El Comando Conjunto de Ciberdefensa, dependiente del Estado Mayor Conjunto de las Fuerzas Armadas, es la organización que tiene a su cargo todas las tareas ligadas a la ciberdefensa en Argentina. Su comandante, el general Aníbal Intini, explica cómo es el trabajo que realizan y cómo son las amenazas que se enfrentan.
Por Santiago Rivas
La ciberguerra es el área más nueva hacia la que han migrado los conflictos e implica uno de los campos de batalla más difíciles, ya que se empieza por la dificultad para identificar quién es el enemigo y dónde está, además de que evoluciona a un ritmo acelerado, con tecnologías que pueden estar al alcance de organizaciones relativamente pequeñas. En la Argentina, es el Comando Conjunto de Ciberdefensa el organismo de las Fuerzas Armadas que debe enfrentar las distintas amenazas cibernéticas al país y estar preparado para enfrentar ataques. El general Aníbal Intini es quien actualmente tiene a su cargo el comando y dialogó con Pucará Defensa sobre las acciones que llevan adelante, pero también explicó cuáles son las problemáticas que la ciberdefensa debe enfrentar actualmente. El primer punto, como explica, radica en lo legal, ya que el marco legal está apoyado en dos leyes, que son la de Defensa Nacional y la de Seguridad Interior, que datan de los años 1988 y 1992, cuando esta temática de ciberdefensa no existía. “Entonces para trabajar en todo esto hay que estar apoyándose en lo que estas leyes podrían implicar y a veces el marco legal no queda tan bien definido. Una de las cosas que queremos empujar es que se decidan de mejor manera estas cosas dentro del paraguas legal del país” explica y agrega que al tema legal se suma que “la característica particular del ciberespacio es que mucho más complejo que los ambientes clásicos. En principio, está la artificialidad de este dominio, a diferencia de los otros, que responden a ciertos parámetros de arriba, abajo, derecha, izquierda, en esto no hay forma de hacerlo. Se desdibujan mucho los límites, que, si bien los hay y las fronteras existen, también es difícil decir quién es el vecino de uno. A lo mejor es un país que no está cerca, pero que es con quien mejor estoy conectado. Y el otro tema es la problemática de atribución, nadie se atribuye ningún ciberataque y hay métodos cada vez más sofisticados para esconder al autor del ataque. Eso genera un conflicto de características muy especiales que no está bien definido. Las leyes de la guerra no son tan adecuadas para esto. Entonces ¿quién asume la responsabilidad de un ciberataque? ¿quién es el enemigo estatal externo, como establecen nuestras leyes, que nos está atacando?” afirma.
Pucará Defensa: Esa es la parte más difícil…
Aníbal Intini: Aunque lo definiéramos. Por ejemplo, tenemos una IP de un país, y ¿qué hay en esa IP? ¿Hay una institución o un grupo? ¿Qué respuesta deberíamos dar? ¿Contraatacar? Aparecen cuestiones como legítima defensa y demás, que hoy las leyes nuestras no la tienen del todo definida. Que esto, si bien ocurre a nivel nacional, también ocurre a nivel internacional, las relaciones internacionales se basan en acuerdos entre partes. Entonces todo eso se hace bastante complejo. Así de complejo, pero también lleva a que los países quieran establecer relaciones con otros, porque es muy bueno tener del otro lado alguien a quien llamar y decirle: ‘me están atacando de tal lado, córtame tal IP’. Eso también existe y hay un gran interés de los países por relacionarse en esta temática, la colaboración avanza.
PD: ¿Cuándo se crea el Comando Conjunto y que antecedentes hay en las fuerzas?
AI: Lo primero que se crea dentro de las Fuerzas Armadas es el Centro de Ciberdefensa de la Dirección de Inteligencia del Ejército, en una parte del Edificio Libertador y con el tiempo eso va evolucionando, las fuerzas van generando algunas iniciativas, y en el año 2014 se firma la resolución del Ministro de Defensa que crea el Comando de Ciberfensa, con la misión de conducir las operaciones militares en el ciberespacio para la protección de las estructuras de información de las Fuerzas Armadas y aquellas que el planeamiento estratégico militar asigne o ponga bajo responsabilidad de este comando.
PD: Es el primer paso a nivel nacional de reconocer la existencia del espacio de ciberdefensa.
AI: Exacto. Se empezó a trabajar sobre la infraestructura de este comando, sobre la doctrina y los planes. En ese momento el planeamiento estratégico que estaba vigente ya llevaba 4 años y se empezó a incorporar de alguna forma esta temática al planeamiento estratégico.
A nivel del estado estamos constituidos de forma que del presidente depende la Jefatura de Gabinete, la Secretaría de Innovación y el Director Nacional de Ciberseguridad, que es el que está más alto a nivel político dentro de esta temática. Del Ministerio de Defensa, por el lado político, el secretario de estrategia de asuntos militares tiene una Subsecretaría de Ciberdefensa, y por el lado del Estado Mayor Conjunto le depende directamente este comando, manteniendo control funcional de la subsecretaría con el comando. Cada una de las fuerzas tiene constituida una Dirección de Ciberdefensa que es nuestra avanzada en cada una de ellas y van juntando información. Nosotros estamos por detrás, haciendo una correlación de información y eventos, con la responsabilidad de coordinar el trabajo de estos elementos de cada fuerza.
PD: De eso se encarga la ciberdefensa de cada fuerza.
AI: Claro, al sistema se lo trabaja de manera conjunta, de tal manera que estamos permanentemente conectados y trabajando juntos en lo que hace a capacitación. Y vamos compartiendo, en lo que estamos trabajando ahora particularmente es el desarrollo de la nueva doctrina de ciberdefensa con la pata de la guerra electrónica. Ciberdefensa y la guerra electrónica van convergiendo con muchos puntos en común y de esa forma la conducción de varias operaciones se va centralizando en los distintos niveles, táctico, estratégico, etc. Pero a los menores niveles ya vamos teniendo una doctrina que conduce las dos actividades de manera coordinada, porque hay actividades que no se distingue a qué parte pertenecen.
PD: ¿Ciberdefensa protege activos de las Fuerzas Armadas o a nivel nacional, como puede ser Atucha?
Dentro de la historia que te fui comentando, apareció el año pasado la Directiva de Política de Defensa Nacional (DPDN). La DPDN establece el control, vigilancia, reconocimiento y producción estratégica militar en los espacios aeroespacial, marítimo, terrestre y ciberespacial. Es decir, claramente estamos incluidos dentro de los cuatro espacios. La ciberdefensa es abordada en dos dimensiones, una de contenido estratégico y otra de naturaleza táctica. Y en particular respecto del sistema de ciberdefensa, la DPDN habla de tecnología informática de las redes de sistemas de defensa nacional y de las infraestructuras de la información que le sean asignadas, eso abre la posibilidad de que en algún momento tengamos que trabajar sobre la protección de estas estructuras críticas.
PD: Porque un hackeo a una infraestructura así puede dejarla fuera de servicio y en cierta manera es un ataque al país.
AI: Exacto, porque pueden atacar la infraestructura energética, de agua o lo que fuere. Entonces esa posibilidad la establece la DPDN, dice “que le sean asignadas”, es decir que a requerimiento nosotros tenemos que estar en capacidad de ir a proteger o apoyar la recuperación, en caso de que ya haya sido atacada o en caso de que se prevea. Eso es lo que estamos trabajando, en el crecimiento de las capacidades de vigilancia y control de las redes del sistema de defensa nacional y prepararnos para desplegar la protección de infraestructura critica. Pueden ser comunicaciones, la estación de amarre de los cables de fibra óptica de Las Toninas, que nos desconectan del mundo si ocurre algo ahí. El ciberespacio tiene dos patas muy claras.
PD: Iba a preguntar justamente sobre esa parte física.
AI: El ciberespacio es un dominio físico y virtual. Uno tiene la computadora es físico, la estación de Las Toninas también. Y la parte virtual, que es el software y la información que se destruye o se cambia, todo lo que se puede hacer dentro de este ciberespacio. Ahora esa parte virtual es la que en general, desde el punto de vista de vigilancia y control, nos preocupa. En la historia del ciberespacio, de ataques que se han hecho, a los atacantes los podemos clasificar en los de bajo perfil o los de tipo delictivo, que buscan un rédito económico, también combinado con algunas acciones de cibercrimen, como el engaño, el pishing y demás. Después están los de tipo profesional, que en general son servicios de inteligencia u organizaciones que se dedican a esto, porque un punto que tiene esta actividad es que el ataque se puede tercerizar, ningún gobierno se va a hacer responsable de lo que se está haciendo.
Entonces, dentro de este conjunto nosotros estamos atentos para ver lo que ocurre. Pueden ser una o dos personas y puede ser un ataque de lo más sofisticado. Pero el concepto de las ciberarmas, que son aquellos software que se puede implantar en algún sistema crítico, ya son más sofisticados, requiere un conocimiento profesional avanzado y ahí avanzan los sistemas de inteligencia, cuando hay una amenaza dirigida.
Incluso en el concepto de bots, hay determinadas IP que disparan búsquedas y van abriendo direcciones IP. Nosotros las vemos en las pantallas, ya las tenemos bloqueadas, pero ocurre de forma permanente y siguen generando la acción. No entran en ningún lado pero están permanentemente intentando.
PD: ¿Cómo se puede identificar un ataque dirigido?
AI: En ese caso los sistemas dan una alerta cuando ocurre. Se observan algunas acciones dentro de la red, como intentos de sacar información en volúmenes que no son los habituales, cambios de comportamiento en la red o modificaciones en ciertos parámetros, van saltando las alarmas y se va analizando cuál fue el comportamiento de una determinada acción dentro de la red, se va viendo con los sistemas de monitoreo. Hay que estar siempre atentos porque existen sistemas bastante sofisticados.
Están lo que se llaman APT o amenazas persistentes avanzadas, que en el mundo hay registros de algunas de estas aplicaciones que se han instalado en sistemas críticos y han estado años sin ser detectados, con lo cual hay que estar atento a este tipo de cosas. Pueden estar filtrando información o produciendo algún tipo de efecto, desde poder apagar el sistema hasta sacar información. Estos sistemas incluso se van cambiando de un equipo a otro sin que los operadores lo sepan.
Entonces en la dinámica de la red se van viendo cambios de comportamiento que hay que analizar. No todo está tipificado, todos los días aparece algo nuevo. Para eso tenemos un centro de operaciones, que es el que está permanentemente haciendo la vigilancia y control, y un centro de ingeniería, que es el que recibe las amenazas o los problemas a los que no se les encuentra la solución. Trabaja para ver qué fue lo que paso y poder realimentar el sistema para que el operador sepa la próxima vez.
PD: Lo difícil, por ejemplo, es detectar una aplicación o un archivo que se ha introducido para sacar información.
AI: Si, ocurren cosas diversas. Puede que existan cosas que se implanten dentro de la red sin haber pasado por los controles. Como el que enchufa un pendrive. Entonces eso puede intentar sacar información o generar alguna acción. Como es el ramsomware. Eso puede ocurrir a partir de un pendrive. Y eso se propaga, además, genera comportamientos anómalos que uno empieza a ver. Y ahí es donde se empieza a generar una respuesta. Bloquear la dirección IP, ver de dónde viene, aislar el equipo. Y hacer la forencia que haga falta y tomar las medidas correspondientes.
PD: ¿Hoy cómo se trabaja en esto con el Ministerio de Seguridad? ¿Hay alguna coordinación?
AI: Nuestro marco jurídico separa lo que es cibercrimen a lo que es ciberdefensa. Nosotros trabajamos en la problemática del comportamiento dentro de ese concepto de ciberdefensa, centrado sobre el enemigo estatal externo. Pero, en caso de detectar comportamientos anómalos donde se puede detectar al atacante y teniendo algún indicio de por dónde puede estar el problema, en ese caso pasamos la problemática al Ministerio de Seguridad, que va directamente a la ubicación.
PD: O sea que mientras no se sabe de dónde viene la amenaza, por las dudas actúan ustedes.
AI: Nosotros tenemos que mantener el sistema funcionando. Tenemos que mantener las capacidades de los sistemas, ya sea los propios o los que se nos asignen. En el momento que detectemos los responsables ya no es un tema nuestro.
PD: Salvo que sea identificado como un estado
AI: Bueno, podría ser un enemigo estatal interno. Hoy después de 20 años de ciberespacio y hechos que han ocurrido no hay ningún país del mundo que se haya atribuido un ciberataque. Entonces no creo que nadie se vaya a hacer cargo de estas cosas. Incluso podemos ir al extremo. Ucrania y Rusia, los ataques que está recibiendo Rusia por parte de Anonymous, nadie se hace responsable. Y Ucrania, los ataques que recibe, sospechamos que son los rusos, pero ¿de dónde viene el ataque?
Cuando fue el ataque a Estonia, que fue el ciberataque masivo más importante que se registró, todo apunto que fue Rusia, pero Rusia nunca se hizo responsable. Cuando uno veía la localización de los ataques, venían de todo el mundo. Porque se usó una técnica a través de lo que conoce un botnet, que distribuye entre distintas maquinas, que se las denomina como maquinas zombi ,que son las que después producen el ataque.
PD: ¿Toma el control de las maquinas?
AI: Si, podría ser tu maquina en tu casa y nunca te enteras. En un momento se da algún disparador las computadoras empiezan a generar alguna acción en el background. Entonces, el ataque venía de todo el mundo. Ahora ¿quién fue el que genero eso?
PD: Ahí ay es muy difícil rastrear.
AI: Claro, no podés ver eso. Si bien se pueden hacer análisis del código y demás. Entonces, esta gente empieza a vivir el primer ataque y son los que primero hacen historia en tratar de mitigar un ataque así. El atacante distribuye a los walkheader, después a los zombis y los zombis van todos contra Estonia. Por eso es que los países tienen interés en tener alguna conexión con otros países, que en ese momento no existía. No tenían esa previsión de saber a quién llamar y decir, “córtame tal cosa”. Esto dio lugar a una serie de discusiones y la OTAN crea el centro de excelencia de ciberdefensa. Que ya va por su segundo manual, que es donde concentra una cantidad de especialistas técnicos y de relaciones de gestión. A través de este manual va haciendo avances de las leyes internacionales aplicables a las ciberoperaciones. Es interesante ver que Estonia es un país que limita con Rusia. Y una de las cosas que decían los medios rusos era que previo a la guerra, Ucrania se estaba uniendo a este centro de excelencia de Estonia y esto generó un malestar.
PD: ¿Cómo ha ido evolucionando esto tanto en la OTAN y a nivel global?
AI: Hay cada vez más colaboración en este sentido. Nosotros trabajamos en el marco del Foro Iberoamericano de Ciberdefensa y hay mucha colaboración en este sentido, compartimos amenazas, compartimos experiencias, el foro se junta físicamente, en algún lugar anualmente, en el país donde se ejerce la secretaria protempore. En este momento la tiene España, el año pasado la tenía Colombia. Nosotros tenemos relación también con otros países. Y esto también es un gran centro de capacitación, tenemos oficiales de este comando que han ido a Brasil, EEUU, se hace mucho virtual, lo cual lo hace más amplio y más profundo.
No notamos que haya nada para esconder, se trata de colaborar. Por las características que tienen estos atacantes, la problemática de atribución es importante. Nosotros a nivel local, hace un año se propuso la creación del Instituto de Ciberdefensa de las Fuerzas Armadas. Ya tiene los primeros egresados en el segundo semestre del año pasado. Esta dictando este año su primer curso básico de ciberdefensa donde van, por ahora, oficiales y suboficiales de las fuerzas armadas. Y de a poco el instituto va cobrando más preponderancia.
PD: ¿Los alumnos son del Comando Conjunto?
AI: No, son de las fuerzas en general. Está abierto a los oficiales y suboficiales. Pretendemos que en breve se incorporen civiles también, de las mismas fuerzas. Y luego tal vez pueda convertirse a futuro en algún centro de reclutamiento para esta temática. El problema de recursos humanos es muy grave. Acá se necesita una especialización en distintos niveles, pero esto es un tema a nivel social, que tiene una alta demanda y que las empresas compiten fuertemente. Entonces sabemos que la gente tarde o temprano se va. Tenemos que generar nuevas políticas de retención. Otros países con los que hemos charlado están haciendo esfuerzos enormes de retención.
Estamos capacitando gente con un grado de convencimiento de lo que hacen, que sirve como herramienta de retención. Porque es personal de las Fuerzas Armadas que tiene un apego por las fuerzas y permite retenerlos un poco más. Pero llega un punto que es un poco difícil. Hemos tenido muchas bajas, sobre todo soldados que son analistas. Que claro, es un curriculum muy atractivo y cualquier organización privada, o a veces otras organizaciones del estado, los tientan. La volatibilidad del recurso humano es muy alta. Y el instituto es una forma de mitigar ese problema. Porque genera recursos humanos permanentes. Se fundó el año pasado, tiene un plan de carrera, articulado dentro de la UNDEF y está pensado para que articule con otras ofertas académicas que tiene la UNDEF, como la maestría en ciberdefensa que dicta la Facultad de Ingeniería del Ejército en conjunto con la Universidad de Córdoba. Así, aquel que empieza el curso básico de ciberdefensa va a poder ir avanzando dentro de esta oferta académica hasta terminar en la maestría en ciberdefensa.
También usamos la infraestructura del instituto para capacitar a quienes hoy estaban en el sistema de ciberdefensa, pero no habían tenido una capacitación estandarizada respecto a esta temática. Porque otro de las razones de crear el instituto era que uno capacitaba gente en distintos lugares, pero los puntos de vista con que esa gente se capacitaba no estaban del todo adecuados a la línea de pensamiento de la problemática de la defensa y de la ciberdefensa en la fuerza.
Entonces, una forma de homologar era hacer este curso, que llamamos Curso de Homologación de Competencia de Ciberdefensa, que se hizo en dos tramos, con la idea de crear dentro de las Fuerzas Armadas la aptitud especial de ciberdefensa. Que le daría a la persona un reconocimiento de carrera, dentro de la organización para que le dé motivación para seguir adelante.
Esto está establecido en la DPDN, así que es congruente con la línea de evolución de lo que establece la Directiva de Política de Defensa Nacional.
PD: Como ha ido creciendo el tema es necesario darle más entidad.
AI: Sin duda, esto no es una opción. El que retrase su evolución va a ser la próxima víctima. Esto ya no tiene vuelta atrás. Hay casos muy claros de lo que la ciberdefensa hace a un conflicto. En apoyo al despliegue de las fuerzas y, por otro, lado la problemática permanente. Por eso esto es una operación permanente. Lo que la directiva estratégica militar, que emana del Estado Mayor Conjunto, establece como operaciones permanentes y operaciones periódicas. Para eso estamos desarrollando la ciberdefensa táctica o desplegable, que es apuntada a la protección de infraestructuras críticas. El despliegue de las fuerzas militares es una infraestructura critica de la defensa.
PD: Porque una parte la podés controlar físicamente de el comando, pero hay que estar en el terreno
AI: Básicamente, lo que se necesita es tener algún sensor en el terreno. Y el trabajo inicial de despliegue hay que organizarlo con gente que conozca la temática, que pueda mitigar algún problema que ocurra, y después, una vez que uno está haciendo la actividad, toma las variables, se podrán analizar en cualquier lado. Ahora, si no hay enlace, hay que ver qué es lo que está pasando en el lugar también. Entonces, ahí se hace una dicotomía, que hay que tratar de balancearla.
PD: ¿Cómo han evolucionado las amenazas y que se espera a futuro?
AI: Lo que se ve fuertemente es la aplicación de nuevas tecnologías. Hay dos formas de ver la evolución de la amenaza. Una por parte de que los sistemas cada vez utilizan sistemas de ataque y tecnologías más sofisticadas. Pero, por otro lado, cuanto más digitalizamos, más abrimos las puertas, los sistemas se vuelven más vulnerables. Hace unos años surgía la idea de la internet de las cosas, donde todo va a estar conectado y un ataque va a ser algo muy rápido. En eso hay que crecer en procesamiento, en capacidad de análisis y demás, en lo cual también hay que incorporar esa tecnología. Pero incorporar la internet de las cosas nos ha abierto un frente. Sobre todo, en la tecnología de la operación, todo lo que es control industrial genera riesgos, que en muchos casos pueden ser riesgos de vida. Porque si yo tomara el control de una represa y la abriera, puedo llegar a inundar un valle. Hay registros de ataques contra infraestructuras eléctricas de hospitales y una persona muerta. Entonces ya hay riesgo de vida.
