ARABIA SAUDÍ, EL PAIS DEL PETROLEO…Y LA CIBERSEGURIDAD!

Dr. José Ramón Coz

Dr. José Ramón Coz

Dr. José Ramón Coz Fernández
Miembro fundador y Analista Internacional de THIBER. 

Es ampliamente conocido que Arabia Saudí es, sin duda, el país del petróleo. Arabia Saudí dispone de un quinta parte de las reservas petrolíferas de todo el planeta, y es el segundo país del mundo con mayores reservas después de Venezuela. Lo que, posiblemente, no sea tan conocido es su vinculación con la Ciberseguridad. Arabia Saudí, que es una de las veinte economías más poderosas del planeta, y el cuarto país del mundo que más invierte en Defensa, también ha considerado el carácter estratégico de la Ciberseguridad, formulada a través de su Estrategia Nacional de Ciberseguridad (conocida como NISS, Developing National Information Security Strategy for the Kingdom of Saudi Arabia).

Desde hace más una década, Arabia Saudí está invirtiendo cantidades ingentes en fortalecer su Ciberseguridad. Es, lo que se conoce en los ámbitos internacionales de análisis de Ciberseguridad a nivel geoestratégico, unos de los más grandes Consumidores de Ciberseguridad a nivel mundial. El país consume productos, servicios, tecnologías, ingeniería y consultoría de procesos, proyectos de investigación y formación relacionados con la Ciberseguridad, y lo hace de forma masiva. Estas grandes inversiones tienen como principal objetivo la protección de la Ciberespacio y, además, apuntalar la protección de sus Capacidades Defensivas.

En sintonía con el grupo de países más avanzados tecnológicamente y con una gran inversión en Defensa, Arabia Saudí realiza una inversión proporcional y equilibrada en Ciberseguridad, que permite al país protegerse de forma adecuada y minimizar los riesgos a los que está sometida, tanto su defensa como sus infraestructuras críticas, como es el caso particular del sector de la energía y, más en concreto, de la industria del petróleo, a la que se otorga una importancia estratégica.

La inversión del país en Defensa en el año 2013 rondó los sesenta y siete mil millones de dólares y su inversión en Ciberseguridad en el año 2013 fue de aproximadamente unos seis mil millones de dólares, de acuerdo a los últimos estudios realizados por el Departamento de Defensa de los Estados Unidos y el SIPRI (el Instituto Internacional de Investigación sobre la Paz de Estocolmo).

Todos los grandes programas y proyectos que se llevan a cabo en el ámbito de la Ciberseguridad en el país están alineados y coordinados. Esto supone un avance significativo, ya que solamente los países que coordinan de forma estratégica estos programas llegan a alcanzar un alto nivel de madurez en la protección global de su ciberespacio.

Ya en el año 2012 solamente el Ministerio de Finanzas Saudí Gestionaba un programa de Ciberseguridad de unos veinte millones de dólares, y en el caso del Ministerio de Petróleo y Minerales el programa estaba dotado de casi nueve millones de dólares; aunque fue precisamente este año 2012 en el que se produjo un punto de inflexión, con una notable evolución creciente en términos de inversiones en Ciberseguridad.

Después del ataque contra Aramco, la mayor empresa de petróleo del mundo, en el año 2012, que inutilizó los grandes sistemas de la compañía durante 10 días, se anunció un incremento en el presupuesto de Ciberseguridad de la propia compañía pública hasta los treinta millones de dólares. Además, en el año 2013 se produjeron importantes ataques contra las infraestructuras Web de los Ministerios en Arabia Saudí y estos hechos han provocado un crecimiento notable a nivel de inversiones. Según estimaciones del Virginia Economic Development Partnership, la inversión pública y privada podría alcanzar unas cifras cercanas a los treinta y siete mil millones de dólares en el año 2016. También, a modo de ejemplo, mencionaremos que tan solo las aerolíneas Saudíes ya invirtieron del orden de diez millones de dólares en programas de Ciberseguridad en el año 2013.

Estas cifras nos pueden dar una idea del alcance de los programas de ingeniería de soporte a la Ciberseguridad y de su complejidad técnica. Estos programas permiten alcanzar al país un grado de madurez alto, no solo en el ámbito de la Ciberseguridad sino también a la postre en las Tecnologías de la Información y las Comunicaciones.

Pero como todas las evoluciones, no se trata de un asunto reciente o esporádico. Si nos remontamos al año 2002, Arabia Saudita comenzó a crear su Framework Legal sobre Ciberseguridad con la creación de leyes como la Propiedad Intelectual, la ley de Copyright, la ley de Patentes o leyes específicas sobre Tecnología. En el año 2007, además, Arabia Saudita aprobó ya una Ley contra el Delito Cibernético (la famosa Ley del Cibercrimen, 8 Rabi 11428 / 26.03.2007), penalizando actos de piratería y fraude electrónico, así como la difusión electrónica información de socavar la moral pública o el apoyo a organizaciones terroristas. Las tareas llevadas a cabo desde entonces por la Oficina de Investigación y la Fiscalía con el apoyo técnico de la Comisión de la Tecnología de las Comunicaciones y la Información permiten también al país otorgar una garantía razonable de control.

Pese a ser un gran consumidor, y estableciendo las grandes distancias con los grandes desarrolladores de Ciberseguridad, Arabia Saudí está cambiando su visión del ámbito de la Ciberseguridad. Una visión más cortoplacista podría llevar al país a seguir realizando una gran inversión creciente en el consumo de Ciberseguridad, sin embargo, el gobierno Saudí está invirtiendo no solo en grandes proyectos de ingeniería, sino también en educación y formación en este campo. Además, sin duda, el mayor salto cualitativo a futuro es su inversión en Investigación sobre Ciberseguridad.

A modo de ejemplo mencionaremos la ciudad de la investigación KACST (King Abdulaziz City for Science and Technology) que es, en la actualidad, uno de los Centros más avanzados en Investigación del mundo. El programa de Ciberseguridad que gestiona este centro actualmente tiene un valor estimado de unos doce millones de dólares, y se han llevado a cabo desde el año 2011 importantes pactos de gran impacto con organizaciones de enorme prestigio como el MIT, que permiten a sus Universidades y Centros de Investigación seguir avanzando en todos los campos que engloban las TIC.

A nivel nacional, el País tiene una estructura de soporte a la Ciberseguridad coordinada, lo que se traduce en un liderazgo organizado. Destacaremos, en primer lugar, el Gran Centro de Respuesta a Incidentes que a nivel nacional lleva el liderazgo en la gestión de los Ciber-incidentes y la Gestión de Riesgos Tecnológicos. En segundo lugar, mencionaremos el Ciber-comando. Las fuerzas armadas de Arabia cuentan con servicios muy especializados y que están soportados por grandes programas e inversiones, y permiten garantizar la seguridad en los sistemas de la información y los sistemas de mando y control.

Además, existen cuerpos especialistas que actúan como asesoramiento para el resto de los cuerpos y fuerzas de seguridad del estado. Dispone el país, además, de un gran Centro de Operaciones de la Red que tiene como objetivo proteger los servidores y los sistemas de comunicación y proporcionar apoyo técnico, y de un Centro de Seguridad de la red que protege la confidencialidad de la información.

Como principal conclusión podemos destacar que Arabia Saudita, por sus grandes inversiones en todos los campos de la Ciberseguridad, incluyendo la ingeniería, la educación y la investigación principalmente, se convertirá sin lugar a dudas, y a muy corto plazo, en una de las grandes potencias mundiales en el campo de la Ciberseguridad y la Ciberdefensa.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

FRANCIA, UN LIDERAZGO EN CIBERDEFENSA

Dr. José Ramón Coz

Dr. José Ramón Coz

Dr. José Ramón Coz Fernández
Miembro fundador y Analista Internacional de THIBER. 

Se puede afirmar, sin lugar a dudas, que Francia es uno de los países que mayor evolución ha tenido en la última década en el campo de la Ciberdefensa, pese a no ser uno de los pioneros en esta área, como puedan ser el Reino Unido, Israel, Rusia o Estados Unidos. Francia ha decido apostar por las Tecnologías de la Información y las Comunicaciones (TIC) desde hace más de tres décadas, sobretodo en el ámbito de las Administraciones Públicas y desde hace aproximadamente unos 5 años ha apostado fuertemente por la Ciberdefensa como un componente más de vital importancia, dentro del campo de las TIC.

Desde que Francia publicara su Estrategia Nacional de Ciberseguridad en Febrero del año 2011 se ha producido un auténtico terremoto que ha cristalizado en el Programa Nacional de Ciberseguridad que ha hecho público este año 2014. Este programa está dotado presupuestariamente con mil millones de euros. La propia Estrategia afirmaba que el mayor reto de la misma era convertir a Francia en una potencia mundial en Ciberseguridad.

Para decidir implicarse en un programa de estas dimensiones se ha producido previamente un trabajo ingente de análisis muy detallado de las inversiones, los programas, los proyectos y los servicios relacionados con la Seguridad de las TIC que estaban llevándose a cabo en todo el país. Todos los países con un grado de madurez alto en este campo han llevado a cabo estos estudios, aunque en el caso de Francia el proyecto es de extrema complejidad, pues su alcance abarca no solo el campo de la defensa y las administraciones públicas, sino también el de las Infraestructuras Críticas. Es importante señalar que estos retos tan complejos solo se pueden realizar con la colaboración estrecha del sector privado, que es responsable de gestionar una gran parte de estas infraestructuras, en la mayoría de los países.

Para llevar a cabo el diseño de este gran programa de inversiones, se ha contado con el liderazgo del Ministerio de Defensa Francés y la Agencia Nacional de Sistemas de Información, en su rol estratégico y de soporte a los Ciber-incidentes de seguridad a nivel nacional, tanto para el sector público como el privado (CERT-FR). El programa de Ciberseguridad convertirá a Francia en una próxima potencia de Ciberseguridad, sin lugar a dudas. Hay otros países con un grado de inversión similar, como el caso de IRAN, Arabia Saudí, Rusia o el Reino Unido, que se podrán destacar en un futuro próximo como las grandes potencias en este campo, siempre bajo el liderazgo de Estados Unidos, que es el desarrollador de la mayor parte de la tecnología de soporte a la Ciberdefensa.

Este gran programa cuenta no solo grandes proyectos de protección de infraestructuras críticas, dotados con un valor de unos cuatrocientos millones de Euros, sino también con importantes programas de I+D+i coordinados con centros de investigación básica y aplicada. El mayor grado de inversión será para los programas de Armamento y Material y la Seguridad de la Defensa. Francia, además, cuenta con una presencia muy relevante dentro de las instituciones internacionales, como la Unión Europea o las Naciones Unidas y está contribuyendo activamente a la formulación y el desarrollo de las estrategias futuras en Ciberdefensa.

Se conocen algunos grandes proyectos declarados oficialmente que cubre el Programa Nacional como el Proyecto de Seguridad en Comunicaciones, el Proyecto de Cifrado o el de Vigilancia de la Red Global de Defensa. Al tratarse de una prioridad para el Ministerio de Defensa, porque su capacidad operativa puede ser gravemente amenazada por las amenazas cibernéticas, se ha dotado de proyectos específicos de Mando y Control que permiten dotar de la seguridad de la información necesaria a los grandes programas de armamento. Esto es un aspecto fundamental, que ya ha sido incorporado en otros países. Como ya se ha mencionado, la mayor parte de las inversiones se destinarán a apuntalar la seguridad en el Ministerio de Defensa y sus socios estratégicos.

Francia, que gasta más dinero en sus fuerzas armadas que cualquier otro país europeo, excepto Gran Bretaña, se dotará en pocos años de la más alta tecnología de soporte a la Ciberdefensa y se pondrá al día con la OTAN en las defensas cibernéticas. También se pondrá en marcha un centro para capacitar al personal en la defensa cibernética, coordinado con las Universidades punteras en tecnología y seguridad, que tendrá un potente brazo de investigación para desarrollar las armas ofensivas de seguridad cibernética de Francia.

Otro aspecto clave es que el personal de la unidad de defensa cibernética en el campo militar se ha multiplicado por seis, y se ha creado un cuerpo específico de abogados especializados que serán capacitados para monitorizar todo el aspecto legal. Este cuerpo se integrará con el sistema judicial. Aquí, la colaboración Defensa y Justicia se considera clave, y existen numerosas líneas de acción para integrar sistemas, procesos y grupos de trabajo con este propósito. Esto es de vital importancia y cada día cobra más impacto en todos los países desarrollados.

Otro de los aspectos ya mencionados, pero absolutamente crítico, es la Ciberseguridad en los Programas de Mando y Control. Hasta la fecha los ataques monitorizados y protegidos por el Gobierno han tenido un foco en sistemas de información, pero el futuro de la Ciberdefensa es la protección de los sistemas críticos de armamento, como los aviones de combate, buques, drones y las plataformas terrestres.

En el caso particular de Francia, tras el acuerdo firmado con el Reino Unido en el año 2010 para el desarrollo común de Grandes Programas de Mando y Control, este Programa de Ciberseguridad Nacional tiene una importancia, si cabe, más estratégica porque las capacidades del Reino Unido en este campo son muy avanzadas y permite a Francia desarrollar potentes interfaces necesarios para la coordinación de estos Grandes Programas. Uno de los programas conjuntos Francia-UK es precisamente el de Ciberseguridad Conjunta, ya acordado como uno de los objetivos del acuerdo del año 2010.

Para llevar a cabo estos Programas Conjuntos y poder seguir avanzado en la protección de la Ciberseguridad nacional, el Programa Nacional de soporte a la Ciberdefensa es absolutamente crítico y por esa razón Francia está apostando fuerte en este campo, que llevará a consolidar al país como una gran potencia en el campo de la Ciberdefensa.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

La estrategia de Ciberseguridad Nacional. Línea de Acción 4 del Gobierno. Investigación y Persecución del Ciberterrorismo y la Ciberdelincuencia

Abogado. CDPP. E|CISO.  Senior Manager. Grupo SIA.

Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.

Gonzalo Salas Claver
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA. 

El Presidente del Gobierno aprobó el pasado año el documento que contiene la Estrategia de Ciberseguridad Nacional (ECN) como piedra angular del Gobierno para el desarrollo de acciones de prevención, defensa, detección y respuesta frente a las Ciberamenazas.

Aprovechando que el pasado 26 de febrero de 2014 se constituyó el Consejo Nacional de Ciberseguridad, qué mejor momento procesal para escribir este breve ensayo, haciendo una breve critica a una de sus líneas de acción, por considerarla inconsistente y, por tanto, ineficaz. Si bien atrevido de mí, debería seguir al ingenioso hidalgo Don Quijote, cuando éste le dijo a su inseparable Sancho: ¿Qué locura o qué desatino me lleva a contar las ajenas faltas, teniendo tanto que decir de las mías?

La ECN gira sobre la definición de unos principios rectores y objetivos de la Ciberseguridad, junto con la descripción de un conjunto de líneas de acción. Ahora bien, hoy en día es difícil de entender que las acciones prescritas para conseguir un marco jurídico y operativo eficaz en esta materia  (contenidas en la Línea de Acción 4 de la ECN)) se limiten única y exclusivamente a:

  • Integrar los tipos penales según los problemas que surjan relacionados con la ciberseguridad.
  • Mejorar las capacidades de investigación y persecución del ciberterrorismo y ciberdelincuencia.
  • Fortalecer la cooperación policial y ciudadana.
  • Asegurar a los profesionales del derecho, el acceso a la información y el conocimiento para la mejor aplicación del marco legal.

Nos parece decepcionante que, además de la sempiterna pretensión de mejora sustancial de las leyes, no se establezcan o prevean como eje principal de la ECN una mejora fundamental de los mecanismos y procedimientos que aseguren una respuesta rápida a los grandes incidentes, que incluya una detención rápida, un juicio sin dilaciones[1] y un castigo severo. Elementos todos ellos de la ecuación, que no se dan dentro de nuestro sistema y nuestro ordenamiento jurídico. Y es doblemente decepcionante por cuanto en la National Strategy to Secure Cyberspace de 2003 del Presidente de los EE.UU. se establecía como uno de sus principios principales “mejorar las capacidades para determinar la fuente del ataque y la respuesta”.

En efecto, toda la ECN parece que se centra en la prevención, y deja de absolutamente de lado la reacción. Echo en falta unas claras líneas de acción para cuando las medidas preventivas  sean claramente superadas. En efecto, el Manual de Tallin (2013) de la OTAN sobre el derecho internacional aplicable a la ciberguerra contiene una Regla 13 que establece que un Estado que es objeto de una ciberataque que alcanza el nivel de ataque bélico puede ejercitar su derecho intrínseco a la legítima defensa. Este mismo año se ha publicado también por la OTAN el libro Peacetime Regime por State Activities in Cyberspace como guía doctrinal frente a ataques cibernéticos que no alcancen la categoría de ataque bélico.

No creo, que bajo estas líneas de acción, encontremos la capacidad de respuesta a los retos frente a los que nos encontramos, y se dé o se consiga una protección real y efectiva a los ciudadanos frente  a los contundentes riesgos y amenazas que se ciernen sobre nosotros.

Los ciberdelitos[2] presentan éstos aspectos característicos:

  • Se cometen fácilmente.
  • Se ejecutan bajo una percepción de anonimato.
  • Percepción de impunidad.
  • Posibilidad de obtención de rápidos beneficios/ daños.
  • Requieren escasos recursos en relación al perjuicio que pueden causar.
  • Pueden cometerse desde cualquier lugar, generando problemas de jurisdicción, lo que supone una dificultad en la persecución del delito por las restricciones territoriales.
  • Se benefician en algunos casos de lagunas de impunidad, por ser ejecutados desde territorios donde ni se tipifica la sanción, por tanto no se persigue el delito ni hay posibilidad de extradición.

Bajo toda esta aureola de beneficios, el elemento de tolerancia cero y medidas severas siempre son una buena herramienta. Sanciones efectivas, proporcionadas y sobre todo disuasorias. Para ello solo hay que ver el régimen sancionador de la Administración Pública, donde cada vez es más notorio el importe de las sanciones como elemento disuasorio frente al administrado.

Resulta interesante ver, como en Estados Unidos se ha incrementado notablemente las penas si se atacan ordenadores protegidos, con condenas de hasta 10 años de prisión en primera condena y de hasta 20 años cuando haya reincidencia, cuando nuestro tipo general, el de revelación de secretos va de 1 a 5 años y/o el de daños[3]  con pena multa de 6 a 24 meses.

Es difícil encontrar, invito al lector a que me rectifique, supuestos de condena penal superior a 2 años, que suponga el ingreso efectivo en prisión, por delitos informáticos, excluyendo indiscutiblemente los relativos a la difusión de pornografía infantil.

Por otro lado, nos encontramos frente a unas normas y procedimientos, que encorsetan la lucha contra la ciberdelincuencia. Así difícilmente se podrán obtener unos buenos resultados cuando:

  • Contamos con sistemas descentralizados de la administración de justicia, por el traspaso de competencias por los distintos Estatutos de Autonomía, que junto a su falta de interoperabilidad, a pesar del esfuerzo que se está llevando a cabo a través del Esquema Judicial de Interoperabilidad y Seguridad, redunda en una merma en términos de eficiencia y calidad de la justicia.
  • Falta de consolidación de los sistemas y las infraestructuras de los distintos Cuerpos y Fuerzas de Seguridad del Estado, lo que supone claras y manifiestas ineficiencias. Un modelo de “silos” que en la práctica supone mermas en la capacidad de respuesta entre los distintos cuerpos policiales dedicados a la persecución de este tipo de delitos (La Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía,  el Grupo de Delitos Telemáticos de la Guardia Civil, y a nivel autonómico; la Unidad de Delitos Económicos e Informáticos de la Ertzaintza y los Mossos d’Esquadra desde la Unidad de Central de Delitos Informáticos).
  • Unos cuerpos policiales que cooperan poco entre ellos, rompiendo la máxima que en seguridad se colabora no se compite.
  • Unos procedimientos en materia de cooperación judicial vía comisión rogatoria, excesivamente lenta. Nuestra Ley de Enjuiciamiento Criminal del año 1882 poco podría prever sobre estas conductas tan dinámicas que requieren respuestas ágiles.
  • Una normativa en materia de privacidad, intimidad y protección de datos, que limita o restringe la actuación policial, que debe verse sometida al principio de proporcionalidad, que deba ser idónea para la investigación del delito, imprescindible para el caso concreto (que no existan otras menos gravosas), y ejecutada de tal modo que el sacrificio del derecho fundamental a la intimidad no resulte desmedido con la gravedad de los hechos y las evidencias existentes.

Año a año crece este tipo de delincuencia. Nos encontramos en un escenario en donde la incoación de procedimientos judiciales  por hechos ilícitos asociados al uso de las TICs ha supuesto un incremento del de un 21,81%, según los datos publicados en la última Memoria de la Fiscalía General del Estado. Así el registro del último año (2012) asciende a 7.957.

Gráfica1

Fuente; Memoria Fiscalía General del Estado 2013.

Según el Ministerio del Interior, el 95% de los delitos relacionados con las nuevas tecnologías quedan impunes. Si bien por su informe de Cibercriminalidad, el año pasado detuvieron a más de 5.000 personas. En cuanto al volumen por tipología de delitos:

Gráfica2

Fuente; Ministerio del Interior.

Según Symantec, el promedio mundial de ataques dirigidos es de 116 diarios y su incremento en el año 2012 del 42%. El informe sobre Crimen Cibernético de Norton 2013, registra más de un millón de victimas al día, cada una de las cuales pierde € 220 por término medio.

Estos datos no dejan de ser la punta del iceberg,  ya que estamos frente a un problema de delincuencia global, en muchos casos, organizada y cada vez más tecnificada. Unos datos que a su vez nunca recogerán la realidad, dado que muchos delitos no son conocidos y por tanto ni registrados ni perseguidos.

Es por tanto necesario, abarcar nuevas iniciativas para reforzar la lucha contra la ciberdelincuencia,  y desarrollar y reforzar toda una serie de medidas destinadas a disuadir y combatir estas conductas. Para ello la revisión y mejora normativa y procedimental de nuestro ordenamiento jurídico, no solo es vital, sino fundamental.

Un gran primer paso ha llevado a cabo el Gobierno de España, buscando ampliar y mejorar las capacidades de detección y análisis de las ciberamenazas.  Aquellos que tienen el privilegio de saber, tienen ahora  la obligación de actuar (Replicando a Comte: “Saber para prever, a fin de poder” ).

[1] La principal queja o reclamación a los Juzgados y Tribunales, es la falta de una justicia ágil y tecnológicamente avanzada, destacando el derecho a la tramitación ágil de los asuntos y derecho a una organización racional de la oficina o servicio judicial.

Según las estadísticas del Consejo General del Poder Judicial,  los Juzgados de lo Penal tardan en resolver en primera instancia 10,4 meses.

[2] De las múltiples definiciones que han querido abarcar este concepto, la más apropiada es la descrita por Romeo Casabona: Conjunto de conductas relativas al acceso, apropiación, intercambio y puesta a disposición de información en redes telemáticas, las cuales constituyen un entorno comisivo, perpetradas sin  el consentimiento o autorización exigibles  o utilizando información de contenido ilícito, pudiendo afectar a bienes jurídicos diversos de naturaleza individual o supraindividual. (De los delitos informáticos al cibercrimen. Una aproximación conceptual y político criminal)

[3] Coste de un ciberataque: € 435.000 (Coste de mano de obra, hardware, software e indemnizaciones. No se computa lucro cesante). Fuente: Symantec. Coste del Cibercrimen.

Coste de pérdida de negocio por fallo de seguridad: € 350-€ 700 en PYME, €12.00- € 18.000 Gran Empresa. Fuente: Information Security Breaches Survey

Coste de pérdida de posicionamiento en motores de búsqueda (Código Malicioso en Web) y credibilidad: € 25.000-€115.000 en Pyme y € 29.000- €135.000 en Gran Empresa. Fuente: Information Security Breaches Survey

A vueltas con la soberanía nacional en el ciberespacio

Guillem Colom
Guillem Colom Piella
Director de THIBER, the cybersecurity think tank.

El pasado 31 de marzo, el ministro de Defensa, Pedro Morenés, inauguró las Primeras Jornadas de Ciberdefensa de las Fuerzas Armadas que se celebraron en el Centro Superior de Estudios de la Defensa Nacional (CESEDEN). Organizadas por el Mando Conjunto de Ciberdefensa, este encuentro, que contó con la participación de representantes de la milicia, la academia, el sector público y de la empresa privada, sirvió también para la puesta de largo de este mando cuya creación se remonta a febrero de 2013.

Durante su discurso inaugural, Morenés resaltó la extrema importancia de disponer de “…la capacidad industrial para desarrollar nuestros propios mecanismos de seguridad en ciberdefensa”. Esta frase bien podría haber pasado desapercibida como parte del típico discurso de un cargo político, pero nada más lejos de la realidad.

Con estas palabras, el Ministro dejaba clara importancia estratégica que tiene para su departamento potenciar un complejo industrial en materia cibernética integrado dentro de un sistema nacional de ciberseguridad. El objetivo de este movimiento es muy claro: salvaguardar nuestra soberanía nacional en el ciberespacio.

Esta decisión es perfectamente comprensible: tras el sonado escándalo desatado el pasado año a raíz de la filtración de numerosos documentos que señalaban que la Agencia Nacional de Seguridad (NSA) estadounidense había estado espiando de forma sistemática y continuada a sus aliados y socios, han sido muchos los gobiernos que han despertado de su letargo acerca del valor estratégico que posee el ciberespacio y la suma importancia de disponer de capacidades tecnológicas propias que permitan reducir la dependencia externa del país en materia cibernética y minimizar también su exposición a la adquisición de información por parte de terceros por el simple uso de software o hardware de empresas extranjeras.

En octubre del pasado año, cuando se filtró que la NSA había espiado nuestro país, nuestro gobierno todavía no parecía haber identificado la importancia real de este entorno virtual, puesto que el ministro de Asuntos Exteriores y Cooperación aseguró que no le constaba que la agencia hubiera espiado en/a nuestro país. No obstante, lo que sí se sabía es que a raíz de nuestras carencias tecnológicas habíamos proporcionado a Estados Unidos información sobre comunicaciones telefónicas y de Internet para que la NSA se encargara de su procesamiento, filtrado y conversión en inteligencia.

Con la creación del Mando Conjunto de Ciberdefensa, la publicación de la Estrategia Nacional de Ciberseguridad y ahora con estas declaraciones, parece que algo se está moviendo en nuestro país. Aunque esta toma de conciencia se ha debido a factores externos, como el escándalo de la NSA o la presión de la Alianza Atlántica para que sus miembros desarrollen sus propios medios de ciberdefensa, y todavía son muchos los responsables políticos no logran comprender el valor intrínseco del ciberespacio para nuestras vidas, para nuestro desarrollo económico, político y social o para nuestra seguridad personal y nacional, parece que nuestro país, y más específicamente el Ministerio de Defensa, se está empezando a mover en la dirección correcta, pensando ya en la generación de capacidades.

Y para ello, no basta con crear un Mando Conjunto de Ciberdefensa con una reducida financiación, unas líneas de actividad poco claras y sin apenas personal experto, o elaborar una Estrategia Nacional de Ciberseguridad sin presupuesto para su implementación. Falta concienciación dentro y fuera de la Administración, falta participación público-privada de todos los elementos relevantes del país y, falta, sobre todo, no caer en la autocomplacencia.

A pesar de estos escollos que pueden dificultar la creación de un sistema de ciberseguridad fundamentado en capacidades nacionales autónomas y competitivas, las palabras de Morenés son todo un hito porque identifican una de las raíces del problema. Ahora sólo falta continuar en esta dirección.