Hackers militares: quiénes son, cómo trabajan y qué misiones cumplen

Las Fuerzas Armadas llevan casi una década preparando y afianzando una especialidad que, en el último tiempo, y en el contexto de los principales conflictos mundiales, cobra mayor relevancia y sentido.

En ese mundo cada vez más informatizado, el ataque a las redes de un país o de una fuerza militar puede transformarse en el talón de Aquiles de un Estado. ¿Un hackeo al sistema operativo de una planta potabilizadora de agua militar puede considerarse un acto de guerra?

Para responder este y otros interrogantes, DEF visitó el Comando Conjunto de Ciberdefensa, un organismo que depende del Estado Mayor Conjunto de las Fuerzas Armadas, al mando del brigadier Xavier Julián Isaac. A su vez, de esta institución dependen también las diversas Direcciones de Ciberdefensa que tienen el Ejército, la Armada y la Fuerza Aérea Argentina.

Allí, el comandante Conjunto de Ciberdefensa, general Luis Pablo Guimpel, puso el foco en las tareas y el modo de trabajo de los hackers militares que, los 365 días del año y las 24 horas del día, buscan repeler los más de 1400 ataques cibernéticos mensuales que reciben las Fuerzas Armadas y se capacitan para defender nuestra soberanía en el quinto dominio en caso de un conflicto armado.

¿Por qué es fundamental que tomemos dimensión de lo que representa para un país un ataque cibernético? Básicamente, porque pueden dejar fuera de combate a un sistema de armas o, peor aún, afectar un servicio esencial para nuestra Nación –como un hospital o una central nuclear– y provocar importantes pérdidas humanas, económicas y materiales.

Un detalle: no es lo mismo hablar de hackers que de crackers. “El hacker es un experto en seguridad informática y se lo contrata para eso. Los segundos, los crackers, atacan por dinero, fama y para provocar daño. Ellos son los malos”, aclara Guimpel, la máxima autoridad militar en este tema, en el mano a mano con DEF.

-¿La ciberdefensa y la informática son lo mismo?

-Cuando ingresé al Ejército en la década del 80, aún no estaba popularizado el uso del fax. Hoy estamos con la ciberdefensa. Claramente es algo que avanza muy rápido.

Pero una cosa es la informática y otra la ciberdefensa. De hecho, hay tres grandes conceptos que muchas veces se usan como sinónimos: la seguridad informática, la ciberseguridad y la ciberdefensa.

-¿Cuáles son las diferencias?

-Cuando hablamos de dar protección a un sistema de información, como un celular, hay que hacer referencia a tres atributos: la confidencialidad (que la información pueda ser vista por aquel que tiene la autoridad), la integridad (supone que la información no se haya modificado y esté completa) y la disponibilidad (es decir, que se pueda contar con la información en el momento en el que se necesite).

Esos atributos se protegen en el concepto de seguridad informática. Ahora, la pregunta es: ¿qué red necesita la seguridad informática? La respuesta es simple: todas, incluida la que se establece en una casa cuando se enciende una notebook y se conecta a la red de Wi-Fi. Básicamente, en ese momento, se está estableciendo una red informática.

-¿De qué hablamos cuando nos referimos a ciberseguridad?

-Subimos un peldaño y nos vamos a ciberseguridad, una política nacional que se enfoca en la protección de las infraestructuras críticas. Es decir, de aquellas cosas que proveen un servicio esencial a la nación y que si dejan de funcionar –o lo hacen fuera de sus estándares normales– pueden provocar pérdidas de vidas humanas, económicas o materiales.

Muchas de esas infraestructuras críticas son controladas por sistemas informáticos, por eso se las denomina “infraestructuras críticas de la información”. Por ejemplo: la fabricación de vacunas, la potabilización del agua o el transporte. De todo ello, se encarga la ciberseguridad y funciona bajo la órbita de la Dirección Nacional de Ciberseguridad que, a su vez, depende de la Jefatura de Gabinete de Ministros.

-Entonces, ¿a qué se dedica la ciberdefensa?

-Es una parte componente de la ciberseguridad que se encarga de defender la infraestructura crítica del sistema de defensa nacional y de aquellas que sean asignadas al Ministerio de Defensa para su defensa en caso de un conflicto.

En tiempos de paz, protegemos la infraestructura crítica exclusivamente del sistema militar, que son los sistemas de comando y control, los de vigilancia y los de armas.

-¿Reciben varios ataques diarios?

-La estadística es de aproximadamente 1400 incidentes mensuales en todas las Fuerzas Armadas. Para detectarlos e identificarlos, contamos con sistemas específicos que nos permiten reaccionar y dar respuesta a los mismos.

Por eso, nosotros trabajamos las 24 horas del día y los 365 días del año. Por tratarse de operaciones en desarrollo, de forma permanente, es que el Comando Conjunto de Ciberdefensa pasó a depender del Comando Operacional de las Fuerzas Armadas en el año 2023.

-Cada tanto, un grupo de hackers anuncia que se adueñó de una base de datos.

-Sí, sucede. Pero no se dan a conocer las miles de veces que se intentó hackear un sistema y no pudieron lograr su cometido.

En nuestro caso, la realidad es que los incidentes que tuvieron cierto grado de éxito solo lograron perforar la primera capa de defensa y no han logrado llegar al núcleo y a la información crítica.

Eso también habla bien de nuestro tiempo de reacción y de nuestra capacidad de respuesta, en definitiva, para eso operamos 24/7 los 365 días del año. Además, estoy en contacto permanente con las distintas Direcciones de Ciberdefensa de las FF. AA. para lograr un flujo de trabajo con alto grado de sinergia.

-¿Cuentan con suficientes medios y personal para operar?

-Este comando comenzó a funcionar en mayo de 2014. De hecho, este año cumplimos los primeros 10 años. Y, desde entonces, se nutrió, principalmente, de personal de la especialidad de informática. Aunque, hoy estamos hablando de una especialidad que se oficializó en el ámbito de las Fuerzas Armadas en el 2022, a través de una resolución del Ministerio de Defensa, que se manifiesta en los brevet que nos identifican en nuestros uniformes.

Así que en este momento nos nutrimos de aquellos que realizan los cursos específicos en el Instituto de Ciberdefensa de las FF. AA. En ese lugar, se lleva adelante un curso básico (de un año) y uno avanzado, que son los que hoy alimentan el sistema de ciberdefensa de las Fuerzas.

-Es un perfil profesional muy demandado en el mercado, ¿cómo logran que este personal calificado permanezca en las Fuerzas Armadas?

-Es personal con vocación de servicio. Si bien es cierto que muchos reciben la tentación de parte de diversas empresas de tecnología, se los motiva mediante capacitaciones de diversos niveles e incluso con la participación en cursos y ejercicios en el exterior.

Hoy la informática está en nuestra vida y a los jóvenes les interesa mucho el tema. Es un área de capacidad nueva, apenas tiene 10 años. Esa cantidad de tiempo, en una Fuerza Armada, es apenas un suspiro.

En ese sentido, una gran satisfacción que tuve fue ver a un cabo de este Comando en un ejercicio de ciberdefensa en Madrid. Allí él participó con integrantes de la OTAN, y yo fui testigo de cómo el personal lo consultaba sobre el modo en que había solucionado un incidente.

-¿Hacen muchos ejercicios con otros países?

-Argentina pertenece al Foro Iberoamericano de Ciberdefensa, integrado por 11 países de la región, más España y Portugal. Todos los años hacemos una reunión en la que compartimos información, experiencia en procedimientos, y, además, se hace un ejercicio.

También hacemos un ejercicio y tenemos capacitaciones con Estados Unidos en el ámbito de la Junta Interamericana de Defensa y del Comando Sur.

-¿Cómo es el perfil del militar que se dedica a la ciberdefensa?

-La sorpresa es que, cuando se creó el curso de ciberdefensa, se abrió a todo el personal de las Fuerzas. Entonces, ingresó personal de todas las armas y especialidades.

Aprovechamos esa motivación e interés y lo mejoramos con perfeccionamiento continuo. Además, puedo asegurar que lo que pasa hoy, en un mes cambia. De hecho, la llegada de la inteligencia artificial lo modificó todo. Por ejemplo, ya no nos atacan personas, nos atacan bots. Tampoco es un simple hacker, es uno que controla a 100 bots que nos están atacando en simultáneo.

-¿Qué implicancia tiene que nos ataquen bots en vez de personas?

-Cuando ataca una persona, existe tiempo de reacción. Ahora, cuando se trata de un sistema informático, sucede todo en milisegundos.

Nosotros estamos entrenados para eso. Insisto: estamos permanentemente en operaciones en desarrollo. No frenamos ni apagamos el equipo el día viernes. Es un trabajo bastante duro. Son muchas horas frente a una pantalla, mirando información y estando atentos a eso.

Para el personal de ciberdefensa la computadora es un sistema de armas que permite defender la información contenida en las redes de las FF. AA.

-¿Por qué hay que apostar a este comando?

- No es solo al Comando, hay que hacerlo a todo el sistema que constituye el área de capacidad militar de ciberdefensa. La probabilidad de recibir un ciberataque, que produzca efectos importantes, es altísima.

-¿Cuál es el perfil del atacante?

-Hay tres niveles de hackers. Están los más leves, personas capaces de explotar vulnerabilidades conocidas que se publican en internet. Por eso, cuando un hacker lo descubre, lo pública para que todo el mundo sepa. Justamente, la manera de defenderte es que te avisen que encontraron una vulnerabilidad.

Entonces, en el nivel uno son capaces de explotar esas vulnerabilidades conocidas con herramientas que son de distribución pública.

Luego está el nivel dos, donde hablamos de cibercriminales y ciberactivistas, como Anonymous. Ellos ya no usan vulnerabilidades conocidas, sino que pueden leer el código de un sistema operativo y encontrar dónde hay un problema. Fabrican la herramienta, la usan o la venden.

Luego nos vamos al nivel tres: los más peligrosos. Se conocen como APT (advanced persistent threat). Son grandes organizaciones solventadas por Estados que ya no encuentran vulnerabilidades, sino que las fabrican y las distribuyen. Por ejemplo, cuando instalás un programa sin una licencia oficial, alguien quiere que vos lo tengas.

-¿Cuál es el ambiente operacional de la ciberdefensa?

-El ciberespacio fue declarado ambiente operacional por la OTAN en el año 2016. Hoy, en la Argentina, el Ejército tiene un gran proyecto y está trabajando en las operaciones multidominio: ciberdefensa es el quinto dominio.

El problema del ciberespacio es que el que no trabaja de esto considera que es solo virtual y todo se reduce a un problema de hackers. Pero no es así, el ciberespacio tiene una capa virtual y otra física, que es donde se encuentra la infraestructura que da vida a la capa virtual. Un ataque sobre la capa física provocaría un efecto significativo sobre el ciberespacio. Un ejemplo claro: en el 2014, cuando Rusia atacó Crimea, para cortarles el comando y control lo que hizo fue tomar la estación de conectividad de las fibras ópticas y afectar la capa física. Un ataque a la capa física también es un ciberataque.

El ciberespacio tiene una tercera capa, que es más compleja, y se refiere a la ciberpersona. Yo puedo tener una identidad en la vida real pero ser otra persona en el ciberespacio. Por eso requiere de una alta capacitación y especialización.

-¿De quiénes son los ataques que reciben?

-Es muy difícil saberlo. Si bien todavía no hay derecho internacional humanitario referido a la ciberdefensa, existen dos manuales que surgieron en el centro de ciberdefensa de la OTAN, en Tallin, la capital de Estonia. En líneas generales, esos manuales recopilan las reglas que se utilizan como guía de derecho internacional humanitario en este tema.

Una de las primeras reglas dice que, si un ciberataque virtual provoca pérdida de vida humana, material y económica se considera acto de guerra. Eso habilita una respuesta cinética. Pero, tiene que ser un agresor estatal y militar.

A partir del momento en el que se publicó el manual, se perdió lo que se llama la atribución. Hoy es imposible saber, en tiempo y forma, quién atacó para poder reaccionar; excepto que el atacante quiera que vos sepas. Eso se conoce como ataque indiscreto.

-¿Cómo se logra eso?

-Por ejemplo, en el caso de Ucrania, que no contaba con ciberdefensa en sus FF.AA., el ministro de Transformación Digital de ese país, Mykhailo Fedorov, anunció la creación de un ejército de especialistas en TI para luchar por Ucrania en el ciberespacio y convocó a los hackers del mundo a unirse.

Además, para mantener el sigilo, no usan sus propias máquinas, sino que se opera mediante una red de servidores proxy. Entonces, lo que parece ser un ataque desde algún país del mundo, en realidad no está ocurriendo allí. Lograr la atribución es muy difícil y requiere la colaboración multiagencial y de varios Estados.

-¿Cuáles son las diferencias entre guerra electrónica y ciberdefensa?

-El ciberespacio es un dominio creado por el hombre. Por eso un incidente sobre la capa física afecta al ciberespacio. El espectro electromagnético es natural.

Cuando todavía no existía la informática, se trabajaba con radios. La guerra electrónica nació para lograr libertad de acción en el uso de nuestros sistemas electromagnéticos y dificultar el uso de los sistemas del oponente.

La ciberdefensa persigue la misma finalidad, pero sobre sistemas informáticos. Entonces, ¿hoy qué está pasando?, se produce una confluencia entre ambas. En el presente, se usan procedimientos de guerra electrónica para lograr efectos cibernéticos y viceversa. Eso nos obligó a integrar y sincronizar ese tipo de operaciones. De todas maneras, para cada estrategia defensiva, alguien va a inventar una estrategia de ataque. Por eso, buscamos incrementar en forma permanente las capacidades del Comando y las de las Direcciones de las FF. AA.