La Nueva España

La Nueva España

Contenido exclusivo para suscriptores digitales

Miembro del centro de operaciones de ciberseguridad de la OTAN

Vicente Pastor: "España es uno de los países más avanzados en materia de seguridad en el ciberespacio"

"La OTAN se ocupa de proteger las infraestructuras críticas; hay muchas actividades cotidianas que ya no sabemos hacer sin los sistemas tecnológicos"

Vicente Pastor, ayer, en la Politécnica. MARCOS LEÓN

En términos bélicos, un plan de ataque o defensa que extienda sus tropas por tierra, mar y aire ha dejado de ser ya suficiente. Esta semana la OTAN ha creado un nuevo centro de operaciones para proteger un nuevo dominio de la batalla: el ciberespacio. Vicente Pastor, miembro de esta unidad de la OTAN, es uno de los fundadores del nuevo proyecto: el Centro de Operaciones del Ciberespacio. Pastor visitó ayer Gijón como ponente de los actos de clausura de la cátedra sobre vídeos y redes de comunicación que la Universidad de Oviedo tiene con la empresa Telecable.

-¿Cuándo comenzó la OTAN a trabajar la defensa de ciberataques?

-Lo cierto es que la OTAN lleva trabajando en materia de seguridad, prácticamente desde que se creó. Es su misión fundamental. De hecho, en temas de prevención y de seguridad en la información somos pioneros. Hemos trabajado en clasificación de información, habilitación del personal y de la industria, certificación de productos y acreditación de sistemas, por ejemplo. Lo que sí es cierto es que el término "ciberdefensa" ha tardado un poco más en acuñarse.

-¿Por qué?

-Hubo un momento que yo definiría como de inflexión en este aspecto. Fue en el año 1999, en una operación que estaba llevando a cabo la OTAN en Kosovo. Recibimos un ataque en varios servidores de la organización y una página web muy visible fue modificada. A partir de ese momento se empezó a temer que los ataques en el ciberespacio pudiesen tener consecuencias más serias. Esto llevó a una importante decisión: en el año 2002, se creó tras la cumbre de Praga el NCIRC, que en inglés es el NATO Computer Incident Response Capability. Es el centro de respuesta a incidentes de seguridad informática de la OTAN. Se fue desarrollando todo a partir de ahí.

-¿Estamos completamente protegidos de un ciberataque a día de hoy?

-Nunca podemos estar protegidos al cien por cien de algo. Si así fuese, los seguros, por ejemplo, serían innecesarios. Lo que sí podemos decir es que la OTAN ha trabajado y sigue trabajando mucho para mejorar su seguridad en el ciberespacio y contribuir a que sus países miembros desarrollen la suya. En este sentido es muy importante la colaboración internacional; permite descubrir problemas que están afectando a una organización o a un país específico, y en muchos casos, produciendo efectos similares en otro.

-¿Cuáles son las competencias de la OTAN? ¿Puede proteger a una empresa privada o a una administración pública?

-No, es todo mucho más sencillo. La defensa de las infraestructuras públicas o privadas de cada país es responsabilidad de ese país. La OTAN solo tiene competencias ahora mismo para defender, no para atacar, y solo en las redes propias de OTAN, las que gestiona el organismo. Así lo aprobaron los 29 países miembros. Aunque dependiendo de la severidad del ataque en particular, el gobierno de ese país podría solicitar ayuda a la OTAN.

-¿Fue difícil lograr el consenso entre los países miembros?

-El consenso es siempre complicado y su dificultad aumenta conforme más miembros se involucran. Las decisiones que se toman en la OTAN, al aprobarse por unanimidad, tienen dos peculiaridades principales. Una, y es lo que más suele percibir la gente, que lleva cierto tiempo materializarlas. El consenso del que hablamos no se consigue de la noche a la mañana; exige todo un proceso de tratos diplomáticos y políticos. La otra peculiaridad es que, una vez tomadas, las decisiones son muy firmes, tienen mucha fuerza.

-¿Existe algún calendario que fije los retos del futuro?

-Tenemos muchos; la ciberseguridad es algo que avanza constantemente. La principal novedad de estos días, eso sí, es la cumbre que acaba de celebrar la OTAN en Bruselas. Allí se aprobó una modificación en su estructura de mandos o, digamos, una adaptación de la misma, que consiste en crear un centro de operaciones en el ciberespacio. Es la continuación de una decisión de 2016 en la cumbre de Varsovia. En ella, la OTAN decide que el ciberespacio pasa a ser un dominio más de las operaciones militares. Esto es la evolución de esa decisión. Decidimos que era un dominio y ahora, dentro de nuestra estructura de mandos, creamos un organismo que nos permita operar en él. Lo que se busca es que tanto la OTAN como los países que la conforman sean capaces de defenderse con la misma eficacia en el ciberespacio como lo hacen en tierra, mar, aire.

-Pero el ciberespacio es más difícil de delimitar que las fronteras terrestres de un país.

-Claro, menudo trabajo me queda por delante... (Ríe). Pero, bueno, tenemos muchos retos por la novedad del espacio en sí. Quiero decir, hace siglos seguro que también a los dirigentes políticos les parecía muy complicado defenderse en los mares. Lo que sí tiene el ciberespacio es una gran peculiaridad: es el único creado exclusivamente por el ser humano. La tierra, el mar y el aire han estado siempre ahí; el ciberespacio no. Eso lo hemos creado y tenemos que buscar una forma de protegernos en él, de crear doctrinas y procedimientos válidos para operar. Y el valor que da la OTAN es precisamente el mismo que en el resto de los entornos, con la diferencia de que los demás tienen ya muy claros sus límites y sus soberanías. Pero, ¿cómo se define la distancia en el ciberespacio? En un ataque aéreo es necesario que las naves estén a una distancia más o menos cercana; en la red, no. En eso trabajamos.

-En este nuevo espacio nos pueden atacar desde cualquier sitio, entonces.

-Sí, en teoría. En la práctica hay ciertos mecanismos de defensa, ciertas capas de seguridad que lo complican. Pero sí. Es un problema que tiene un nombre concreto: atribución. En los ciberataques es difícil localizar al causante del problema porque en muchos casos parece que procede de un país concreto cuando, en realidad, el tráfico de red ha pegado varios saltos y su responsable está en otro país completamente distinto. En el cibercrimen, no obstante, ya ha habido varios casos de éxito en los que los policías de distintos países, gracias a la colaboración internacional, lograron encontrar a delincuentes de este tipo. La OTAN se centra en los posibles ataques sobre su propia infraestructura y cada una de las naciones tiene que proteger infraestructuras y servicios críticos.

-En un caso hipotético, ¿cómo podría afectar a un país un ciberataque de gran magnitud?

-Hay gente más o menos escéptica con la presencia de los policías y militares que defienden los otros espacios delimitados. En nuestro campo eso es un poco más abierto porque la gente no se lo imagina de forma tan clara, pero lo cierto es que la dependencia que tenemos a día de hoy sobre los sistemas de información es tremenda. Si todo esto falla no podríamos coger un avión y habría fallos en el sistema financiero, el energético, el de suministro de aguas... Y eso sin hablar de otras actividades cotidianas que ya no sabemos hacer sin las tecnologías de la información. Todo esto se engloba dentro de la protección de las infraestructuras críticas que comentaba antes. Dependemos mucho de ellas. Un dato tal vez no muy conocido es que España tiene un centro nacional de protección de estas infraestructuras que funciona muy bien. Además, tenemos en el entorno militar el Mando Conjunto de Ciberdefensa que se creó en 2013. Este país tiene unas de las políticas y directivas de ciberseguridad más desarrolladas del mundo.

-¿El campo de la ciberseguridad es un buen hueco laboral para las nuevas generaciones?

-Los jóvenes lo tienen mucho más fácil, sí. Yo llevo trabajando en temas tecnológicos toda la vida, pero no toda la gente de mi generación se encuentra cómoda hablando de ello. Los jóvenes están mucho más predispuestos a aprender este nuevo lenguaje y, laboralmente, sin duda cada vez tendremos que centrarnos más en perfeccionar nuestros sistemas de ciberdefensa. La escasez de personas formadas en ciberseguridad es muy grande y la demanda sigue creciendo a un ritmo mucho mayor que la oferta.

Compartir el artículo

stats