AEME. PAA 2S/21. Operaciones defensivas en el Ciberespacio José Luis Blanco Lorenzo

José Luis Blanco Lorenzo, asociado de AEME, en el marco del Programa de Activación de Asociados, nos pone al dia de las organizaciones que tratan el Ciberespacio.

 

Operaciones defensivas en el Ciberespacio

Entendemos como ciberespacio el ámbito global y dinámico compuesto por las Tecnologías de la Información, incluida internet, las redes y los Sistemas de Información y Telecomunicaciones que se ha convertido en un nuevo campo de batalla mundial juntos con los campos de batalla terrestre, marítimo, aéreo y espacial. La importancia de este último campo de batalla ha quedado patente por la creación por parte de los Estados Unidos en el año 2019 de la Fuerza Espacial de los Estados Unidos (United States Space Force). El ciberespacio fue reconocido como el quinto dominio de las operaciones militares en la cumbre de la OTAN de Varsovia en el año 2016.


Según el documento Joint Publication 3-12 “Cyberspace operations” de la Junta de Jefes de Estado Mayor de Estados Unidos, el ciberespacio tiene relación y depende del resto de dominios físicos, por lo que durante el planeamiento de las operaciones militares, las capacidades del ciberespacio deben de estar integradas en los planes de las operaciones y sincronizadas con los mismos.

Las operaciones activas en el ciberespacio se pueden clasificar en Operaciones Defensivas (MDI), Operaciones de Respuesta Defensiva (AR), Operaciones CyISR (Vigilancia y Reconocimiento) y Operaciones Ofensivas (OO), estas últimas fuera del objeto de este artículo.
Las Operaciones Defensivas son el conjunto de medidas y acciones encaminadas a detectar, identificar, interceptar, rechazar neutralizar todo tipo de ataques o intentos de penetración en el AOCD (Área de Operaciones de Ciberdefensa). Estas medidas y acciones son entre otras:

• La monitorización
• Correlación de eventos
• Gestión de incidentes
• Detección
• Detención
• Diversión
• Decepción
• Dilación
• Degradación
• Generación de IoC (indicador de Compromiso)
• Solución de nuevas vulnerabilidades.

En nuestro país, el MCCE (Mando Conjunto del Ciberespacio) dependiente del EMAD (Estado Mayor de la Defensa) es el encargado de estas operaciones defensivas y de la ejecución de las acciones conducentes a asegurar la libertad de acción de las FAS (Fuerzas Armadas) en el ámbito ciberespacial. Para cumplir su misión, planea, dirige, coordina, controla y ejecuta las operaciones militares en el ciberespacio, de acuerdo con los planes operativos en vigor. En el ámbito de estas operaciones, realiza las acciones necesarias para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las FAS.

El MCCE se creó inicialmente en el año 2013 por una Orden Ministerial de 19 de febrero, con el nombre de Mando Conjunto de Ciberdefensa siendo de los pioneros en esta actividad iniciada por Corea del Sur y Estados Unidos en el año 2009.

En la restructuración del Mando de Ciberdefensa en el Mando del Ciberespacio en el año 2020, se creó la FOCE (Fuerza de Operaciones en el Ciberespacio), que es la responsable de la ejecución de las operaciones defensivas en los sistemas y redes del Ministerio de Defensa y en aquellos otros que específicamente se le encomienden, así como las de inteligencia, vigilancia, y reconocimiento (CyISR) y ofensivas en o a través del ciberespacio. En el marco de estas operaciones, dirige operativa y técnicamente las actividades de los Centros de Operaciones de Seguridad (COS) del Ministerio de Defensa. Cuando se están realizando operaciones en el espectro electromagnético, coordina que la ejecución de las acciones ciber se realiza de forma concurrente con éstas.

Dentro de esta Fuerza de Operaciones en el Ciberespacio se encuentra localizado el Grupo de Monitorización, que vigila las redes del Ministerio de Defensa 24 horas al día los 7 días a la semana durante los 365 días del año.

Los Centros de Operaciones de Seguridad (SOC) mencionados anteriormente, son los encargados de realizar el seguimiento de la actividad en las redes buscando vulnerabilidades y actividades anómalas que puedan comprometer los sistemas de Información y Telecomunicaciones indicativas de un incidente de seguridad durante 24 horas al día.

Con respecto a la organización General de un SOC, el instituto SANS (SysAdmin Audit, Networking and Security Institute) divide en cuatro los roles del personal en los SOC:
• Analista de alertas de categoría 1: Este analista realiza una monitorización de las alertas entrantes, verifican que realmente ha ocurrido un incidente y reenvían esa información a los analistas de la categoría 2 si es necesario.

• Personal de respuesta ante los incidentes de categoría 2: estos profesionales son responsables de investigar los incidentes en detalle y sugerir soluciones o medidas que deben adoptarse.
• Experto en la materia (SME)/buscador de categoría 3: estos profesionales son expertos en redes, terminales, inteligencia de amenazas e ingeniería inversa de malware. Son especialistas en seguir los procesos del malware para determinar su impacto y cómo eliminarlo. También están profundamente involucrados en la búsqueda de posibles amenazas y la implementación de herramientas de detección de amenazas.
• Administrador del SOC: este profesional administra todos los recursos del SOC y sirve como punto de contacto para el cliente o la organización en su totalidad.

Las tecnologías de las que suelen disponer los SOC se utilizan para la recopilación, correlación y análisis de eventos, monitorización y control de seguridad, administración de registros, evaluación y seguimiento de vulnerabilidades e Inteligencia de amenazas

Las operaciones de defensa en el ciberespacio, no son exclusivas del Ministerio de Defensa ya que existen otro tipo de organismos, tanto públicos como privados que se dedican a la protección de los activos en el ciberespacio, entre estos se puede destacar el INCIBE-CERT y el CCN-CERT.

En INCIBE (Instituto Nacional de Seguridad) tiene la misión de reforzar la ciberseguridad, la confianza y la protección de la información y privacidad en los servicios de la Sociedad de la Información, aportando valor a ciudadanos, empresas, Administración, red académica y de investigación española, sector de las tecnologías de la información y las comunicaciones y sectores estratégicos en general y depende del Ministerio de Asuntos Económicos y Transformación Digital a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. El INCIBE-CERT es el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España operado por el INCIBE.
En el caso de la gestión de incidentes que afecten a operadores críticos del sector privado, INCIBE-CERT está operado conjuntamente por INCIBE y CNPIC, Centro Nacional de Protección de Infraestructuras y Ciberseguridad del Ministerio del Interior.

Por último, el CCN-CERT, es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.

Todos estos centros integrados en el Plan Nacional de Seguridad proporcionan a través del Plan Nacional de Ciberseguridad garantizar la seguridad y la resiliencia de los activos estratégicos para España así como reforzar las capacidades ante las amenazas provenientes del ciberespacio.

Las Operaciones Defensivas en el ciberespacio efectuadas por los centros tanto militares como civiles, proporcionan la protección de los activos para un correcto funcionamiento de las infraestructuras necesarias para nuestro país.

José Luis Blanco Lorenzo
Asociación Española de Militares Escritores (AEME)

Bibliografía y Fuentes documentales:

• Conferencias del Mando Conjunto de Ciberespacio
• Página web del CCN-CERT (https://www.ccn-cert.cni.es)
• Página web del INCIBE (https://www.incibe.es)
• SANS Institute (www.sans.org)
• Joint Publication 3-12 “Cyberspace Operations”. Estados Unidos (https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp3_12.pdf)
• Boletín Oficial del Ministerio de Defensa. B.O.D (Varios)
• Estrategia Nacional de Ciberseguridad (https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwjS5cnKvtbyAhVV8uAKHUzvAYAQFnoECAQQAQ&url=https%3A%2F%2Fwww.dsn.gob.es%2Fgl%2Ffile%2F2988%2Fdownload%3Ftoken%3DK4T9k3hV&usg=AOvVaw1yxzi_ZO3T441BUpqcNhzJ)

 

Otros digitales en que se publica:

https://ame1.org.es/aeme-paa-2s-21-operaciones-defensivas-en-el-ciberespacio/