En términos bélicos, un plan de ataque o defensa que extienda sus tropas por tierra, mar y aire ha dejado de ser ya suficiente. Esta semana la OTAN ha creado un centro de operaciones para proteger un nuevo dominio de la batalla: el ciberespacio. Vicente Pastor, miembro de esta unidad de la OTAN, es uno de los fundadores del nuevo proyecto: el Centro de Operaciones del Ciberespacio.

-¿Cuándo comenzó la OTAN a trabajar la defensa de ciberataques?

-Lo cierto es que la OTAN lleva trabajando en materia de seguridad, prácticamente desde que se creó. Es su misión fundamental. De hecho, en temas de prevención y de seguridad en la información somos pioneros. Hemos trabajado en clasificación de información, habilitación del personal y de la industria, certificación de productos y acreditación de sistemas, por ejemplo. Lo que sí es cierto es que el término "ciberdefensa" ha tardado un poco más en acuñarse.

-¿Por qué?

-Hubo un momento que yo definiría como de inflexión en este aspecto. Fue en el año 1999, en una operación que estaba llevando a cabo la OTAN en Kosovo. Recibimos un ataque en varios servidores de la organización y una página web muy visible fue modificada. A partir de ese momento se empezó a temer que los ataques en el ciberespacio pudiesen tener consecuencias más serias. Esto llevó a una importante decisión: en el año 2002, se creó tras la cumbre de Praga el Ncirc, que en inglés es el NATO Computer Incident Response Capability. Es el centro de respuesta a incidentes de seguridad informática de la OTAN. Se fue desarrollando todo a partir de ahí.

-¿Estamos hoy completamente protegidos de un ciberataque?

-Nunca podemos estar protegidos al cien por cien de algo. Si así fuese, los seguros, por ejemplo, serían innecesarios. Lo que sí podemos decir es que la OTAN ha trabajado y sigue trabajando mucho para mejorar su seguridad en el ciberespacio y contribuir a que sus países miembros desarrollen la suya.

-¿Cuáles son las competencias de la OTAN? ¿Puede proteger a una empresa privada o a una administración pública?

-No, es todo mucho más sencillo. La defensa de las infraestructuras públicas o privadas de cada país es responsabilidad de ese país. La OTAN solo tiene competencias ahora mismo para defender, no para atacar, y solo en las redes propias de OTAN, las que gestiona el organismo. Aunque , el gobierno de ese país podría solicitar ayuda a la OTAN.

-¿Fue difícil lograr el consenso entre los países miembros?

- Las decisiones que se toman en la OTAN, al aprobarse por unanimidad, tienen dos peculiaridades principales. Una, y es lo que más suele percibir la gente, que lleva cierto tiempo materializarlas. El consenso del que hablamos no se consigue de la noche a la mañana; exige todo un proceso de tratos diplomáticos y políticos. La otra peculiaridad es que, una vez tomadas, las decisiones son muy firmes, tienen mucha fuerza.

-¿Existe algún calendario que fije los retos del futuro?

-Tenemos muchos. La principal novedad de estos días, eso sí, es la cumbre que acaba de celebrar la OTAN en Bruselas. Allí se aprobó una modificación en su estructura de mandos o, digamos, una adaptación de la misma, que consiste en crear un centro de operaciones. Se busca que tanto la OTAN como los países que la conforman sean capaces de defenderse con la misma eficacia en el ciberespacio como lo hacen en tierra, mar, aire.

-Pero el ciberespacio es más difícil de delimitar que las fronteras terrestres de un país.

-Claro, menudo trabajo me queda por delante... (Ríe). Pero, bueno, tenemos muchos retos por la novedad del espacio en sí. Lo que sí tiene el ciberespacio es una gran peculiaridad: es el único creado exclusivamente por el ser humano. La tierra, el mar y el aire han estado siempre ahí; el ciberespacio no. Pero, ¿cómo se define la distancia en el ciberespacio? En un ataque aéreo es necesario que las naves estén a una distancia más o menos cercana; en la red, no. En eso trabajamos.

-En este nuevo espacio nos pueden atacar desde cualquier sitio.

-Sí, en teoría. En la práctica hay ciertos mecanismos de defensa, ciertas capas de seguridad que lo complican. En los ciberataques es difícil localizar al causante del problema porque en muchos casos parece que procede de un país concreto cuando, en realidad, el tráfico de red ha pegado varios saltos y su responsable está en otro país completamente distinto. En el cibercrimen, no obstante, ya ha habido varios casos de éxito en los que los policías de distintos países. La OTAN se centra en los posibles ataques sobre su propia infraestructura y cada una de las naciones tiene que proteger infraestructuras y servicios críticos.

-En un caso hipotético, ¿cómo podría afectar a un país un ciberataque de gran magnitud?

-La gente no se lo imagina de forma tan clara, pero lo cierto es que la dependencia que tenemos a día de hoy sobre los sistemas de información es tremenda. Si todo esto falla no podríamos coger un avión y habría fallos en el sistema financiero, el energético, el de suministro de aguas... Y eso sin hablar de otras actividades cotidianas que ya no sabemos hacer sin las tecnologías de la información. Todo esto se engloba dentro de la protección de las infraestructuras críticas . Un dato tal vez no muy conocido es que España tiene un centro nacional de protección de estas infraestructuras que funciona muy bien. Además, tenemos en el entorno militar el Mando Conjunto de Ciberdefensa que se creó en 2013. Este país tiene unas de las políticas y directivas de ciberseguridad más desarrolladas del mundo.