Cuatro meses de trabajo en la sombra, con reuniones con expertos en ciberseguridad del Estado y del sector privado. El objetivo del Partido Popular era asesorarse para redactar el borrador de una proposición de ley con el que pretende impulsar en España la creación de una Ciberreserva. O lo que es lo mismo, una milicia de voluntarios civiles, en su mayoría hackers, que en cuestión de minutos pueda combatir codo con codo con los ciberguerreros del Estado (CNI, Ejército, Policía y Guardia Civil) si se produce una agresión informática que ponga en peligro a una infraestructura crítica del país o a una empresa estratégica.
No hay fecha concreta para el comienzo de su tramitación parlamentaria. Sin embargo, el ciberataque masivo sufrido el viernes, que puso contra las cuerdas a 74 países –España fue la primera víctima–, puede ser un punto de inflexión en el impulso de este cuerpo de hackers patriotas.
La iniciativa, impulsada por los diputados populares Ana Vázquez Blanco, portavoz adjunta de la Comisión Mixta de Seguridad Nacional, y Teodoro García, portavoz adjunto coordinador de Agenda Digital, tiene como objetivo modernizar el modelo clásico de reserva voluntaria de las Fuerzas Armadas para hacer frente a la gran amenaza estratégica del siglo XXI: la ciberguerra. Para, ello se impulsaría el reclutamiento de los profesionales más cualificados que quieran servir al país en situaciones de emergencia.
Fue el mismo día del ataque cuando saltó la liebre dentro de los corrillos de la ciberdefensa. Un mensaje en Twitter de la diputada Vázquez Blanco encendió la mecha de las especulaciones: «Hoy más que nunca es necesario @reservistas en #Ciberseguridad y #Ciberdefensa. Trabajaremos en ello».
Fuentes del PP que han confirmado a EL MUNDO la existencia del proposición de ley reconocen que el ataque global del virus WannaCry «quizá acelere las cosas».
La idea inicial es que este ejército ciudadano no esté formado exclusivamente por hackers. Se pretende crear distintos grupos multidisciplinares que incluyan profesionales tan dispares como expertos en redes sociales, sociólogos o, entre otros, ingenieros de telecomunicaciones.
Para las funciones operativas de defensa y contraataque, según los expertos, se necesitarían perfiles de analistas de malware (software significativamente malicioso), pentesting (investigación de fisuras en sistemas) y la colaboración de los denominados hackers éticos (aquéllos que descubren debilidades; no las atacan, sino que informan de los riesgos que comportan). Este cuerpo civil de talentos estaría a cargo del Mando Conjunto de Ciberdefensa, responsable de decidir las misiones que pudieran serle encomendadas.
Desde hace tiempo, muchos gurús de la ciberseguridad, tanto del ámbito público como privado, alertan de la necesidad de mejorar las barreras defensivas en una campo de batalla tan difuso como el ciberespacio. El bautizado por la revista The Economist como el quinto dominio (tierra, aire, mar y espacio son los cuatro tradicionales) es un desafío que pone en jaque a los Estados. España también es contendiente de esta guerra y desde mucho antes que el pasado viernes. Según el Centro Criptológico Nacional, organismo adscrito al CNI, el 3% de los ataques informáticos sufridos el año pasado contra sistemas públicos y empresas estratégicas fueron de gravedad alta o crítica.
Los nuevos enemigos son difícilmente detectables: enmascarados como mercenarios de Estados que actúan sin bandera y mafias que ganan fortunas con extorsiones a golpe de clic que se ejecutan a miles de kilómetros de las víctimas. Sin olvidar a grupos terroristas que, con armas informáticas, podrían atentar contra cualquier infraestructura, ya que hoy en día todo está conectado a la Red. Estos actores acuden a la darknet (la red oscura), las fosas abisales de internet, donde, con dinero y los contactos adecuados, se venden al mejor postor programadores de alto nivel y arsenales informáticos. El problema es que, al contrario de la guerra convencional, en el ciberespacio no se necesitan muchos recursos para amenazar a una empresa o a un Estado.
Uno de los mayores expertos en este campo es Enrique Ávila, director del Centro Nacional de Excelencia en Ciberseguridad, quien lleva años defendiendo en artículos en prensa especializada la necesidad de contar con una Ciberreserva. En su opinión, contar con unos 2.000 reservistas serían una buena cifra para empezar. «La lucha en el ciberespacio se configura como muy dependiente del talento disponible en un determinado momento. Y en España hay mucho talento joven que tenemos que aprovechar», dice Ávila.
La estructura planteada por el PP sería de carácter horizontal, con una división de los voluntarios en función de sus capacidades y con un entrenamiento específico. El compromiso del ciudadano sería al menos por un periodo de dos años. Se está considerando también que la ley establezca recompensas y condecoraciones por los servicios prestados.
«Una participación ciudadana de este tipo abriría la posibilidad de desarrollar nuevos modelos productivos», apunta Ávila. «Potenciaría una reindustrialización tecnológica en España para no depender en ciertos ámbitos estratégicos del I+D de otros países. Y no hablo sólo de ciberdefensa, una industria como la de los videojuegos en España, hoy de capa caída, podría beneficiarse».
Queda por determinar cuáles serían los protocolos de seguridad que habría que aplicar a aquéllos que tendrían acceso a información civil o militar sensible. Según Ávila, «este personal tendrá que tener una Habilitación Personal de Seguridad (HPS) como marcan las normas del manejo de este tipo de información clasificada». LA HPS es una acreditación concedida tras una investigación y un examen previo que se otorga al candidato.
En cuanto al reclutamiento, la universidad se vislumbra como el gran caladero de genios de los ordenadores susceptibles de entrar en el servicio. Son ya varias las experiencias realizadas para descubrir jóvenes de gran potencial. La última fue en la Universidad Autónoma de Madrid, donde se celebró hace mes y medio un concurso de juegos de guerra en el que participaron grupos de estudiantes de distintas universidades y un equipo de élite de la Guardia Civil. El torneo se celebró sobre una plataforma tecnológica de entrenamiento desarrollada por la empresa Indra. La victoria final fue para el Instituto Armado, pero sus ciberguerreros quedaron tan impresionados con los recursos de algunos estudiantes que decidieron ceder su premio a los segundos.