“Nosotros no nos fiamos de nadie”

El general de brigada Carlos Gómez López de Medina, granadino, de 55 años, es el primer jefe del recién creado Mando Conjunto de Ciberdefensa (MCCD), embrión de un cuarto ejército: el que se prepara para combatir en el territorio ignoto del ciberespacio. Su primer reto es alcanzar el 27 de septiembre la Capacidad Operativa Inicial, lo que implica estar asentado en su nueva sede —el cuartel general desalojado por la OTAN en Retamares (Madrid)— y cubrir algo más de la mitad de su plantilla: 70 militares y 21 civiles. La mejor baza de este experto en telecomunicaciones y relaciones internacionales, ayudante del Rey durante más de tres años, es su acreditada capacidad para enfrentarse con situaciones que ningún manual había previsto, como el plante de los controladores aéreos de diciembre de 2010, que le tocó afrontar como jefe del Grupo Central de Mando y Control del Ejército del Aire.

Pregunta. ¿Es el ciberespacio el futuro campo de batalla?

Respuesta. Es un nuevo ámbito que se superpone a los convencionales. Habrá, y de hecho hay, enfrentamientos que se desarrollan solo en ese ámbito; pero es seguro que cualquier futuro conflicto en otros escenarios tendrá su traducción en el ciberespacio.

P. El ciberespacio es un escenario sin reglas. Todas las normas del derecho de guerra parecen obsoletas...

R. Se echan en falta. Hay muchos juristas debatiendo cómo articular fronteras legales en ese nuevo ámbito que se ha ido configurando casi sin que nos diéramos cuenta.

P. ¿Llega tarde España con su Mando de Ciberdefensa?

R. En absoluto. Algunos países ya lo tienen, pero la mayoría de los europeos están como nosotros, quizá unos meses adelantados o atrasados.

P. ¿Cuál es su misión?

R. La primera es proteger los sistemas conjuntos [de comunicaciones e información de las Fuerzas Armadas], con especial énfasis en los que tenemos en zona de operaciones. El primer paso es defendernos. Luego, prepararnos para una respuesta flexible y proporcionada.

P. ¿Protegerse porque pueden ser atacados o porque ya lo han sido?

“Debe haber un ‘zar’, una autoridad nacional de ciberseguridad, que coordine a todos los ministerios implicados”

R. No es el caso, porque nuestros sistemas operativos no están conectados a Internet. Utilizando el símil sanitario: si no quieres contagiarte, lo mejor es no tener contacto. Y luego, vacunarte.

P. ¿Es garantía no estar conectado? El programa nuclear iraní sufrió un ataque...

R. La amenaza existe, aunque no estés conectado, y la prueba es el caso que cita. Si quieren ir a por ti, lo van a hacer, estés o no conectado. Y tienes que prepararte.

P. Su plantilla incluye 21 civiles. ¿Podrá contratar a un hacker reconvertido para que ponga sus habilidades a su servicio?

R. No lo descarto... En todo caso, la contratación de civiles se hará a través de empresas de servicios y mediante contratos de asistencia técnica.

P. Su misión es proteger las redes militares, pero lo que preocupa a los ciudadanos es un ataque cibernético que deje fuera de servicio los cajeros automáticos o el suministro de electricidad...

R. Hay otros organismos encargados de eso, nuestra responsabilidad son las redes militares, aunque es verdad que podemos hacer un poco de UME [Unión Militar de Emergencias, que actúa ante incedios o catástrofes]. Es decir: si todo falla o hace falta nuestro apoyo, aquí estamos.

P. Defensa ha creado este mando, pero España carece de una Estrategia Nacional de Ciberseguridad que dé coherencia a lo que parecen iniciativas aisladas.

R. Es un documento que estamos esperando, porque marcará la línea a seguir...

P. ¿Debe haber un zar, una autoridad nacional de ciberseguridad, que coordine las competencias dispersas entre los ministerios de Defensa, Interior o Industria?

R. Yo creo que sí: debe haber una autoridad nacional, y los demás debemos coordinarnos y seguir sus instrucciones.

P. ¿Existe un 112 cibernético, un centro de alerta 24 horas para emergencias?

R. Ahora mismo no existe. Hay varios CERT [Computer Emergency Response Team], pero nos falta uno que centralice las alertas y dé aviso a todos los posibles afectados. Lo debe haber y lo habrá.

P. La OTAN dispone ya de una defensa aérea integrada. ¿Por qué no plantearse también una ciberdefensa común?

R. La OTAN protege sus propias redes, pero, más allá de eso, se considera que la ciberdefensa es una responsabilidad nacional. Aunque también cuenta en Estonia con un centro de excelencia, de formación de personal y elaboración de doctrina, allí no está la capacidad operativa.

P. Seguramente, el problema está en la desconfianza entre aliados, que parece justificada tras las revelaciones de Snowden.

R. Lo que queremos todos es la mayor autonomía posible. A la OTAN le basta con que le cuente los parámetros de mi sistema, en el grado que yo quiera. No se trata de abrir las puertas para que se metan hasta la cocina, nadie hace eso...

P. ¿Y se puede alcanzar una independencia tecnológica en este campo?

“Nuestra misión no es proteger las redes civiles, pero si todo falla o hace falta nuestro apoyo, aquí estamos”

R. Utilizamos programas ajenos. Eso es inevitable. Pero lo que podemos lograr, y lo logramos, es un conocimiento muy elevado de sus posibilidades, virtudes, defectos y vulnerabilidades. El paso siguiente es fabricar las llamadas ciberarmas, y para eso no necesitas una gran inversión, necesitas creatividad. Y en España la hay.

P. ¿Los programas más sensibles deben ser de fabricación nacional?

R. Lo son. Todo lo operativo está fabricado aquí, aunque adquieras módulos fuera. Pero los debes revisar muy bien, para asegurarte de que no traen bicho dentro.

P. La base de la ciberseguridad es la desconfianza...

R. No te puedes fiar de nadie.

P. Incluso, del mejor aliado...

R. Lo más prudente es pensar que todo lo que llega de fuera es hostil hasta que se demuestre lo contrario...

P. ¿Ha habido en España un espionaje masivo como el desvelado por Snowden en Alemania, Reino Unido y otros países?

R. No tengo datos.

P. Pero si uno utiliza un proveedor de servicios y sus datos personales quedan almacenados en una nube...

R. Esas nubes que cada vez están más cargadas... Tú le entregas información a una empresa, y esa empresa se compromete a proteger tus datos. Pero la mejor manera de protegerlos es no dárselos. Desde luego, nosotros no lo haremos.

P. Su mando debe preparar la respuesta ante un ciberataque, pero, para poder responder, hay que identificar al atacante. EE UU ha acusado directamente a China. ¿Es posible hacerlo con toda certeza?

R. Es complicado, pero basándonos en muestreos permanentes, comparando experiencias, la probabilidad se va consolidando. Entiendo que eso llevó a los americanos a hacer esas afirmaciones.

P. ¿Cabe el ciberataque preventivo?

R. Depende. ¿Qué tiene el ciberespacio que permite enseñar los dientes con más facilidad que en la guerra convencional? Que empleado en determinado nivel no produce bajas. Es un arma disuasoria.

P. Snowden y Manning dicen que la gran vulnerabilidad está en el factor humano...

R. Existen procedimientos para minimizar ese riesgo, pero, como sabe muy bien, la seguridad al cien por cien no existe.