ser un nuevo tema de debate) existen autonomías, como la valenciana, con órganos propios en esta materia. Pero, a pesar de que la campaña electoral del Partido Popular contemplaba la necesidad de una Autoridad Nacional de Coordinación de Seguridad (que incluía la cibernética), en estos momentos España no dispone de una política nacional para la ciberseguridad, ni existe una auténtica ciberestrategia, aunque el referido CNI ha establecido un esquema con tres niveles de riesgo: bajo, medio y alto. Igualmente, el ministro Fernández Díaz se ha comprometido a la publicación de una Estrategia Nacional de Ciberseguridad y a la creación de una Oficina de Coordinación. A día de hoy, los organismos públicos con responsabilidades en ciberseguridad son:
. Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), dependiente del Ministerio del Interior.
. Unidades tecnológicas de las Fuerzas y Cuerpos de Seguridad del Estado.
. INTECO, órgano dependiente del del Ministerio de Industria, Energía y Turismo.
. Centro Criptológico Nacional (CCN), dependiente del CNI.
. Departamento de Infraestructuras y Seguimiento de Situaciones de Crisis (Presidencia del Gobierno).
Por otro lado, cualquier posibilidad de defensa ante ciberataques, ¿no debe pasar por un previa capacidad de infiltración en las redes contrarias?, lo que apareja una doble duda: la de la legalidad de unas acciones semiofensivas en tiempo de paz, cuyos límites permanecen indefinidos, y la de hacer aún más difusa la línea que separa las situaciones de paz y de guerra. Sumemos la dificultad, ante un ataque, de calibrar la personalidad del atacante, que pudiera no ser ni siquiera un actor estatal. A todo lo anterior, ¿se debe añadir la necesidad de contar no sólo con lo público sino, tal vez, de disponer del apoyo y, simultáneamente, de poner limitaciones e intervenir desde la Administración en la esfera de lo privado? (con posibles nuevos problemas legales de injerencia en la privacidad de empresas e individuos), aunque, por otra parte, se debe recordar que la falta de acción pone en riesgo la intimidad del ciudadano. En estos aspectos de lo privado, aparece una nueva pregunta: ¿disponen el Estado y la empresa española de la suficiente capacidad tecnológica para enfrentar esta amenaza con nuestros propios medios (aun contando con el apoyo de nuestros socios en la OTAN y la UE), o habremos de invertir en I+D lo suficiente para no caer en la vulnerabilidad de depender de otro país en tema tan trascendente? (el viejo «que inventen ellos»). Al pie de este artículo se incluyen los trabajos al respecto publicados por ATENEA y ateneadigital.es.
Nos parece motivo más que suficiente para que ATENEA, en la línea seguida en sus tres anteriores ocasiones (la BANALIZACIÓN de lo militar, ASOCIACIONISMO y MANTENIMIENTO) abra un debate entre sus lectores para animar a su aportación en tan importante tema. Esperamos su siempre valiosa colaboración en asunto tan directamente ligado a la Seguridad y Defensa Nacional.
Fuente: Atenea Digital