Mientras el Ministerio de Defensa ultima los detalles de la creación de un Comando Conjunto de Ciberdefensa que funcionará en la órbita del Estado Mayor de la Defensa (Esmade), el Ejército realiza un «esfuerzo grande» para acompasar este proceso desde la Unidad de Ciberdefensa, creada hace un año atrás y que cuenta con un responsable y una plantilla de seis efectivos. En este sentido, el Comandante en Jefe del Ejército, General Gerardo Fregossi, ya dispuso una serie de medidas para redistribuir recursos, humanos y materiales, de la propia fuerza. «Nosotros como nuevos que somos estamos haciendo un esfuerzo grande en la interna por ser ciberseguros o por mejorar nuestra ciberseguridad, ordenar un poco la casa para después crecer», afirmó al Diario La R, el coronel Pablo Camps, comandante de la Unidad de Ciberdefensa del Ejército. A partir de la creación del Comando Conjunto, el Ministerio de Defensa busca definir una única política de protección en esta materia . Así está establecido en la política de Defensa Nacional para el quinquenio 2020-2025 y en la nueva Ley Orgánica Militar de las Fuerzas Armadas, en la cual, la ciberdefensa, que antes era una tarea subsidiaria, se eleva su nivel y pasa a ser tarea principal, junto a la protección de infraestructuras críticas, la prevención y neutralización del terrorismo y piratería. En materia de jurisdicción de las Fuerzas Armadas, la nueva Ley reformula el concepto de «ámbito espacial del Estado» e incluye por primera vez al ciberespacio y el espacio electromagnético, desde donde pueden provenir interferencias y ataques electrónicos de distinta índole y procedencia que pueden golpear infraestructuras críticas del país. En la ley está claramente determinado cuales son los espacios que son responsabilidad del Ejército, la Armada y la Fuerza Aérea. Las Fuerzas Armadas deben asumir ahora el nuevo rol de la ciberdefensa y en forma conjunta.
¿Cuando hablamos de ciberseguridad o ciberseguridad a qué nos referimos concretamente?.
Yo empezaría primero por el ciberespacio. El ciber aparece delante de muchas palabras, incluso yo doy clases por ese tema y es un tema que a mí me gusta llevarlo primero al ciberespacio. ¿Qué es ese espacio virtual, no tangible? Existe cuando se maneja la información de forma automática y este es un poco el concepto y nace de la mano de lo que es la informática, cuando las máquinas empiezan a manejar la información.
De esto ya hace décadas
Sí, básicamente, el ciberespacio nace cuando la información se procesa, se almacena y se comunica de forma automática. Y un elemento importante es que ciberespacio no es internet.
¿Cuáles son las diferencias?
Es común confundirlos. El ciberespacio es más amplio, internet como que está adentro. Es una parte enorme, un 90 y pico por ciento, no puedo cuantificarlo, porque es la red de redes en definitiva. Cualquier otra red que no sea internet, de hecho antes era más común que hubiera redes que no estaban conectadas a internet ni entre ellas, el ciberespacio existía y de hecho hoy hay redes y ámbitos donde la información digital se maneja, se almacena, se procesa y se comunica y no caen en internet. Por otro lado, si considero las amenazas en el ciberespacio, si yo me desconecto a internet ¿se terminaron las amenazas? eso no es así. Como corolario, surge ese ciberespacio y después lo que aparecen son todos esos términos, agregándole el prefijo ciber, tenemos ciberseguridad, ciberdelincuencia, ciberacoso, ciberbulling…
¿Entonces, cuál sería la diferencia entre ciberdefensa y ciberseguridad?
Es una diferenciación que no están en todos los ámbitos claramente establecidas; en muchos países se maneja de manera intercambiable. Para nosotros, son dos conceptos claramente diferenciados. El país viene trabajando desde un buen tiempo y definimos ciberseguridad como el manejo seguro de las propias redes y el evitar que terceros estén en nuestras redes. A mí me gusta decir, incluso por el rol que estoy cumpliendo ahora, que en realidad la ciberseguridad es una actividad de la que todos formamos parte, públicos, privados, empresas, organizaciones, incluidos nuestros hogares, porque que el Uruguay sea ciberseguro es responsabilidad de todos nosotros. Si tenemos problemas de seguridad a nivel personal, el país no está bien. Esa es la parte que nosotros como defensa y como Ejército en nuestro caso no tenemos nada diferente a lo que puede ser otro ámbito. Y de hecho eso está definido por Agesic (Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento), todo lo que es ciberseguridad, las políticas, los decretos, toda la normativa, y que el Estado en general acompaña lo que es ciberseguridad.
¿Desde cuándo el Ejército tiene una unidad especializada en esta materia?.
La Unidad de Ciberdefensa del Ejército se creó hace aproximadamente un año. Antes, estuvo a cargo del equipo de respuesta de incidentes de seguridad informática del ministerio de defensa creado en 2015. Yo ingresé allí en 2016 y estuve hasta 2020. El mundo, los países han tenido que acompañar este desarrollo ciberespacial en lo que son delitos, actividades comerciales, la parte de la defensa también tiene un rol que se ha tenido que actualizar. Es un paso que como defensa se tenía que dar y de hecho ya hay una segunda versión de una política de defensa que contempla a la ciberdefensa, una política militar de defensa que también lo establece. El motivo de la creación se enmarca en lo que es la dirección política de la defensa nacional y también en la agenda Uruguay Digital donde también hay directivas de seguridad.
En la última política de defensa se plantea la creación Comando Conjunto de la Ciberdefensa. ¿En qué está ese tema?
Si, eso aparece y de hecho la última política que es para el actual quinquenio, concretamente, establece que el Ministerio va a avanzar en lo que es la creación de un comando conjunto de ciberdefensa. Eso está alineado con la Ley Orgánica de las Fuerzas Armadas que establece que el ámbito de la soberanía del Estado contempla también el ciberespacio y el espectro electromagnético. Entonces, como Fuerzas Armadas tenemos que asumir ese rol también. Y tenemos que asumirlo en forma conjunta. En la ley, está perfectamente determinado cuales son los espacios que son responsabilidad del Ejército, la Armada y la Fuerza Aérea, aunque el ciberespacio no es de ninguno. Entonces, es por naturaleza conjunto y encomienda para este quinquenio la creación del comando conjunto que va a funcionar en el Esmade. El decreto dice que se va a avanzar en la creación del comando para crear lo que son capacidades conjuntas y sectoriales. Quiere decir que la capacidad de ciberdefensa va a ser a nivel conjunto y a nivel de cada una de las fuerzas. Lo que está en proceso todavía es la forma de implementarlo.
¿Qué pasos está dando el Ejército en ese sentido?
De nuestra parte, el decreto de creación de la Unidad que en definitiva es, digamos, nuestra parte sectorial del Ejército de lo que aportará a la capacidad de ciberdefensa. El decreto de creación del Comando Conjunto está en este momento en la órbita del Ministerio de Defensa.
La propia ley Orgánica refiere a los dos conceptos, contribuir a la ciberseguridad y a la ciberdefensa.
El punto es ese, hay una ley que está vigente en la que aparece el contribuir a la ciberseguridad como una taea subsidiaria de las Fuerzas Armadas. La propuesta lo que hace es separar la ciberdefensa como tarea principal y la ciberseguridad como tarea secundaria y accesoria. ¿Por qué es eso?. Nosotros tenemos que cumplir como Ejército, al igual que el ministerio de Defensa, igual que el resto, tenemos que cumplir con nuestro rol de ciberseguridad a nivel del Estado igual que se le debe de exigir a los otros ministerios del Estado, a los entes, etc, para ser que el Uruguay sea ciberseguro. El matiz que se marca es justamente que como fuerzas Armadas tengamos el rol de llevar adelante operaciones militares de ciberdefensa. Hoy vemos en la prensa distintos tipos de ataques que son a nivel Estado, o sea no es que se ataca a una determinada firma, empresa o persona.
¿Se logra identificar el origen de esos ciberataques?
La atribución en el ciberespacio es un elemento bien complejo. Es aquello de que es mucho más fácil tirar la piedra y que la mano no se vea. El ciberespacio es un ámbito ideal para eso. Yo hace un tiempo veía un video que decía, yo veo la bandera que está pintada en la cola del avión que tira una bomba, pero ¿de dónde viene el ciberataque?. Capaz que proviene de un país X, pero en realidad empezó en el país Y, y después rebotó para otro y después para otro, y terminó en el país X y después en Uruguay. Desde donde viene un ataque muchas veces no se sabe. O sea no es que esté financiado ni apoyado ni nada, simplemente está dentro de una frontera X utilizando un equipo que está comprometido , el dueño ni siquiera lo sabe, y ese equipo está atacando un banco de Brasil , una empresa de Uruguay.
¿Uruguay es un país ciberseguro?
Cuando hablamos de seguridad de la información y de ciberseguridad un concepto que manejamos es el de que el 100% de seguridad no existe. A mí me ha tocado estar a cargo de la seguridad de muchas redes y yo no puedo decir que soy invulnerable. Hemos visto redes y sitios de los principales países que tienen mucha más gente, gastan mucho más dinero e infraestructura y de repente terminan comprometidos, con robo de información, o se filtra información. Yo no puedo decir, a mí no me van a hackear, o no me van a poder comprometer. Lo que manejamos es el tema de la disuasión y el de ser más seguro que el de al lado. No hago referencia a los países vecinos, sino de los otros. Es un poco como en la cuadra, si yo tengo reja y una puerta blindada y el resto no tienen nada, seguramente voy a ser el último al que intenten hacerle algo. Desde ese punto de vista no podemos decir que somos ciberseguros. Creo que el país ha venido trabajando muy bien desde hace tiempo en lo que es avanzar en ese sentido, en establecer políticas, cuando organismos, apoyar el desarrollo de determinadas cosas, particularmente a través de Agesic. La realidad es que nos va bien. Cuando nos comparan nos va bastante bien.
Días pasados, se conoció la noticia del hackeo de la Oficina Nacional de Identificación Civil que en realidad se había producido en 2020. ¿El Ejército tendrá alguna competencia a través del Comando Unificado para investigar este tipo de incidentes?.
Nosotros no estamos para perseguir ciberdelitos, sino que cumpliríamos el rol vinculado a la defensa nacional. Nosotros como nuevos que somos estamos haciendo un esfuerzo grande en la interna por ser ciberseguros o por mejorar nuestra ciberseguridad, ordenar un poco la casa para después crecer. Tenemos muy poco tiempo de creados, estamos viendo de qué recursos nos nutrimos, humanos, internos de nuestra fuerza, materiales, porque esto en alguna medida también hay que implementar herramientas, monitoreos.
Este tema funciona mucho en lo que es la cooperación. Es decir, apoyarnos, intercambiar información, el ayudarnos porque la realidad es que la mayor parte de las veces estos asuntos no quedan dentro de las fronteras. En el 90 y pico largo de los casos dependemos de información proveniente desde el exterior. De preguntar a ese país de donde vino el ataque, a ver, tengo una máquina comprometida que me está negando servicios. Si yo no tengo el apoyo de ese país soberano donde está el equipo, yo no puedo seguir tirando de esa cuerda para identificar, porque si eso vino de otro lado y rebotó en otros lugares, yo tengo que seguir esa línea y tengo que tener el apoyo de repente de cinco lugares, cinco países u organizaciones. La realidad es que estamos recién instalándonos, la idea es que tengamos una colaboración justamente en ese ámbito sin invadir lo que son competencias que pueden ser del Ministerio del Interior.
En esta Rendición de Cuentas, ¿hay alguna partida destinada a esta unidad específicamente?.
En este sentido, no ha habido nada en el proyecto. Sólo contaremos con la redistribución de la fuerza, orientado por las directivas políticas y con el aval del comandante en Jefe que es quien ha dispuesto esa serie de medidas.
Cuando usted mencionó la necesidad ordenar de la casa, ¿es el Ejército hoy ciberseguro?
Estamos bastante mejor que antes. Me resisto a decir que somos 100% ciberseguros pero sí me atrevo a decir y capaz que suena mal porque soy parte de este proceso, que estamos mejor que hace un tiempo. En términos de capacitación es donde hemos visto un cambio bien importante a partir del año pasado y ya este año tenemos un plan de capacitación transversal a toda la fuerza que somos un inciso grande en gente y distribuidos geográficamente. Tenemos en ejecución, y de hecho ya más del 50% cumplido, la capacitación para todo el personal oficiales y personal subalterno en los cursos obligatorios. A partir de este 2022 con el aval del sistema de enseñanza del Ejército se incluyó en todos los cursos obligatorios, una determinada cantidad de horas sobre seguridad de la información, ciberseguridad y ciberdefensa.
¿Qué interés despiertan estos temas en la juventud?.
Sí, son muy atractivos, a los jóvenes le interesa. Hemos mejorado en lo que es que se hable del tema y en el otro punto en el que hemos avanzado bastante es en el seguimiento, detección de incidentes y el reporte de incidentes. El posicionarnos sobre ese punto focal en materia de ciberseguridad donde tienen a quien preguntar a quien reportar. De hecho establecimos líneas de reporte a través de una página de intranet, por ejemplo. Armamos una red, tenemos un referente en cada unidad del Ejército, desde acá, Montevideo, hasta Bella Unión. Hacemos reuniones bimensuales donde ellos plantean sus inquietudes, presentamos los proyectos y los cambios que van a ver , las directivas nuevas que van surgiendo, las políticas que se aprueban. Hay un componente nuestro, que es el de tener herramientas, el de ser proactivos, y hay una parte reactiva que dependemos mucho de que a la gente le pasa algo, porque a veces son incluso reportes o incidentes a nivel personal, son cuentas que ni siquiera son institucionales, por ejemplo, que le quieren robar las credenciales del banco, son muy personales.
¿Cuál es el concepto de infrestructura crítica?
El concepto de infraestructura crítica es todo aquello que si se afecta me golpea con un determinado impacto a lo que es la cantidad de población. Por ejemplo, me afecta la Economía en un determinado porcentaje, etc. Los catálogos, en realidad, son reservados, los países no publican lo que son sus infraestructuras críticas, por obvias razones. Lo que se empezó a tratar es, a partir de un determinado catálogo, qué planes o qué medidas hay que tomar para quien administra esas infraestructuras críticas. Nosotros acá tenemos la deformación de que la mayor parte de las cosas son estatales, pero en el resto del mundo no es así. Las telefónicas, la potabilizadora de agua, las empresas que generan y distribuyen energía son privadas en muchos lados, entonces hay que empezar a conversar eso y esto está puesto también en la política de defensa nacional el avanzar en lo que es el catálogo de infraestructuras críticas en coordinación con el Sinae, del Codena, y avanzar en los planes de protección.
¿Cuáles serían las principales amenazas a nivel global?
Las principales amenazas a nivel global son las que se denominan amenazas avanzadas persistentes que son algo así como virus hechos a medida. Es un software que busca algún fin malicioso y que lo hacen a pedido. Por suerte, eso es lo menos común, porque lleva mucho trabajo. Lo más común que es a lo que nosotros estamos expuestos son a campañas globales en donde podemos ser víctimas de phishing, de robarnos datos, de que pueda haber una pérdida económica o lo que está de moda que es el ransomor, ese malware (software malicioso, es un término general para cualquier tipo de software con intenciones maliciosas), que lo que hace es robar información y encriptarla, entonces, yo pierdo el acceso a mi propia información, piden un rescate , etc.. Lo que se ha visto por suerte son campañas generales, no están dirigidas, entonces uno tiene que no trata de caer en esa red que se tira y que, eventualmente, puede pescar desde un hospital en Gran Bretaña, como ha ocurrido, etc, o datos míos personales. La mayor parte de los incidentes van por ese lado, y a nivel nacional el registro de incidentes lo lleva el CERTuy (que está bajo la órbita de Agesic).
¿Se han detectado hackeos al Ejército?
En realidad, dirigidos y de forma importante no los hemos detectado. Lo que hemos detectado son campañas de phishing ( estafa que tiene como objetivo obtener a través de internet datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios) que es uno de los principales tipos de eventos que ocurren, se reciben, entonces cuidamos de forma celosa el servidor de correo institucional, páginas web, etc. pero además en ese contexto de lo que son las infraestructuras críticas a nivel nacional nosotros al igual que otros ministerios gestionamos cosas que hacen que el país funcione , en cuanto a información. Nosotros tenemos por ejemplo, todo lo que es la información geográfica o el registro nacional de armas. Eso es información que tenemos que cuidar no solo por el Ejército sino por el país. El llegar a ser lo más ciberseguro posible es en principio proteger eso.
¿Hacia afuera, el Ejército ha tenido que actuar?
Hacia afuera no. En realidad el ámbito objetivo nuestro hoy son nuestras propias redes. Con el tiempo justamente vamos a ir generando esas capacidades, es decir, bueno, ¿qué pasa si mañana estamos ante un ataque? , si nos están negando determinados servicios, o tenemos algún tipo de afectación sobre alguna infraestructura crítica, por ejemplo, se apagan las luces o se contamina el agua, o se corta la generación eléctrica y tenemos problema con la refinación de petróleo porque todo eso desde hace algún tiempo son cosas que ya no se hacen de forma manual sino que se hace digitalmente y de forma remota, por poner un ejemplo, un operador puede cambiar cosas desde la cuadra siguiente adonde está la planta o lo puede hacer desde el otro lado del mundo.
¿Del uno al 10 qué nivel de ciberseguridad tiene hoy el Ejército?
Es difícil ponerle un número. Yo creo que el país tiene un puntaje alto, por lo menos es lo que da cuando se ven las evaluaciones desde afuera. Lo último es una evaluación que ya es la segunda vez que se hace através de la OEA que engloba América Latina y El Caribe y nosotros estamos muy bien posicionados. Uruguay ha encarado muchísimas iniciativas de gobierno digital, más allá de que la pandemia agilizó y forzó a que tuviéramos que hacer las cosas en la computadora de nuestra casa, desde antes ya veníamos trabajando en ese sentido.
¿Ciberterrorismo?
Es la modalidad nueva, es el ciber adelante de lo que antes se hacía de una determinada manera y hoy se utiliza el ciberespacio. Y quizás pensando en lo que son efectos terroristas tradicionalmente conocidos, lo pienso justamente orientado a lo que son las infraestructuras críticas porque hoy eso es realidad, hoy es posible. Siempre me gusta diferenciar, de hecho hay dos categorías que se manejan de lo que es tecnología, o información digital, la tí, la tecnología de la información y la ot, la tecnología operacional, que son los sistemas de control industrial, que yo siempre digo que son la transición entre lo digital y lo físico, son los sistemas en los que yo apreto una tecla acá mando una señal digital y allá abro una llave, una válvula, o prendo un motor. Y esas son las más delicadas, son aquellas que te rompen cosas. Hay ejemplos, a Irán le echaron a perder el desarrollo nuclear en 2009/2010; han habido intentos en Estados Unidos de cambiar las proporción de sustancias que se utilizan para la potabilización del agua, etc.
¿Está el país preparado para enfrentar ese tipo de amenazas?
Nosotros, recién estamos empezando. Idealmente nosotros vamos a interactuar en los diferentes ámbitos. A mí me tocó actuar en lo que fue la primera aproximación a lo que son los planes de protección de infraestructuras críticas hace algún tiempo en el ámbito del Ministerio de Defensa, donde trabajamos a través del Ministerio de Industria con representantes de los diferentes entes, por ejemplo, en una primera aproximación a lo que es una protección física y ciberespacial.
«La corremos de atrás»
Desde el punto de vista de la infraestructura, del equipamiento tecnológico, ¿estamos nivelados con el resto del mundo?
El problema es que es caro. Lleva mucho esfuerzo económico tener lo último, y eso hay que pelearlo. Normalmente, la corremos de atrás.
El conficto ruso ucraniano y los efectos colaterales
¿Cómo influyen hoy los conflictos internacionales en lo que es la ciberseguridad, por ejemplo, el conflicto entre Rusia y Ucrania?
Si bien no manejamos hoy ser un blanco, un objetivo, porque no estamos en la región, porque no tenemos un rol en ese conflicto entre Rusia y Ucrania, no descartamos los denominados efectos colaterales. Es decir, que algún tipo de ataque o defensa de uno u otro, buscando una determinada infraestructura, instalación o lo que fuera, termine pegando en otro lado, lo que a veces es inevitable. Lo que hacemos es tratar de educar en ese sentido; tenemos que cuidarnos porque por más que no vengan directamente, puede haber algún efecto colateral.
