General Medina: "Tenemos que estar preparados para todo, para lo más probable y lo más peligroso"

Le gusta recordar que nunca ha tenido problemas con virus informáticos en su ordenador de casa. Comenzó como teniente en la Guardia Real y, desde este verano, se ha convertido en el primer jefe del Mando español de Ciberdefensa. El organismo encargado de realizar operaciones militares en el ciberespacio y formar a nuestros cibersoldados. Desde la silla de su despacho, frente a dos ordenadores, el general Medina ha charlado de forma distendida con Atenea de sus retos y de lo que le quita el sueño para que este Mando tenga éxito.

¿Estamos en peligro?

No me atrevería a decirlo tal cual, pero estamos más expuestos a un ataque en el ciber-espacio que a uno convencional.

¿Somos un país muy expuesto a ciberataques?

España es víctima de ciberataques como cualquier nación occidental. Lo que más suena en la prensa son los ataques a EEUU, ya que sus grandes consorcios empresariales son los más 'apetecibles' por su tecnología. Pero aquí también tenemos empresas punteras y somos un objetivo. Por eso hay que estar preparados. Las capacidades no se obtienen de la noche a la mañana.

¿Dónde está el punto medio entre la Seguridad Nacional y la intimidad de los ciudadanos?

No tengo una respuesta. La pugna entre seguridad y libertad es casi eterna. A los "malos" se les ha vigilado siempre.

El Pentágono dice que no se ve capaz al 100% de parar ciberataques.

La garantía total no existe en nada. Lo que sí se puede hacer es reducir las probabilidades de éxito de los ciberataques. En ello trabajamos.

¿Cuál será la tendencia que se impondrá en el mundo de los ciberataques?

Vivimos una situación en la que, cada vez más, muchas naciones, coloquialmente, 'enseñarán los dientes'. Por ejemplo, Corea del Sur sufrió varios ciberataques cuando se vivió la última tensión con Corea del Norte. En la ciberguerra es muy útil dar muestras de las capacidades para amedrentar al enemigo. Así que cada vez habrá más ataques sin un objetivo económico, pero que dejen un mensaje claro: "aquí estoy yo y te puedo hacer daño".

¿Estamos desfasados en España en el mundo de la ciberdefensa respecto a otros países?

No. Estamos en una situación similar a la que tienen las naciones de nuestro entorno, aunque, como en otros muchos campos, a gran distancia de EEUU.

¿Qué supone el ciberespacio para un militar?

Es un nuevo ámbito, como lo es el terrestre, el marítimo, el aéreo y el espacial, que está presente en ellos y que, además, tiene entidad en sí mismo. El ciberespacio lo cambia todo. Pocas personas con poca inversión pueden provocar importantes daños. Cualquier operación militar, desde ya, implicará acciones en el ciberespacio, ya que éstas son eficaces, eficientes y de bajo riesgo. El atacante tiene mucho que ganar y casi nada que perder. Por eso, hay que estar preparados para defendernos y responder si es necesario.

Actualmente España cuenta con un Ejército de Tierra, una Armada y un Ejército del Aire, ¿habrá un ciberejército?

No, para nada. Ni se creará una academia militar específica, aunque sí se va a trabajar en ofrecer formación en este campo a todo el personal de las Fuerzas Armadas. Lo más probable es crear una escuela de ciberdefensa donde se transmitan unos conocimientos específicos, que el Mando completará en el caso de trabajar con él.

¿Ha llegado la hora de gastar menos en armas convencionales y más en ciberdefensa?

Hay que gastar siempre en lo que sea más rentable. Es cierto que invertir en este campo resulta ahora imprescindible.

¿Quién es en España el máximo responsable de repeler un ciberataque?

El Mando de Ciberdefensa será el encargado de hacerlo cuando afecte a las Fuerzas Armadas y al Ministerio de Defensa. Pero la referencia en España es el Centro Nacional de Inteligencia, que será el encargado de coordinar a los organismos implicados y dar las pautas de cómo actuar.

¿Con cuánta gente nace el nuevo Mando?

El Mando de Ciberdefensa partirá de una plantilla de 70 personas -49 militares y 21 civiles-. Es mejor nacer pequeños e ir creciendo después, si es necesario. En cuanto a la organización, en el Mando habrá un departamento de asuntos legales, un grupo técnico, una unidad de campo de maniobras (simuladores) e, incluso, una especializada en ciberarmas.

¿Y cuáles son sus grandes prioridades?

Según la Orden Ministerial (10/2013) de creación del Mando, tenemos nueve cometidos entre los que están garantizar el libre acceso al ciberespacio con el fin de cumplir las misiones y cometidos asignados a las Fuerzas Armadas, garantizar la disponibilidad, integridad y confidencialidad de la información, obtener, analizar y explotar la información sobre cibertaques y, por supuesto, ejercer la respuesta oportuna, legítima y proporcionada, en el ciberespacio ante amenazas y agresiones.

¿La clave para evitar con éxito ciberataques?

Proteger preventivamente tus sistemas, resistir, recuperarte y ser capaz, si es necesario, de atacar. Para ello, es fundamental tener la máxima coordinación entre todos los organismos implicados en la ciberseguridad y ciberdefensa en España. Además, es importante concienciar a las empresas de que informar de un ataque no va en su contra, sino que ayuda a hacerle frente.

¿Contará el Mando con hackers entre su personal?

Pagar por los servicio de este tipo de profesionales es lógico por parte de empresas que quieran conocer sus vulnerabilidades y protegerse mejor, pero nosotros somos la Administración y tenemos que enfocar el problema de forma diferente. Eso sí, para tener éxito como Mando, no deberíamos limitarnos sólo el personal militar que tengamos en plantilla. También necesitamos civiles porque nos proporcionan unas capacidades tecnológicas muy importantes, así como continuidad en el puesto de trabajo. Los militares rotamos mucho y organismos como el Mando requieren una permanencia del personal que no es fácil de conseguir.

¿Está prevista la creación de un gran centro de simulación como tienen EEUU y Rusia?

Disponer de sistemas de simulación adecuados es vital para garantizar nuestro éxito. Ya disponemos de medios en este campo pero necesitamos desarrollarlos más para formarnos y saber cómo desenvolvernos en una situación crítica. En este campo se requiere una actualización continua.

¿Dispondrá de lo que se conoce popularmente como un 'ciberarsenal'?

La primera prioridad es protegernos de un posible ataque, pero también habrá que estar preparados para responder. Las denominadas "ciberarmas" son programas informáticos capaces de afectar al funcionamiento de un sistema de información adversario. Las Fuerzas Armadas tienen la obligación de estar preparadas para hacer frente a todo, especialmente para lo más probable y para lo más peligroso.

¿Serán en 2014 las primeras cibermaniobras de nuestras Fuerzas Armadas?

El Estado Mayor de la Defensa (EMAD) lleva varios años realizando ciberejercicios de mucho nivel en los que también participan los ejércitos, la Armada, el Órgano Central del Ministerio y la Guardia Civil. Así que las cibermaniobras no son una novedad. De hecho, este año volveremos a realizar un ejercicio de este tipo tras el verano.

¿Está previsto colaborar con EEUU para desarrollar nuestras capacidades militares?

Entre nuestros objetivos, está impulsar una coordinación con todos nuestros aliados, igual que el resto de naciones cuenta con nosotros. Por supuesto, también ayuda estar en la OTAN, ya que, desde hace dos años, tiene en marcha un plan ambicioso en este campo, que incluye alertas a sus socios, en tiempo real, en caso de detectar un ataque a nuestras redes.

¿Qué papel jugarán las empresas de ciberseguridad españolas en el Mando?

En general, tenemos una industria de Defensa potente y, en el campo de la ciberdefensa, creo que estamos a un nivel muy bueno. Las empresas que se dedican a la ciberdefensa no necesitan grandes infraestructuras ni muy elevadas inversiones económicas. Necesitan creatividad e imaginación y de eso hay mucho en España. Confiamos en nuestra industria. Por supuesto, desde el Mando impulsaremos todo lo posible el I+D para poder disponer de los recursos más avanzados.

¿Qué le quita el sueño como jefe?

Que podamos responder a las expectativas que se han puesto en nosotros. Para ello, es importante contar con los recursos humanos y materiales previstos y trabajar de forma adecuada. No hay que olvidar que las Fuerzas Armadas, también nuestro Mando, tienen que estar preparadas para auxiliar a otros organismos e instituciones si peligra la Seguridad Nacional. En ese caso, nuestro papel sería parecido a la Unidad Militar de Emergencias, pero en el mundo de la ciberdefensa.

¿Hay miedo a chivatos como Snowden?

Todas las personas que trabajan en las Fuerzas Armadas pasan por una acreditación de seguridad, y la lealtad es una virtud que se fomenta permanentemente. ¿Que puede pasarnos también? Evidentemente, nunca se tiene el 100% de garantía, pero se toman muchas medidas para que no ocurra. Estoy seguro de que en EEUU también se habían tomado.

¿Teme lo que el ex secretario de Defensa de EEUU, Panetta, llamó un Pearl Harbour cibernético?

Pues sí. Pero es algo con lo que hay que vivir si trabajas en ciberdefensa. Habrá que estar preparado por si ocurre.

¿Qué le pide a la nueva Estrategia Nacional de Ciberseguridad que está elaborando el Gobierno?

Es fundamental que aporte las directrices de hacia dónde vamos y que sea capaz de coordinar lo que ya existe.

Le gustaría ser recordado como primer jefe del nuevo Mando por.

Me gustaría que los que ocupen nuestro puesto dentro de diez años consideren que hemos hecho un buen trabajo.

Si un hacker español quiere colaborar con el Mando de Ciberdefensa.

Pues que se ponga en contacto con nosotros. Indudablemente es una cuestión que contemplo. El Mando tiene que tener algún punto de encuentro con cualquier ciudadano que quiera poner sus conocimientos al servicio de la Seguridad Nacional. Por supuesto, entre nuestras prioridades también está trabajar de forma coordinada con empresas especializadas y universidades.

¿Un truco básico para no tener virus informáticos?

Pues algo muy elemental: utilizar "software" original y mantener actualizados todos los programas que tenemos en el ordenador, ya que muchas de estas mejoras, que suelen ser gratuitas, corrigen fallos
de seguridad.