¿Y qué hacemos con la ciberdefensa europea?

“Europa ya no puede confiar en Estados Unidos y debe tomar su destino en sus propias manos”. Así de tajante se mostró la canciller alemana, Angela Merkel, dos días después de que el presidente Donald Trump anunciara la salida estadounidense del acuerdo nuclear con Irán firmado en 2015 y que, entre otras cuestiones, supone el restablecimiento de sanciones económicas a Teherán, un aumento de las tensiones en la región así como una creciente desconfianza entre sus aliados occidentales.

No es ningún secreto que, desde la llegada de Trump a la Casa Blanca, las relaciones con la Unión Europea (UE) no pasan por su mejor momento. Algunas declaraciones del mandatario estadounidense poniendo en cuestión la existencia de la OTAN, su decisión de salir de acuerdos internacionales como el Acuerdo de París sobre cambio climático (hace justo un año) o acontecimientos internacionales como el Brexit, son vistos como una oportunidad para profundizar en la unión política europea y apostar claramente por una autonomía en cuestiones de seguridad y defensa, como ya se ha planteado en este medio.

La idea de una mayor autonomía en defensa europea está presente en la Estrategia Global para la Política Exterior y de Seguridad de la UE así como en el Plan de Acción Europeo de la Defensa, ambos de 2016, en los que se plantea que Europa debe asumir una mayor responsabilidad en relación a su seguridad y se identifica el ciberespacio como uno de los ámbitos prioritarios de actuación. Aunque en los últimos años se ha producido una importante mejora de la seguridad de las redes, es conveniente señalar que esta se ha desarrollado principalmente en el ámbito civil. Por lo general, cuando nos referimos a la ciberseguridad, lo hacemos pensando en la seguridad de las redes de las empresas privadas, del sistema financiero o de la administración pública, pero no es frecuente que se planteen los riesgos del ciberespacio en un ámbito estrictamente militar, es decir, en lo que podríamos considerar la ciberdefensa.

Si realmente se quiere profundizar en el proyecto de defensa europeo es imprescindible el desarrollo de una estructura sólida de ciberdefensa europea por, al menos, los siguientes motivos. Primero, porque la propia naturaleza de la Red nos proporciona una interconectividad entre países como nunca antes en la historia. Por otro lado, porque las amenazas procedentes del ciberespacio afectan de manera directa a la seguridad y defensa nacionales y, por consiguiente, a la europea. Y por último, porque el ciberespacio ya es una realidad en el ámbito militar: lo encontramos integrado en los procesos de planeamiento, en las operaciones militares, en los sistemas de armamento, o en la creación de unidades específicas dentro de las Fuerzas Armadas (el Mando Conjunto de Ciberdefensa –MCCD– en el caso de España).

Si bien es cierto que todos los Estados miembros de la UE han desarrollado sus respectivas Estrategias de Ciberseguridad Nacional, también lo es que las estructuras de ciberdefensa se han desarrollado a distintos ritmos y desde una perspectiva nacional, con resultados desiguales, bien sea por la importancia estratégica que cada país le atribuye o por los recursos que destina. En esta línea, la Comisión Europea presentó en septiembre del año pasado el documento “Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE” con el objetivo de reforzar la ciberseguridad entre los miembros de la Unión, en el que establece medidas concretas destinadas a aumentar la cooperación en materia de ciberdefensa.

Entre sus propuestas plantea una mejora en la formación y educación en ciberdefensa, que en España se realiza a través del denominado Plan FORCIBE (FORmación en CIBErdefensa) del Ministerio de Defensa. También establece un aumento de la cooperación UE-OTAN (siguiendo los acuerdos de la declaración conjunta de julio de 2016) principalmente en las áreas investigación e innovación y en la realización de ejercicios conjuntos, como el ciberjercicio Locked Shield (la UE organiza a través de la Agencia Europea de Seguridad de las Redes y de la Información –ENISA– el ejercicio Cyber Europe, que celebrará su quinta edición este mes de junio). Por último sugiere que los Estados miembros incluyan la ciberdefensa en el marco de la cooperación estructurada permanente y el Fondo Europeo de Defensa.

La 'piolización' de la política de personal de las Fuerzas Armadas

Ver más

Otro de los entornos en los que debería desarrollarse la ciberdefensa europea es en el campo de la concienciación. En el ámbito civil se suele señalar continuamente la necesidad de que la población adquiera una mayor conciencia de la importancia de la seguridad en las redes, pero no nos cuestionamos si esa concienciación está presente en las propias Fuerzas Armadas. Recientemente, en unas jornadas organizadas en el Senado sobre la situación del reservismo en España, el coronel Amable Sarto, de la jefatura de Recursos Humanos del EMAD, señaló (por dos veces) que buscaban frikis. Aunque los pocos medios que recogieron la noticia han planteado que en realidad quería referirse a hackers (¿?), en cualquier caso demostraría el gran trabajo que queda por delante en concienciación en las propias Fuerzas Armadas, lo que me lleva a la siguiente pregunta: ¿Realmente hay el convencimiento en las Fuerzas Armadas y en el Ministerio de Defensa de la importancia estratégica del ciberespacio?

En este contexto, ¿cómo continuar desarrollando la estructura de ciberdefensa? El presidente del Consejo Europeo, Donald Tusk, señaló en relación a las últimas decisiones del presidente Trump (como la retirada del acuerdo nuclear con Irán o la amenaza de imponer aranceles a la UE) “que con amigos así, quién necesita enemigos”. Pero lo que nos tendríamos que plantear es en qué punto se encuentra la amistad y la confianza (a la que se refería Merkel) entre los Estados miembros y hasta qué punto los estados con un mayor desarrollo en el ámbito de la ciberdefensa van a querer compartir esas capacidades con el resto.

Los desafíos procedentes del ciberespacio son transversales y, por lo tanto, no pueden afrontarse únicamente desde una perspectiva nacional. En este contexto, la UE tiene dos opciones. Confiar en las soluciones cortoplacistas en las que cada vez que se produzca un suceso global en el ciberespacio lo califiquemos como la mayor amenaza para nuestra seguridad y lo afrontemos desde una perspectiva nacional (WannaCry) o profundizar en un proyecto sólido a largo plazo en el que la confianza entre Estados miembros sea un elemento central.