El ciberespacio se ha convertido en un campo de batalla esencial para la seguridad nacional y combatir el ciberespionaje en una necesidad a la vista del aumento de ciberataques a las redes militares cada vez más complejos y mejor organizados. En este artículo te explicamos cómo se combate en España y qué claves hay que tener en cuenta para prevenirlo a nivel global.
En un mundo cada vez más interconectado, el ciberespacio se ha convertido en un campo de batalla esencial para la seguridad nacional. Frente a las crecientes amenazas cibernéticas, los Estados y sus Fuerzas Armadas han creado estructuras especializadas para salvaguardar sus infraestructuras y datos sensibles. La necesidad de establecer una organización dedicada a la ciberseguridad y ciberdefensa se hizo evidente a medida que la tecnología digital se volvía cada vez más omnipresente y cada vez es más urgente y necesaria la creación de organismos dedicados a la ciberseguridad y ciberdefensa.
El ciberespionaje es una forma de guerra encubierta en la que los actores estatales o no estatales buscan infiltrarse en sistemas de información, robar secretos, obtener inteligencia estratégica y socavar la seguridad nacional de una nación. Y hoy los ejércitos modernos se enfrentan a adversarios altamente favorables que operan en el ciberespacio, lo que requiere respuestas igualmente sofisticadas.
➡️ Te puede interesar: Ciberespionaje en las misiones diplomáticas
Ya en junio de 2009, el entonces Secretario de Defensa de Estados Unidos, Robert Gates, ordenó la creación de United States Cyber Command o Cyber Command (conocido como USCYBERCOM por sus siglas en inglés). Con sede en Maryland, el objetivo principal era abordar las amenazas emergentes en el ciberespacio. Su creación fue un hito en la evolución de la ciberseguridad y la ciberdefensa, garantizando la seguridad de las redes y sistemas de información del Departamento de Defensa contra ataques cibernéticos y amenazas en el ciberespacio.
Desde entonces, se han quintuplicado los ciberataques a las redes militares siendo cada vez más complejos y mejor organizados. A día de hoy este aumento se ha visto influenciado por la invasión rusa de Ucrania y el restablecimiento de la «guerra fría», o la «guerra del quinto dominio» entre la OTAN. Por tanto, la batalla se centra en combatir la «relajación de cibercostumbres» y en el cumplimiento de los procedimientos, de ahí el lema del Ministerio de Defensa de España, «delante del teclado todos somos soldados».
➡️ Te puede interesar: Masterclass | Dominio cognitivo y pensamiento crítico para la Defensa Nacional
Ejemplo de todo ello, lo tenemos en los estándares y procedimientos de seguridad en los cuarteles de la OTAN, donde en los puestos de trabajo cuentan con distintos terminales. Para un mismo militar, en su mesa, hay dos equipos. Uno está certificado para documentación clasificada (de menos a mayor: NATO Restricted, NATO Confidential, NATO Secret, Cosmic Top Secret), y el otro no.
Los documentos clasificados solo se manejan en los terminales certificados para ello. Estos ordenadores se encuentran conectados a una red propia, para evitar ciberataques externos. Son ordenadores portátiles, que en el puesto de trabajo de esos órganos militares se conectan a un servidor especial, de la red propia y aislada en la que sí se permite manejar documentación clasificada, así como la existencia de un «órgano de protección de documentación clasificada» que vela para que se cumplan todas las medidas para proteger esa información. Un caso de ejemplo de prácticas diseñadas contra el ciberespionaje sería el de Estados Unidos donde con el objetivo de evitar que los documentos clasificados circulen por sistemas informáticos no protegidos, y la información no sea accesible a quien no está autorizado, el Ejército prohíbe a sus militares de utilizar móviles de la marca Huawei.
➡️ Te puede interesar: ¿Qué medidas ponen los países para evitar filtraciones de Inteligencia?
Cómo se combate el ciberespionaje en España
En España se hizo evidente la necesidad de combatir contra el ciberespionaje a través de la Orden DEF/710/2020, de 27 de julio, por la que se desarrolla la organización básica del Estado Mayor de la Defensa, establecido sobre la base del Mando Conjunto de Ciberdefensa (MCCD) y de la Jefatura de Sistemas de Información y Telecomunicaciones (JCISFAS).
La orden determinaba que en el ámbito ciberespacial se debe garantizar la necesaria seguridad y libertad de acción de las Fuerzas Armadas Españolas (FAS), para reforzar la capacidad de actuación de estas en dicho ámbito espacial. Además, debe asignarse al Mando Conjunto de Ciberdefensa (MCCD) y Mando Conjunto del Ciberespacio (MCCE) – EMAD, el planeamiento, dirección, coordinación, control y ejecución de las acciones conducentes a asegurar tal objetivo.
En el ámbito de estas operaciones, ambos mandos realizan las acciones necesarias para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la protección y defensa de las redes y sistemas de información críticos del país contra ciberataques y amenazas cibernéticas. En colaboración con las agencias gubernamentales, también participan cuerpos de los tres ejércitos y otros actores clave para garantizar la seguridad digital de una nación. Sin embargo, a pesar de su sofisticada infraestructura tecnológica, el elemento humano sigue siendo un eslabón fundamental en la cadena de seguridad cibernética.
➡️ Te puede interesar: ¿A qué ciberamenazas se enfrenta el sector público y privado español a corto-medio plazo?
Así entre sus funciones se encuentra la responsabilidad de definir, dirigir y coordinar la concienciación, la formación y el adiestramiento conjunto en materia del ciberespacio en el ámbito de sus competencias, colaborando con las autoridades correspondientes. Asimismo, también deberán de proponer las necesidades de formación conjunta, en materia de enseñanza manteniendo informado a la Jefatura de Recursos Humanos (JRRHH) y al Centro Superior de Estudios de la Defensa Nacional (CESEDEN). Una formación imprescindible que como primer resultado obtiene la consciencia en seguridad cibernética, pues es así como se obtiene la capacidad para percibir la realidad de las ciberamenazas Sus funciones son también una cuestión clave en la seguridad para las instalaciones y las dependencias militares.
La importancia de la concienciación para combatir el ciberespionaje en España
La seguridad cibernética no solo se trata de tecnología avanzada y sistemas de defensa, sino también de una mentalidad proactiva y educada en todos los niveles de la organización. El factor humano es el punto más débil en la seguridad cibernética, ya que los ciberataques buscan en primer lugar encontrar los errores humanos, la pereza, la desidia, la indisciplina y, a través de todo ello en conjunto se obtiene como resultado una ausencia de concienciación para cumplir procesos y procedimientos establecidos para la protección. Una simple descarga de un archivo adjunto malicioso o hacer clic en un enlace fraudulento puede comprometer toda la red de una organización. Por lo tanto, la formación tiene el objetivo de la interiorización de una concienciación diaria que es esencial para fortalecer las defensas cibernéticas.
➡️ Te puede interesar: Masterclass | Ciberseguridad en Infraestructuras Críticas: Ciberamenazas vs Planes de Seguridad
Una adecuada concienciación en seguridad cibernética implica que todos los miembros del personal, desde los oficiales de alto rango hasta los soldados en el terreno, estén plenamente informados sobre las amenazas y riesgos cibernéticos. Esto incluye la comprensión de las tácticas utilizadas, cómo reconocer correos electrónicos de phishing, la importancia de mantener contraseñas seguras y cómo informar sobre incidentes sospechosos.
El Mando Conjunto del Ciberespacio lleva a cabo programas de capacitación y ejercicios de simulación para concienciar al personal sobre las últimas tendencias en seguridad cibernética y mejorar su preparación ante posibles ciberataques. Además, se promueve una cultura de ciberseguridad en la que todos los miembros se sientan responsables y comprometidos con la protección de la información y los sistemas.
➡️ Te puede interesar: Sonia Fernández: «Si solo los ciberexpertos supiéramos de Ciberseguridad, estaríamos demasiado expuestos»
El Mando Conjunto del Ciberespacio emite alertas diarias por intentos de intrusión en las redes militares. En las dependencias y cuarteles, hay indicaciones gráficas y protocolos que indican de las prohibiciones y obligaciones:
- Descargar softwares no autorizados.
- Prohibición de intercambio o préstamo de equipos informáticos asignados.
- Introducción de información en los CRM asignados.
- Borrar certificadamente los archivos e informaciones de los equipos concluido su función.
- Prohibición de compartir información personal en redes sociales.
- No repetición de contraseñas, de equipos fijos y móviles.
La concienciación en seguridad cibernética no se limita solo al personal militar, sino que se extiende a contratistas y colaboradores externos que trabajan con la organización. La seguridad cibernética debe ser una preocupación compartida por todos los que tienen acceso a los sistemas y datos sensibles. Algo que se considera básico, pero que no por ello se consigue a diario. De ahí la importancia de que el personal que accede y usa las instalaciones y equipos informáticos adquieran conciencia de la importancia de la ciberseguridad.
El correcto manejo de los documentos clasificados: fundamental para prevenir el ciberespionaje
Actualmente, en España se regula la categorización de los secretos oficiales en una ley anterior a la Constitución española, la Ley 9/1968, de 5 de abril, sobre secretos oficiales establece cuatro grados de información clasificada, de menor a mayor:
- Difusión limitada
- Confidencial
- Reservado
- Secreto
Para poder manejar documentos clasificados, el personal de las administraciones públicas debe obtener la Habilitación Personal de Seguridad (HPS). Esta acreditación la concede la Oficina Nacional de Seguridad (ONS), actualmente dependiente del Centro Nacional de Inteligencia (CNI). La decisión se toma después de investigar a fondo las circunstancias personales y profesionales del solicitante para detectar si puede ser una persona sospechosa o vulnerable, por ejemplo, ante potencias extranjeras que quieran acceder a documentos clasificados de la administración española.
➡️ Te puede interesar: ¿En qué consiste la Ley de Secretos Oficiales de España?
También se certifican los edificios, oficinas y lugares donde se maneja información clasificada (lo que se denomina «seguridad física»), mediante la creación de Zonas de Acceso Restringido (ZAR), lo que implica una serie de medidas de seguridad, especiales para accesos y salidas. Es el propio personal de la Oficina Nacional de Seguridad el que realiza con cierta periodicidad las inspecciones en aquellas dependencias del Ministerio de Defensa y de las Fuerzas Armadas en las que se maneja información clasificada, para tratar de comprobar que se siguen todas las normas.
➡️ Te puede interesar: China: el posible riesgo de control de la información a través del ciberespacio
La Ley 9/1968, de 5 de abril, sobre secretos oficiales simplemente indica que «el personal que sirva en la Administración del Estado y en las Fuerzas Armadas estará obligado a cumplir cuantas medidas se hallen previstas para proteger las materias clasificadas». Esta norma está en trámite de ser sustituida por otra ley sobre información clasificada. Por otro lado, la Ley Orgánica 8/2014, de 4 de diciembre, de Régimen Disciplinario de las Fuerzas Armadas considera como falta muy grave, que se castiga hasta con la expulsión, «el incumplimiento del deber de reserva sobre secretos oficiales y materias clasificadas».
Esta establece como «falta grave» no guardar la debida discreción sobre materias objeto de reserva interna o sobre asuntos relacionados con la seguridad y defensa nacional, así como hacer uso o difundir por cualquier medio, hechos o datos no clasificados de los que haya tenido conocimiento por su cargo o función, en perjuicio del interés público. Y como «falta leve» se penaliza «la inexactitud en el cumplimiento de las normas de seguridad y régimen interior, así como en materia de obligada reserva».
Por último, en relación con la codificación penal, el Código Penal Militar remite al Código Penal donde se establece el artículo 601 castiga con pena de seis meses a un año de cárcel a quien «por razón de su cargo, comisión o servicio, tenga en su poder o conozca oficialmente objetos o información legalmente calificada como reservada o secreta o de interés militar, relativos a la seguridad nacional o la defensa nacional, y por imprudencia grave dé lugar a que sean conocidos por persona no autorizada o divulgados, publicados o inutilizados, será castigado con la pena de prisión de seis meses a un año».
➡️ Te puede interesar: Código LISA – Las mayores filtraciones de Inteligencia de la historia: de los Papeles del Pentágono a Snowden
Conclusión: la conciencia cibernética es clave en la prevención del ciberespionaje
El ciberespionaje es una amenaza constante en el mundo digital en el que vivimos, por ello los ejércitos de todo el mundo están adoptando medidas de ciberseguridad avanzadas para proteger sus redes y sistemas críticos al mismo tiempo que desarrollan capacidades ofensivas para disuadir y responder a los adversarios. En este nuevo campo de batalla, la conciencia cibernética es clave, y se espera que la inversión continua en educación, entrenamiento y tecnología mantenga a las fuerzas armadas preparadas para enfrentar al enemigo invisible del ciberespionaje.
Basándonos en todo ello una de las medidas más cruciales es la promoción de la conciencia cibernética en todos los niveles del Ejército. Se ha de enfatizar a diario la importancia de la seguridad cibernética en las operaciones militares, desde la planificación hasta la ejecución y así tener la seguridad que el personal militar y su entorno son talentosos a reportar actividades sospechosas y a tratar el ciberespacio con el mismo respeto y cuidado que el campo de batalla tradicional.
