Foro Milicia y Democracia
¡La ciberreserva te necesita!
Uno de los carteles más famosos de la historia es posiblemente aquel en el que el Tío Sam hacía un llamamiento a los estadounidenses, por allá 1917, para que se alistaran en el Ejército durante la I Guerra Mundial. Inspirado en un cartel anterior, también realizado en el contexto de la Gran Guerra, con gesto serio, mirada penetrante y vestido con los colores de la bandera estadounidense, el Uncle Sam señalaba a todo aquél que le mirara bajo el eslogan I want YOU for U.S. Army (Te quiero a TI para el Ejército de EEUU).
Más de cien años después, en un contexto totalmente distinto y desde un ámbito que ni siquiera existía como es el ciberespacio, se está planteando la posibilidad de impulsar la creación de un programa de ciberreserva, es decir, un grupo de profesionales en el ámbito de la ciberseguridad que puedan alistarse como reservistas en el Ejército español con el objetivo de ser activados en situaciones puntuales de crisis que pueda sufrir España. Pese a que esta idea no es totalmente nueva, sí que ha ido ganando notoriedad en los últimos meses, sobretodo a raíz del ciberataque de WannaCry de mayo de 2017 y de las supuestas injerencias rusas durante la crisis catalana. Aunque a día de hoy no se ha presentado una propuesta oficial sobre esta cuestión, algunos medios señalan algunas de las posiblescaracterísticas que podrían configurar esta unidad.
A grandes rasgos, esta ciberreserva se articularía entorno al Mando Conjunto de Ciberdefensa (MCCD), órgano integrado en la estructura operativa de las Fuerzas Armadas y dependiente del jefe de Estado Mayor de la Defensa (JEMAD) que, según la Orden Ministerial 10/2013, de 19 de febrero, por la que se crea el MCCD, tiene como ámbito de actuación “las redes y los sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y que afecten a la Defensa Nacional”. Tendría un carácter multidisciplinar, es decir, estaría formada por expertos en distintas áreas, desde profesionales de la seguridad informática a expertos en redes sociales, incluyendo a politólogos, sociólogos, juristas o psicólogos. De carácter civil, este grupo estaría formado por unos 2.000 efectivos que realizarían funciones de carácter defensivo y con una retribución cercana a los 2.000 euros (¿mensuales?). El compromiso tendría una duración de dos años y para ello sería un requisito tener una disponibilidad permanente las 24 horas del día, de lunes a domingo.
A priori, esta propuesta ofrecería unas condiciones, cuanto menos, básicas para aquellos que deseen incorporarse a esta unidad y permitiría al Estado disponer de profesionales con los conocimientos y experiencia en situaciones de emergencia. Pero, ¿qué otras consideraciones encontramos?
Uno de los argumentos para la creación de esta reserva se basa en que los países de nuestro entorno como Francia, Reino Unido o Países Bajos ya disponen de esta estructura, al igual que Estados Unidos, Israel o Estonia. Pero hay que tener en cuenta que el desarrollo en cuestiones de ciberseguridad es distinta en cada uno de los países, bien por su historia, porque hay una mayor concienciación, o por las prioridades que le otorga cada país. La estructura de ciberseguridad de alguno de estos países tiene un gran desarrollo, desde las administraciones públicas a la empresa privada, incluyendo los ámbitos académicos y de investigación, por lo que esta ciberreserva la pueden plantear como un plus a las estructuras ya existentes.
Otro de los motivos sería la consideración de que hay una escasez de conocimiento en cuestiones relacionadas con la ciberseguridad. Aunque al innegable desarrollo e implantación de las tecnologías de la información y comunicación no le ha acompañado un desarrollo paralelo en relación a la seguridad de estos sistemas, en España sí que encontramos muchas personas con los conocimientos (y también la experiencia) en este campo. Gran parte de estos profesionales se encuentran en la empresa privada (o vinculados a ella) y otros tantos han tenido que emigrar para encontrar un reconocimiento que no han tenido en su país. Y ahora, la situación se vuelve en contra. La cuestión, por lo tanto, no reside en la escasez de conocimiento sino en poder ofrecer unas condiciones acordes al trabajo que deberían desarrollar.
A nadie se le escapa que contar con expertos y profesionales en este ámbito supone destinar importantes recursos económicos, principalmente en personal. Pero parece ser que no todo el mundo lo percibe así. Sin ir más lejos, el jefe del MCCD, el general de División López de Medina, en su comparecencia el pasado noviembre en la Comisión Mixta de Seguridad Nacional del Congreso de los Diputados, afirmó que en caso de articularse esta ciberreserva “no les vamos a pagar nada, porque el único sueldo sería la satisfacción de defender a su nación, a su Estado. Sólo les cubriríamos los gastos necesarios para que no perdiesen dinero”. Todo un detalle. Además señaló otras ventajas como el hecho de que no sería necesario contar con una preparación física especial, apostaría por crear dos ciberreservas (una de carácter civil y otra militar) y, además, la colaboración no tendría que ser presencial (ventajas de la reserva online). Recientemente confirmó que la unidad podría estar formada entre 1.500 a 2.500 efectivos y que éstos recibirían formación y adiestramiento. ¡Qué diferencia con la idea inicial!
Hay quienes plantean que el objetivo real de esta ciberreserva sería ahorrar costes, lo que en la práctica supondría aceptar que el Estado no tiene los recursos necesarios para contar con los profesionales adecuados para situaciones de crisis. En el caso de que no se dispongan de los recursos económicos necesarios, el Ministerio de Defensa debería gestionar los recursos de los que dispone para desarrollar esta propuesta, y no plantear la idea de que el voluntariado patriótico es una propuesta razonable para hacer frente a situaciones de emergencia. El hecho de que determinadas personas se presenten voluntarias, no significa que por ello no tengan que recibir ningún tipo de contraprestación económica; su compromiso reside en el hecho de que estén dispuestos a poner a disposición del Estado su experiencia y sus conocimientos en momentos de crisis.
El modelo del ciudadano de uniforme
Ver más
A partir de aquí me surgen otras cuestiones. ¿Qué condición exacta tendrían estos ciberreservistas dentro de las Fuerzas Armadas? En el caso de que algo falle, ¿qué responsabilidades se les podría exigir? Se afirma que sus funciones serían únicamente defensivas, pero ¿se les podría requerir que realizaran ataques preventivos como medidas defensivas? Por otra parte, ¿qué tipo de acceso tendrían a información sensible o de carácter confidencial? En relación a las empresas u organismos para los que trabajan, ¿acaso les van a permitir que en caso de ataque informático sus empleados no estén disponibles, precisamente para gestionar este tipo de incidentes?
A menudo se cita el ciberataque de WannaCry como un escenario en el cual se podría haber activado esta ciberreserva. Este incidente, que tuvo un alcance mundial, afectó en España a más de 1.000 ordenadores, a menos de una decena de operadores estratégicos nacionales y no se habría comprometido el funcionamiento de ningún servicio esencial. Por lo tanto, el Estado ya cuenta con organismos para hacer frente a este tipo de incidentes como el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Criptológico Nacional (adscrito al CNI), el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) o los Equipos de Respuesta ante Emergencias Informáticas (CERTs), además de unidades específicas de las fuerzas y cuerpos de seguridad del Estado. Por lo tanto, ¿por qué se tendría que haber activado una unidad de las Fuerzas Armadas (aunque de carácter civil) para cuestiones que no tienen que ver con la Defensa? Debido a la interconectividad de nuestros sistemas la colaboración entre todos los organismos públicos, así como con la empresa privada, es fundamental en estos incidentes, pero la ciberreserva en ningún caso sería la solución para hacer frente a los ataques informáticos como el aquí citado.
El Estado debe invertir en todos los ámbitos de la seguridad y el ciberespacio es uno de ellos. Pero para promover un programa de ciberreserva primero se debe continuar desarrollando una estructura sólida en materia de ciberseguridad y, posteriormente, en aquellos ámbitos específicos donde sea necesario, poder recurrir a profesionales seleccionados previamente, bien sea de forma permanente o para ocasiones puntuales, pero siempre remunerados. Por ello, la ciberreserva debería plantearse en España como un complemento y no como una solución frente a los ataques informáticos que pueda el país. Si el ciberespacio es el futuro (y también nuestro presente), apostemos claramente por invertir en concienciación, formación y profesionalización. El compromiso patriótico no puede medirse por un trabajo voluntario.