21 Enero 2013; 

Durante estos días de ausencia, donde no he podido publicar en esta bitácora digital por problemas técnicos no resueltos totalmente todavía, he estado reflexionando sobre el orden en que voy a presentar en los próximos posts algunos de los diferentes temas a proponer para su lectura y posible debate en el blog. Cuando todavía no había tomado una decisión al respecto encontré la primera respuesta en una noticia destacada por los medios de comunicación españoles haciendo referencia a uno de los asuntos a los que más atención estoy dedicando en mi actividad profesional: la seguridad en el ciberespacio.

Dicha noticia recoge unas declaraciones del Ministro de Defensa español, Pedro Morenés, anunciando que “está en proceso de creación el Mando de Defensa del Ciberespacio, con el objetivo de contrarrestar las amenazas que desde este nuevo entorno pongan en riesgo la seguridad nacional”.

Tales declaraciones, recibidas con satisfacción por lo esperado de la creación de tal Mando, han dado lugar a una gran variedad de opiniones y comentarios, la mayoría muy positivos, de cuyo análisis puede deducirse una evidente imprecisión, a la que vengo haciendo referencia desde hace tiempo, no sin cierta preocupación, derivada del hecho de la falta de unanimidad en la terminología utilizada, incluso de un cierto consenso, con la consecuencia de la existencia de una ambigüedad, habitual también en círculos profesionales, al utilizar indistintamente términos como ciberseguridad, ciberdefensa, ciberguerra, etc.

Una muestra de esta ambigüedad puede observarse en una de las múltiples opiniones recogidas al leer en la Web los comentarios a la noticia, donde se dice textualmente “….hay que recordar que el ministro Morenés ha llegado a advertir del riesgo de un atentado vía internet contra una central nuclear” La pregunta surge de inmediato: ¿la protección y consiguiente reacción frente a un potencial ataque a través de Internet contra una instalación de este tipo compete a los responsables de la ciberseguridad, de la ciberdefensa o a ambos a la vez?

La duda se acrecienta cuando se observa la aparente paradoja de anunciar la creación de un Mando de Defensa del Ciberespacio sin que se haya adoptado una Estrategia Española de Ciberseguridad, o al considerar que entre los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas se encuentra el de la energía pero no el de Defensa, sin olvidar la situación actual en España donde las competencias en esta materia se encuentran repartidas y compartidas entre diferentes Ministerios.

Bienvenida sea pues la noticia pero también otras muchas, que continuamos esperando, como la adopción de un Plan nacional de seguridad en el ciberespacio, que permitan que los diferentes organismos y entidades que se vayan creando lo hagan de acuerdo con una doctrina conjunta amparada desde el mayor nivel de decisión.

Repasando este post me viene a la memoria lo expresado por Fernando Gordo García en un excelente trabajo, cuya lectura recomiendo (¿es la ciberguerra un auténtico desafío a la seguridad y la defensa?), donde hace referencia a dos actitudes extremas que suelen adoptarse al hacer frente a esta tema, a las que denomina ciberhisteria y ciberindiferencia. Busquemos el punto de equilibrio entre estos dos extremos, el cual, tratándose de la seguridad en el ciberespacio, debe encontrarse en base a la ciberinquietud (parafraseando a Fernando Gordo) que conduzca a la toma de decisiones y adopción de medidas para identificar y corregir vulnerabilidades y prevenir y mitigar los efectos de ataques en este moderno escenario de riesgo.

Aprovecho pues la noticia para abrir en el blog un espacio de reflexión sobre este tema de gran interés, actualidad e importancia, fundamentalmente por la amenaza que supone la utilización del ciberespacio para llevar a cabo actos criminales. Esta será una de las cuestiones destacadas en el blog, sobre la que publicaré siempre que las circunstancias y oportunidad lo aconsejen, invitando a mis lectores a que participen en el debate.