Su «puesto de combate» en el Ciberespacio
Si los tanques y la artillería ya no son los instrumentos de la guerra, sino los virus informáticos y los micro-robots, entonces no podemos decir que las naciones sean los únicos grupos armados o que solamente los soldados estén en posesión de los medios de guerra. Alvin & Heidi Toffler (1993)
Autor: Roberto Villanueva Barrios. General de Brigada de Transmisiones ( Ejercito de Tierra). Subdirector de Gestión de Personal del Ejército de Tierra. Jefe de Estado Mayor del Mando Conjunto de Ciberdefensa hasta 2015.
Si está leyendo este artículo, se encontrará frente a un “dispositivo digital”, su ordenador, tablet, teléfono móvil; en su casa, lugar de trabajo, de viaje… o incluso puede que esté confortablemente instalado delante de su televisor “inteligente”. Ambos, usted y su dispositivo, forman una “identidad digital”, que convive con millones de otras identidades en el mundo virtual donde las fronteras no existen, ni parece haber límites para el emprendimiento, el conocimiento y el desarrollo.
A su alrededor, en ese océano digital que es el ciberespacio en el que usted “navega”, paseando, observando, conociendo, aprendiendo, trabajando o disfrutando, hay infinidad de personas compartiendo el ciberespacio con usted, sin que lo advierta, detrás de millones de otras identidades.
Sí advierte, sin embargo, que en ese mismo entorno virtual, sus propios familiares, amigos, socios, clientes, proveedores, conocidos, y otras identidades públicas o privadas, algunas desconocidas por completo; se dirigen a usted desde cualquier parte del planeta y le hablan y escriben, informándole o haciéndole ofertas o peticiones de todo tipo, dándole consejos, órdenes, instrucciones…
Esta forma de relacionarse, trabajar y vivir como ciudadanos del mundo, que para nuestros bisabuelos era absolutamente increíble, para nosotros es ya completamente natural, y por ello la gran mayoría de las actividades que desarrollamos como individuos o familias, colectivos o sociedades, empresas o instituciones, naciones u organizaciones internacionales, necesitan imprescindiblemente del empleo libre y seguro del ciberespacio.
Si tanto depende de esto, cabría preguntarse:
¿Está garantizada la libertad y la seguridad en el empleo del ciberespacio?
Ante lo que su respuesta muy bien podría ser un expreso reconocimiento…
¡Desde luego que existen riesgos…!
ya que percibe de manera indudable la existencia de amenazas, muchas de ellas perfectamente identificadas y ampliamente difundidas, con repercusión diaria en los medios de comunicación.
No obstante, si hasta el momento nada le ha impedido desarrollar con normalidad su actividad como “identidad digital”, podría refugiarse en la idea de que la situación de la que disfruta no tiene por qué cambiar, sin detenerse a valorar la posibilidad de que otras muchas “identidades” le consideren un objetivo rentable.
De hecho, no es necesario pasearse por redes como TOR (The Onion Router), seducido por el lado oscuro de los bajos fondos digitales, para “cruzarse” en el ciberespacio con:
- Ladrones, que tratarán de obtener sus datos de pago en las compras que realice, y suplantarle después mediante transacciones fraudulentas.
- Secuestradores, que intentarán cifrar todos sus datos y pedirán un rescate para que pueda recuperarlos.
- Activistas, que procurarán atraerle hacia sus planteamientos mediante acciones espectaculares o insistentes proclamas.
- Terroristas, que reciben órdenes y coordinan acciones en la red, estudiando sus objetivos mediante la abundante información que ponemos a su alcance.
- Agresores, que pretenderán privarle de servicios básicos mediante acciones ofensivas sobre las infraestructuras que soportan estos mismos servicios.
- Traficantes, que comerciarán ilícitamente con sus datos personales e identidades digitales, entregándolas a terceros para su explotación.
- Acosadores, que no tendrán reparo en humillarle, agredirle, maltratarle, difamarle, o insultarle, mediante ataques personales, si con ello obtienen cualquier recompensa.
- Tahúres, que le atraerán hacia sofisticadas trampas en lugares de juego, con las que conseguirán hacerse con sus cuentas.
- Pervertidos, cuyo objetivo será ganarse la confianza de otros, con frecuencia de menores, para obtener determinadas imágenes, cuando no peligrosas citas, vendiendo o compartiendo luego en la red el material gráfico obtenido.
- Meritorios, que intentarán demostrar sus incipientes destrezas mediante ataques-desafío.
- Espías, que procurarán obtener toda la información valiosa que posea, o a la que pudiera tener acceso, sin que posiblemente llegue nunca a advertirlo.
- Manipuladores, que tratarán de crear un estado de opinión favorable a sus intereses, mediante elaboradas técnicas de “desinformación”.
- Vándalos, que buscarán realizar ataques “sensacionales” para ganar relevancia en cuanto a su capacidad destructiva.
- Suplantadores, que se presentarán bajo identidades digitales de su confianza, para alcanzar objetivos en su entorno inmediato y, a través suyo, en otros a los que usted tenga acceso.
- Resentidos, que harán posible vulnerar la seguridad de las organizaciones a las que pertenecen, para obtener la deseada venganza.
- Mercenarios, que venderán todo tipo “servicios” en la red a quien pueda pagar lo suficiente o les ofrezca un sustancioso botín.
- …
Si bien es cierto que usted como ciudadano de a pie está sujeto a estas y otras muchas amenazas, no es menos cierto que los riesgos que conllevan no distinguen entre su vida privada y su actividad profesional. De hecho, en muchas ocasiones la mejor capacidad de defensa del entorno corporativo donde se realiza la labor profesional, requiere que el atacante oriente inicialmente su acción hacia el entorno privado (hogar, familia, amigos…), buscando aquellos elementos o individuos que ofrezcan una mayor vulnerabilidad. Una vez alcanzados aquí los objetivos iniciales pretendidos, el ataque proseguirá hacia el entorno profesional desde una mejor posición, con mayores posibilidades de éxito.
Por lo tanto, de poco sirve disponer de la mejor tecnología de defensa en los elementos más críticos de cualquier sistema cuando, además de la ventaja que el desarrollo de nuevas ciberarmas proporciona al atacante, éste puede hacer uso del eslabón más débil, el componente humano, como inestimable e involuntario colaborador.
Y opciones no le faltarán, puesto que si repasa la lista de cuantos tienen interés u obtienen beneficio atentando contra usted en el ciberespacio, no le será difícil trasladar a su entorno profesional la práctica totalidad de las amenazas que todos ellos representan, simplemente transponiendo los términos del objetivo último que se persigue.
De esta manera, si las escaramuzas generalizadas que constituyen los millones de ciberataques que se producen a diario se organizaran deliberadamente, siguiendo para ello una estrategia de acciones coordinadas, y no se contara con la capacidad de defensa adecuada, se podría llegar a afectar de manera generalizada, o incluso interrumpir, la actividad diaria de buena parte de los ciudadanos de una nación, tanto en su vida privada como en el ámbito profesional, llegando incluso a amenazar la seguridad nacional.
Desde los tiempos en los que el ser humano se agrupaba de forma tribal, pocas veces ha quedado tan patente que la defensa de una nación reside en la capacidad, voluntad y actitud de todos y cada uno de sus miembros, en este caso identificada en la manera en la que atendemos a nuestra propia seguridad en el uso del ciberespacio.
Los cientos de millones de dispositivos digitales que empleamos a diario son objetivos ciertos de quienes traten de poner en riesgo nuestra seguridad personal o colectiva, no importa que se trate del teléfono móvil de un adolescente, un servidor del más sofisticado sistema de armas, el terminal de un alto cargo, o la televisión inteligente de nuestro domicilio. Y la primera línea de la defensa corre a cargo del propio usuario, de usted mismo.
Frente a este trascendental desafío, tal vez no del todo asumido todavía, solo cabe:
a) Potenciar las acciones necesarias para alcanzar y mantener una elevada conciencia personal de ciberseguridad, esencial para la adopción generalizada de actitudes preventivas eficaces, y para la imprescindible cooperación de los propios ciudadanos con los instrumentos de la Defensa Nacional.
b) Garantizar la acción integrada de todas las capacidades nacionales de ciberseguridad, ya sean éstas civiles o militares, del ámbito académico o de la investigación, del sector público o del privado…
c) Evitar la adopción de actitudes previsibles o de estructuras y mecanismos de defensa excesivamente rígidos, favoreciendo la adopción de estrategias innovadoras y de procedimientos flexibles, capaces de adaptarse en cualquier caso a las circunstancias del momento y a su rápida evolución.
d) Asumir plenamente el concepto de “Defensa Activa”, con el objetivo de disuadir, prevenir o frustrar la acción ofensiva del posible adversario, actuando antes de que éste haya desencadenado cualquier ataque generalizado de manera efectiva.
e) Establecer un ágil, efectivo y “honesto” sistema de intercambio de información y difusión sobre ciberamenazas, entre todos cuantos son parte activa de la ciberseguridad nacional (usuarios incluidos, a su nivel), que dificulte al atacante encontrar “flancos descubiertos” en el despliegue propio de seguridad.
f) Dotarse de las imprescindibles capacidades en materia de ciberinteligencia, perfectamente integradas con otras capacidades de inteligencia “clásica”, orientadas a una detección temprana y una valoración inequívoca de las capacidades y posibles actitudes del adversario.
g) Fortalecer la necesaria cooperación internacional, mediante el establecimiento de acuerdos concretos y la implantación de los mecanismos e instrumentos necesarios.
h) Asegurar desde el primer momento la integración de la defensa del ciberespacio en la gestión de crisis nacional, estableciendo las estructuras, procedimientos y herramientas adecuadas, con la participación de todos los sectores afectados.
i) Alcanzar el más amplio consenso posible en materia de ciberseguridad, de manera que se garantice el adecuado amparo a las necesidades de la Defensa Nacional en el ciberespacio.
j) Elaborar una legislación adecuada, que proporcione el necesario respaldo legal a las acciones que hayan de emprenderse para hacer frente de manera efectiva a las ciberamenazas.
Aunque en muchos de estos aspectos se han producido avances sustanciales en España en los últimos años, aún queda tarea en la que debemos aplicarnos con esmero, puesto que la rápida evolución tecnológica que ha cambiado nuestra forma de vida ofreciéndonos extraordinarias posibilidades, también se las ofrece a los que pretenden amenazar nuestra libertad y seguridad, tanto en el ciberespacio como fuera de él.
Que estos últimos no triunfen dependerá de que los deberes estén hechos a tiempo, contando siempre con que usted se encuentre en condiciones de defender, cada día, su “puesto de combate” en el ciberespacio.
Si los tanques y la artillería ya no son los instrumentos de la guerra, sino los virus informáticos y los micro-robots, entonces no podemos decir que las naciones sean los únicos grupos armados o que solamente los soldados estén en posesión de los medios de guerra.
Alvin & Heidi Toffler (1993)
Acerca del autor
ROBERTO VILLANUEVA BARRIOS. General de Brigada de Transmisiones (Ejército de Tierra). Casado y con tres hijos.
Ingresó en la Academia general Militar en 1979, obteniendo el empleo de Teniente de Transmisiones en 1984, como componente de la XXXIX Promoción del Ejército de Tierra.Ha estado destinado en Unidades de Helicópteros como Piloto y Oficial de Transmisiones, ejerciendo funciones de Oficial de Inteligencia, así como de Estado Mayor en diversos puestos nacionales, con responsabilidades en el ámbito de las operaciones y el planeamiento.Prestó sus servicios en la Agencia CIS de la OTAN en Mons (Bélgica) como jefe de la Sección de Planes de su Cuartel General y ha ejercido la Jefatura del Regimiento de Guerra Electrónica nº 32, con sede en Sevilla.
Como integrante del equipo inicial del Mando Conjunto de Ciberdefensa, se hizo cargo de la Jefatura de su Estado Mayor hasta su ascenso al empleo de General de Brigada, en el año 2015. Desde entonces es el Subdirector de Gestión de Personal del Ejército de Tierra.
Su formación incluye el Curso de Piloto de Helicópteros y de Vuelo Instrumental en los EE.UU, el Curso Superior de Inteligencia, los diplomas de Transmisiones y de Estado Mayor, así como diversos cursos nacionales e internacionales en los ámbitos de las comunicaciones, las operaciones conjuntas y la seguridad de las tecnologías de la información y las comunicaciones.
Es experto en Prevención y Gestión de Crisis Internacionales por la Universidad Carlos III de Madrid (Instituto Francisco de Vitoria)
Le han sido concedidas diversas condecoraciones nacionales al Mérito Militar y de la Orden de San Hermenegildo, e internacionales como la de Servicios Meritorios de la OTAN y las que distinguen su despliegue en operaciones, tanto de la OTAN como de las Naciones Unidas.
Ha participado en Operaciones en el Kurdistán Iraquí, como piloto de helicópteros y responsable de comunicaciones de la Agrupación de Helicópteros; en Kosovo, como integrante de la Sección de Comunicaciones y Sistemas de Información de la Brigada Multinacional Oeste; en la Célula de los Balcanes del Centro de Operaciones de la OTAN en SHAPE (Bélgica); en Afganistán, como representante del Director de la Agencia CIS de OTAN ante el Comandante de ISAF, y en el Líbano, como responsable de los Sistemas de Comunicaciones e Información en el Cuartel General de UNIFIL.