Es noticia
¿Basta solo con defenderse? El plan de ciberseguridad que marcará el futuro de la OTAN
  1. Tecnología
PUNTO CLAVE EN LA CUMBRE

¿Basta solo con defenderse? El plan de ciberseguridad que marcará el futuro de la OTAN

Las defensas digitales van a ser uno de los puntos clave en las conversaciones de la Alianza Atlántica en Madrid. Hasta ahora, su estrategia ha sido meramente defensiva, ¿pero debería pasar a la acción?

Foto: Locked Shields, uno de los ejercicios de ciberseguridad del Centro de Excelencia de la OTAN en Estonia. (Reuters /Ints Kalnins)
Locked Shields, uno de los ejercicios de ciberseguridad del Centro de Excelencia de la OTAN en Estonia. (Reuters /Ints Kalnins)
EC EXCLUSIVO Artículo solo para suscriptores

A finales de marzo, el grupo de 'hackers' prorruso Callisto intentó entrar en las redes de la OTAN y algunos ejércitos de Europa del Este. Lo hicieron mediante ataques de suplantación de identidad ('phishing'), pero fracasaron. En realidad, no les pilló la Alianza Atlántica, sino los analistas de Google, que no dieron demasiados detalles del asunto. No hubo ningún tipo de consecuencias ni represalias. La estrategia del ente occidental se centra únicamente en la defensa. ¿Deberían pasar a la ofensiva? Aunque la ciberseguridad va a ser uno de los temas candentes en la cumbre de Madrid, que se celebra los próximos 29 y 30 de junio, no está nada claro qué puede salir del encuentro.

El evento prevé concluir con la que ya se bautiza como el "concepto estratégico" de Madrid y que pretende marcar los pasos ante un "futuro incierto". "El concepto estratégico tiene que ser capaz de vivir durante la próxima década, por lo que mira mucho más allá de la actual crisis en Ucrania", ha explicado David van Weel, secretario general adjunto de la OTAN para los nuevos retos de seguridad, donde mencionó "la guerra híbrida, la ciberguerra y el papel de la cibernética en nuestras sociedades". "¿Hasta qué punto son resilientes nuestras sociedades occidentales a este tipo de ataques y qué tenemos que hacer para afrontarlo?", se preguntó antes de dejar caer que estaba "seguro" de que estas cuestiones "ocuparán un lugar destacado".

Uno de los puntos clave en este ámbito será cerrar los últimos flecos del Acelerador de Innovación de Defensa (DIANA, por sus siglas en inglés) con el que se pretende fomentar el desarrollo de tecnologías críticas y fomentar la cooperación entre el sector privado y la academia. En principio, tendrá una decena de sedes y más de 50 centros de pruebas repartidos entre los países miembros. Entre otras cosas, tendrán acceso a una financiación y a inversores de confianza, además de la posibilidad de hacer pruebas con tecnologías de última generación, aunque lo más interesante es que pueden hacer contrataciones con los países aliados. Está previsto que en 2023 empiecen las pruebas piloto, aunque tardará un par de años en estar completamente operativa.

También se espera finiquitar el acuerdo del Fondo de Innovación, que contará con 1.000 millones de euros para 'start-ups' tecnológicas "para desarrollar soluciones de vanguardia para los retos de seguridad". De este modo, tratarán de financiar tecnologías de doble uso —civil y militar— en lo que será "el primer fondo de capital riesgo multisoberano del mundo". Con él, se espera superar uno de los obstáculos de la llamada 'deep tech', que son los largos plazos y el alto riesgo, por lo que estará enfocado a primeras etapas de financiación. Son los próximos pasos de una estrategia que, al menos hasta ahora, ha sido totalmente defensiva.

Las defensas digitales de la OTAN

El manual de ciberseguridad de la OTAN se ha ido perfilando durante las cumbres de los últimos años. En 2014, acordaron en Gales que era una parte central del ámbito militar, equiparable a tierra, mar, aire y espacio. Dos años más tarde, en Varsovia, se pidieron esfuerzos de cada país miembro en esta materia, mientras que el pasado verano se aprobó en Bruselas la llamada Política Global de Ciberdefensa, que recalcaba su posición y establecía que determinados tipos de ciberataques podían equipararse a los cinéticos.

No obstante, sus movimientos empezaron mucho antes, cuando en 2008 creó su propio Centro de Excelencia en Tallin (Estonia), con el que buscaba formar a los analistas de cada país miembro y desde donde hacen dos ejercicios de entrenamiento anuales. La elección de esta localización no fue casual, ya que un año antes se produjo allí el que se considera el primer episodio de ciberguerra de la historia, atribuido a Rusia. Aunque es uno de los engranajes clave de su estrategia, no es el único. Ahí el Centro de Respuesta a Incidentes Informáticos (NCIRC), que protege las redes de la OTAN y ofrece apoyo respecto a sus socios. En su mayoría, está formado por personal civil técnico —algunos también hay exmilitares—, aunque también usa personal externo proveniente de empresas y algunos perfiles 'freelance'.

placeholder El secretario general de la OTAN, Jens Stoltenberg, en el acto de conmemoración del 40 aniversario del ingreso de España. (EFE/Ballesteros)
El secretario general de la OTAN, Jens Stoltenberg, en el acto de conmemoración del 40 aniversario del ingreso de España. (EFE/Ballesteros)

"Toda la postura de OTAN es desde el punto de vista defensivo. Las operaciones ofensivas y las de inteligencia relativas a objetivos del adversario quedan dentro del paraguas de cada país", explica Mario Guerra Soto, especialista en ciberinteligencia y exanalista de 'malware' en el Ministerio de Defensa, donde pasó siete años. "Se ha elevado muchísimo el nivel defensivo en la última década", cuenta al respecto. De hecho, la alianza atlántica exige una serie de mínimos a los miembros, donde los más punteros en esta materia son Estados Unidos, Francia y Reino Unido.

"Desde el punto de vista de la seguridad de los estados y la protección de la infraestructura crítica, cada país ha tomado sus propias medidas de protección, porque se considera que son vitales", comenta Guerra. En cada estado, lo habitual es que la ciberseguridad tenga una cabeza militar y otra de inteligencia. Son los casos de los Cyber Command de EEUU y Reino Unido —cada uno tiene el suyo—, a los que se suman la NSA y el GHCQ, respectivamente. Sin ir más lejos, en España también se pueden ver varias patas, como el CCN-CERT —dependiente del CNI—, el Departamento de Seguridad Nacional, ejército o Guardia Civil y Policía Nacional, estas últimas más centradas en cibercrimen y ciberterrorismo.

Foto: Eurofighter españoles del Ala 14. (J. F.)

No obstante, también hay distintos mecanismos para compartir información entre países, como el Centro de Operaciones Cibernéticas de Mons, el Memorando de Entendimiento o una plataforma de intercambio de información sobre ciberamenazas. "Ahí se colabora para poner en común lo que detectan en sus redes", indica este especialista, que explicita que así pueden tomar acciones preventivas, como los parches o actualizaciones.

"A veces no se colabora demasiado porque tampoco se sabe quién se está espiando realmente, porque puede ser un país como Reino Unido o Estados Unidos haciéndose pasar por rusos y ya estás revelando que te han pillado", indica este especialista. En este sentido, destaca que los puntos flacos suelen ser también los mismos que en cualquier organización supraestatal. "Tienes que poner de acuerdo a decenas de países y es prácticamente imposible porque hay intereses particulares en cada uno. Tienen que ir con pies de plomo por los intereses políticos"

¿Qué pasa con los ataques?

Todo este entramado de ciberdefensas no tiene parangón en el lado de las ofensivas. "Las capacidades de inteligencia y ataque se delegan tanto en ciberseguridad como en la parte física. Si quieren algo más de proactividad, lo tienen que camuflar con algún nombre que suene menos a grupo de ataque", comenta Guerra, que subraya el hecho de que, de forma oficial, "solo Francia y Estados Unidos tienen la capacidad de ataques en operaciones de ciberdefensa".

De este modo, explica que "el espíritu es que si te atacan en el ciberespacio, únicamente puedes responder en el ciberespacio y con proporcionalidad", incluso si hay un país miembro afectado. Es más, la atribución de la autoría es siempre un terreno gris, en el que es difícil tener unas garantías totales de quién hay detrás. Así, destaca que "en el ámbito de definir capacidades ofensivas, a lo máximo que vas a llegar es a un equipo de ciberinteligencia, pero que no se dedica a obtener información agresiva del adversario".

placeholder Foto: Reuters/Steve Marcus.
Foto: Reuters/Steve Marcus.

¿Puede haber un cambio de rumbo? Por ahora, las negociaciones de la cumbre de la OTAN son secretas y se desconoce incluso qué puntos tratan en concreto, pero hay quien ya aboga por una estrategia más agresiva. "Tendrían que establecer una mezcla de arquitecturas de confianza cero, caza de amenazas avanzadas y análisis continuo de vulnerabilidades", ha explicado un artículo reciente del 'think tank' Atlantic Council, donde consideran que el enfoque defensivo actual "es demasiado limitado". "La OTAN no tiene autoridad para establecer normas de ciberseguridad para las infraestructuras críticas, pero sí tiene la capacidad de establecer objetivos que se ajusten a los requisitos de una defensa eficaz".

"Me sorprendería a bien que saliese un comunicado diciendo que pasan a algo más ofensivo, porque sería interesante explorar esas capacidades", reconoce Guerra, favorable a esta opción, pero que insiste en que iría "en contra de lo que se hace en el mundo cinético, sería un cambio de rumbo que muchos países no defenderían". "Las únicas ofensivas de la OTAN a nivel físico han sido la dirección de operaciones en Libia en 2011 y los bombardeos sobre Belgrado de 1999, pero aquello fue muy consensuado y se enmascaró como la defensa de la población albanokosovar", recuerda.

A finales de marzo, el grupo de 'hackers' prorruso Callisto intentó entrar en las redes de la OTAN y algunos ejércitos de Europa del Este. Lo hicieron mediante ataques de suplantación de identidad ('phishing'), pero fracasaron. En realidad, no les pilló la Alianza Atlántica, sino los analistas de Google, que no dieron demasiados detalles del asunto. No hubo ningún tipo de consecuencias ni represalias. La estrategia del ente occidental se centra únicamente en la defensa. ¿Deberían pasar a la ofensiva? Aunque la ciberseguridad va a ser uno de los temas candentes en la cumbre de Madrid, que se celebra los próximos 29 y 30 de junio, no está nada claro qué puede salir del encuentro.

OTAN Madrid
El redactor recomienda