General Medina: "Todos los días tenemos que defendernos de ciberataques"

En los últimos meses varios países se han visto afectados por grandes ataques cibernéticos, generalmente de tipo ransomware, un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. En este sentido, el Mando Conjunto de Ciberdefensa (MCCD), con sede en la base de Retamares, Madrid, es el responsable del planeamiento y la ejecución de las acciones relativas a la ciberdefensa en las redes y sistemas de información y telecomunicaciones del Ministerio de Defensa u otras que pudiera tener encomendadas, así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional. En la misma base están establecidos el Mando Conjunto de Operaciones (MOPS) y el Centro de Inteligencia de las Fuerzas Armadas (CIFAS).

Al frente del MCCD, órgano de la estructura operativa subordinado al Jefe de Estado Mayor de la Defensa (JEMAD), se encuentra el General de División Carlos Gómez López de Medina, que ha accedido a ser entrevistado por The Objective.

¿A qué se dedica el MCCD?

Desde hace unos años las actividades en el ciberespacio se dividen en tres grandes áreas: capacidad de defensa, capacidad de explotación y capacidad de respuesta. De alguna manera todas ellas son la expresión de la ciberdefensa. Acciones defensivas y acciones ofensivas. Ese es el desarrollo de nuestra misión y para ello contamos con un equipo compuesto por personal militar y civil.

Con frecuencia se comete el error, entre la gente que no nos conoce, de pensar que nuestra responsabilidad es toda España. Nosotros no somos responsables de todo el ciberespacio de interés nacional. Tenemos tres ámbitos de actuación: los propios sistemas del Ministerio de Defensa, sistemas de interés para la defensa nacional que se nos asignen expresamente y, por último, las acciones ofensivas, es decir, sistemas adversarios.

¿Cuándo actúa el MCCD?

Cuando existe un Plan de Operaciones previo, igual que en el Ejército de Tierra, la Armada o la Fuerza Aérea. Nosotros también tenemos unas Reglas de Enfrentamiento (ROES). A medida que se van poniendo en práctica ROES, las autorizaciones para tomar acción van aumentando. Exactamente igual que en los otros dominios (terrestre, marítimo y aéreo) pero con la dificultad añadida de que el ciberespacio es menos evidente, no tiene unas fronteras claras. Otro factor clave es que es complicado, y en algunos casos imposible, demostrar quién te ha agredido. El primer paso para contrarrestar un ataque es saber a quién se lo tienes que devolver.

¿Qué otros cometidos tiene?

Tenemos otras funciones, quizá no tan cinematográficas, pero que son muy importantes, como es concienciar al Ministerio de Defensa. Es poco vistoso, pero tremendamente eficaz y eficiente. Con un esfuerzo barato se consigue una mejoría muy importante. La formación es otro de los puntos clave de nuestra misión. Tenemos un proceso formativo que ya está dando sus frutos, con una serie de cursos que van desde el más generalista al más especializado, y que se desarrollan en los cuarteles de los Ejércitos y de la Armada. Contamos con el apoyo de diferentes Universidades.

El tercer cometido es el adiestramiento. Tenemos establecidas unidades que se dedican a la ciberdefensa y tenemos que adiestrarlas al igual que se hace en otros cuerpos de las Fuerzas Armadas (FAS).

¿Qué papel juegan otros cuerpos de las FAS?

Los Ejércitos y la Armada son responsables de defender los sistemas específicos de cada uno de ellos. Es decir, cuando hay que defender una unidad naval, desde el punto de vista de la ciberdefensa, es una misión que ejecuta la Armada, y así sucesivamente en los sistemas de armas de los diferentes ejércitos.

¿Existe colaboración con otros organismos nacionales?

Por supuesto que sí. La ciberdefensa nacional es un tema de varios. Hay otros organismos de la administración española que completan las responsabilidades de ciberseguridad hasta que todo el espectro está completo. En este sentido, el Centro Criptológico Nacional es responsable de las administraciones públicas, el Ministerio del Interior del cibercrimen, el ciberterrorismo y la protección de infraestructuras críticas (supervisar y reglamentar las mismas) y el Ministerio de Energía, Turismo y Agenda Digital se encarga del Instituto Nacional de Ciberseguridad (INCIBE), con sede en León.

La coordinación entre todos nosotros se deriva de la Estrategia Nacional de Ciberseguridad, a través de la cual se crea el Consejo Nacional de Ciberseguridad, donde también se encuentran otros organismos como el Ministerio de Educación o el de Fomento.

¿Y en el ámbito europeo?

Este sistema de organización es lo que se hace en todo el mundo occidental, con un salto cualitativo importante en la actualidad, ya que se tiene que poner en marcha la directiva europea NIS (Network and Information Security) que tiene que estar transpuesta en la legislación española no más tarde del nueve de mayo de 2018. Eso normaliza bastante, dentro de la UE, la relación entre los Estados y sus operadores críticos. Sobre todo en cuanto a normalización, ya que hasta ahora cada Estado hacía un poco lo que quería, algunos eran muy exigentes con sus operadores y otros no. Ahora sí hay unos mínimos, aunque cada Estado es libre de aumentarlos.

¿El MCCD ha tenido que responder a alguna ciberamenaza?

Todos somos atacados cada día. Todos los días tenemos que defendernos, aquí no existe la paz, siempre hay actividad, con mayor o menor grado de problemática, pero esto es un no parar. El MCCD también tiene la capacidad de atacar pero siempre dependiendo del Plan de Operaciones y de las ROES. Actualmente, en este sentido, estamos en una situación totalmente de paz, y como tal nos comportamos.

¿Está España bien preparada ante los ciberataques? ¿En qué nivel de ciberdefensa nos encontramos?

Sí, totalmente. España está bien preparada ante las ciberamenazas. Estamos a nivel europeo. Eso no significa la protección absoluta, pero tenemos un nivel que está bastante bien.

¿Cómo se prepara el MCCD?

Hacemos un entrenamiento muy importante en la realidad del día a día, pero además realizamos otras actividades para prepararnos ante situaciones extremas que no se producen todos los días. Para ello participamos en ejercicios del MCCD, del Ministerio de Defensa y otros de ámbito nacional e internacional. El MCCD realiza maniobras de ataque y defensa reales sobre un sistema virtualizado.

A nivel internacional hay ejercicios muy buenos que organiza el Centro de Excelencia de Ciberdefensa, con sede en Estonia, y que apoya a la OTAN en algunas circunstancias. Los principales ejercicios son Cyber Coalition y Locked Shields.

Últimamente estamos participando en otros ejercicios que son todavía más realistas, que son incorporarnos a ejercicios convencionales sobre los que se pone también una capa de ciber. Un ejemplo es el organizado por la Unidad Militar de Emergencias (UME) en Cantabria. Es la primera vez que participamos en este ejercicio anual, y nos hemos encargado de ciberdefender el sistema de Mando y Control de la UME, enviando operativos y medios a Cantabria.

¿El futuro pasa por tener un Ejército propio de ciberdefensa?

Por ahora no parece necesario crear otro ejército más dedicado en exclusiva a esta área. En este aspecto es relevante el caso de Alemania, que sí ha desarrollado una estructura cibernética, una especie de ejército dedicado a la ciberdefensa con unas dimensiones muy importantes. Lo que sí que parece evidente es que cualquier conflicto va a tener su componente en el ciberespacio. Nuestra unidad, el MCCD, nació en 2013, no hemos sido de los primeros, pero tampoco de los últimos, ni mucho menos. Otras Fuerzas Armadas están desarrollando unidades similares, pero no ejércitos propios de ciberdefensa. Alemania es una excepción.