Comandante de las Fuerzas de Defensa del Ciberespacio: Estamos en una fase de conflicto, quizás cerca de una fase de guerra

• Rusia y Bielorrusia son actualmente la principal fuente de amenazas en el ciberespacio, admite el general Karol Molenda en una entrevista con el CIS.
• Las Fuerzas de Defensa del Ciberespacio realizan no sólo operaciones de defensa, sino también ofensivas.
• Karol Molenda también analiza cómo Polonia está construyendo un modelo único de ciberseguridad dentro de la OTAN. Este modelo se basa en la cooperación, el intercambio de información y la integración con el sector privado.
• La ciberseguridad será uno de los temas principales de la conferencia de otoño "Industria para la Defensa". Líderes de la industria, la ciencia y el gobierno se reunirán en Katowice el 15 de octubre para debatir sobre el desarrollo de la resiliencia y el potencial de defensa de Polonia ante los nuevos desafíos geopolíticos y tecnológicos.

Como parte de la Operación "Podlasie Segura", el ejército protege la frontera entre Polonia y Bielorrusia. ¿Qué defienden las Fuerzas de Defensa del Ciberespacio?

Infraestructura militar de TIC e, indirectamente, una gran cantidad de datos sensibles y valiosos desde la perspectiva de la seguridad nacional. Las Fuerzas Militares de Defensa (FDM) responden a un compromiso asumido en 2016. En aquel momento, la Alianza del Atlántico Norte decidió que el ciberespacio también era un ámbito operativo en el que podían llevarse a cabo operaciones militares. Esto requirió la creación de unidades independientes dedicadas a la ciberseguridad.

Las Fuerzas de Defensa Civil son las principales responsables de las operaciones cibernéticas, que contrarrestan los ataques a los sistemas e infraestructura de TI. Nos diferenciamos de otras ramas de las fuerzas armadas porque no solo entrenamos, sino que también realizamos operaciones en tiempo de paz .

¿Estamos en guerra en el ciberespacio? El general lo explica.

A menudo oímos a los políticos hablar de una "ciberguerra". Pero, en tu opinión, ¿paz?

Según el derecho internacional, nadie nos ha declarado la guerra, así que, como soldado, hablo de tiempos de paz. Sin embargo, en mi opinión, en el ciberespacio deberíamos hablar más bien de estados de competencia, conflicto y guerra.

En lo que respecta a CyberOps, creo que ya estamos en la fase de conflicto, quizás cerca de la fase de guerra.

¿Cuándo diríamos que definitivamente estamos en guerra?

El umbral de la guerra no está claramente definido. La OTAN, en general, se aleja de definir una frontera rígida, porque si un adversario sabe dónde está, siempre operará en la frontera y comprobará qué sucede al cruzarla.

Si un ataque dañara infraestructura crítica, causando heridos o muertos, sería difícil afirmar que seguimos en conflicto. Sería un argumento suficientemente sólido para considerarlo una guerra. Por ahora, estamos repeliendo los ataques.

¿Cuánta defensa y cuánta acción ofensiva hay en las operaciones de WOC?

Nuestro mayor esfuerzo se centra en contrarrestar los ataques, pero también identificamos la infraestructura y las actividades de nuestros adversarios, aprendiendo las tácticas, técnicas y procedimientos que emplean contra nosotros o nuestros socios. Al mismo tiempo, desarrollamos capacidades ofensivas.

¿Significado?

Contamos con tres unidades dedicadas a brindar competencias para todo el espectro operativo. Cada unidad cuenta con equipos listos para llevar a cabo operaciones de defensa activa y ofensiva. Poseen el conocimiento y las herramientas necesarias para lograr resultados en el espacio digital del adversario si nuestra infraestructura fuera atacada de tal manera que factores políticos decidieran no solo defendernos.

Sin embargo, si alguien considera atacar, ante todo debe ser capaz de defenderse. Por ejemplo, al comienzo de la guerra a gran escala en Ucrania, los rusos fueron víctimas de grupos como Anonymous . Resultó que, aunque eran muy activos externamente, carecían de la capacidad de defenderse de las herramientas que ellos mismos utilizaban.

Los ciberdelincuentes que operan en Polonia están financiados por el GRU y el FSB

¿Quién representa la mayor amenaza para nosotros en el ciberespacio hoy en día?

En cuanto a CyberOps, nuestro mayor desafío es contrarrestar los grupos APT (Amenazas Persistentes Avanzadas) . Estos son grupos patrocinados por estados a los que se les han encomendado tareas específicas para impactar la infraestructura de un país determinado y obtener resultados allí.

¿Son unidades militares o criminales financiados por el Estado?

Cada país tiene enfoques diferentes al respecto. Hay varios informes públicos que indican claramente que uno de estos grupos opera dentro del GRU, el servicio de inteligencia militar ruso . Los expertos lo han designado como APT28. El FSB tiene APT29. Actualmente, monitoreamos a casi 20 de estos grupos en la Agencia de Inteligencia Exterior.

Los grupos APT cuentan con la autorización y un paraguas protector. Si alguien ataca en nombre de la Federación Rusa, la probabilidad de que esta lo extradite tras nuestra investigación es nula. Por eso, el FBI incluye a los miembros identificados de los grupos APT en las listas de personas buscadas; existe la posibilidad de que sean detenidos si viajan a otros países, por ejemplo .

¿Qué significan estas abreviaturas?

Estas designaciones son asignadas por expertos según el modus operandi de los grupos o las herramientas que utilizan. La atribución no es fácil; requiere años de experiencia. Estos grupos suelen atacar bajo bandera extranjera , tomando el control de infraestructura extranjera y solo entonces realizando operaciones ofensivas con ella.

Hoy en día, sin duda, la mayor actividad proviene de Rusia o Bielorrusia. Prácticamente a diario se intenta influir de algún modo en la infraestructura militar de nuestros socios.

¿Qué métodos utilizan estos grupos?

En muchos casos, estos grupos utilizan soluciones sencillas, generalmente herramientas de ingeniería social, para robar credenciales de inicio de sesión. Los expertos afirman que los atacantes no violan la seguridad, sino que acceden al sistema. Por supuesto, si la ingeniería social no funciona y el adversario está decidido, entonces intenta tácticas más sofisticadas, incluso contra nuestros socios. Dado que los atacantes explotan los puntos más débiles del sistema, debemos asegurarnos de mejorar la ciberseguridad en todas nuestras redes.

¿Podrías darme un ejemplo?

Hemos observado este patrón, por ejemplo, en el sistema de apoyo a Ucrania. Aproximadamente el 90 % de toda la ayuda militar pasa por nuestro país, y colaboramos con nuestros socios en los sectores de logística y transporte . Los adversarios se han dado cuenta y han comenzado a atacar a las entidades con las que compartimos información. Suponen que podrán extraer cualquier dato importante.

Por eso tenemos varios acuerdos con socios en materia de apoyo militar. Se trata de un modelo sin precedentes: gracias a nuestra experiencia, hemos comenzado a desarrollar una perspectiva polaca sobre ciberseguridad.

¿Qué significa la perspectiva polaca sobre la ciberseguridad?

¿En qué consiste exactamente?

Las fuerzas militares, especialmente las ciberfuerzas, no deberían centrarse únicamente en sus propios sistemas. Esta filosofía genera una falsa sensación de seguridad: si nuestra infraestructura es segura, estamos listos para las operaciones.

Mientras tanto, las fuerzas armadas también deben utilizar infraestructura que no les pertenece: flujo de combustible, energía, transporte , logística. Estos sectores no están adecuadamente preparados para contrarrestar a los grupos APT con misiones específicas y herramientas sofisticadas. Por lo tanto, si obtenemos información importante desde el punto de vista de la seguridad, también la compartimos con nuestros socios. Por ejemplo, si descubrimos una vulnerabilidad que podría explotarse para atacar la infraestructura, la informamos.

También estamos construyendo una filosofía completamente nueva de intercambio de información dentro de la OTAN.

¿Significado?

Durante años, prevaleció el principio de "necesidad de saber". La información estaba fácilmente disponible en muchos lugares, pero todos la guardaban para sí mismos. Sin embargo, nos esforzamos por promover la filosofía de "necesidad de compartir": si tienes información que podría ser beneficiosa para tu pareja, compártela.

Permítanme darles un ejemplo de trabajo con socios en Ucrania. Si detectan un ataque de un grupo APT que utiliza infraestructura comprometida, nos informan; esto nos permite proteger nuestros dispositivos y garantizar que no se utilice la misma infraestructura en nuestra contra. Si todos se protegen contra un ataque de este tipo, el adversario tendrá que construir nueva infraestructura, lo cual requiere mucho tiempo y es costoso.

¿Sientes que ahora la ventaja está de nuestro lado?

"Un defensa siempre lo pasa peor. Creo que, sin duda, hemos progresado mucho; conocemos a nuestros rivales mucho mejor que hace apenas unos años".

Cuando observo a nuestro equipo, a veces siento que los conocemos mejor que ellos mismos. Nuestros analistas pueden detectar cuándo un adversario está construyendo infraestructura que podría ser explotada para un ataque. Basándonos en sus recomendaciones, podemos prepararnos adecuadamente con antelación.

Por supuesto, esto no cambia el hecho de que mañana podría ocurrir un ataque que aproveche, por ejemplo, una vulnerabilidad de día cero de la que no estábamos al tanto. Debemos mantenernos alerta para asegurarnos de que, incluso si un adversario penetra nuestra primera capa de defensa, podamos detenerlo. La vigilancia es crucial; a veces, los responsables de la seguridad ni siquiera saben que han sido atacados o que tienen alienígenas a bordo.

¿Cuál es el objetivo final de estos grupos?

Reciben órdenes específicas y operan como unidades militares. Obtener información es sin duda uno de los principales objetivos, porque quien la tiene tiene ventaja.

Sin embargo, en muchos casos, el adversario puede construir los llamados puntos de apoyo, su presencia en la infraestructura, y posteriormente incluso dañarla o inutilizarla.

Adoptamos un enfoque proactivo: contamos con equipos que impactan activamente nuestra infraestructura en busca de vulnerabilidades. También realizan actividades de ingeniería social contra nuestros usuarios. Revisamos nuestros procedimientos. También verificamos si nuestros equipos de defensa han detectado estas actividades activas. Al mismo tiempo, contamos con equipos que buscan adversarios en nuestras redes y las de nuestros socios.

¿Puede usted darnos un ejemplo de tal acción?

Como parte de nuestras actividades de cibercacería, descubrimos un caso en el que un adversario estaba explotando una función del software de Microsoft para recopilar información. Esta función estaba habilitada por defecto y era invisible para el usuario. Tras nuestro análisis, notificamos a Microsoft , quien confirmó nuestros hallazgos y agradeció nuestra aportación.

Además, desarrollamos herramientas y scripts que permiten a las organizaciones determinar de forma independiente si han sido víctimas de este tipo de ataque y cómo protegerse. Publicamos estas herramientas y nuestros hallazgos se citaron posteriormente en informes internacionales sobre las actividades de agencias de inteligencia extranjeras.

¿Qué debería preocupar al propietario de un sistema? ¿Cuáles son las señales de que tenemos un "extraño" entre nosotros?

Lo que más me preocupa es el silencio. Si recibiéramos informes diarios de que un adversario intentaba afectar nuestra infraestructura, y luego no ocurriera nada durante una semana, esa sería nuestra mayor preocupación. La probabilidad de que el adversario se haya dado por vencido es nula, así que el silencio significa que ha cambiado su modus operandi y no estamos viendo nada.

¿Cree usted que en el futuro tendremos que hacer frente a la destrucción de infraestructuras utilizando puntos de apoyo capturados?

No creo que sea un escenario imposible. Creo que es mejor tenerlo presente y realizar pruebas de penetración constantemente para generar conciencia.

El ciberespacio es notoriamente inseguro, sobre todo porque es un ámbito en constante transformación por parte de los humanos. Mantenerse al día con los cambios tecnológicos requiere un gran esfuerzo.

El enfoque polaco sobre la ciberseguridad como modelo para la OTAN

La WOC colabora con el sector privado. Cyber LEGION es un ejemplo de ello. ¿De dónde surgió la idea de invitar a programadores civiles a apoyarlos?

Hay un grupo de expertos en Polonia que lleva mucho tiempo dispuesto a ayudarnos, pero no tienen intención de cambiar de trabajo ni de vestir uniforme permanentemente. De momento, los hemos invitado a colaborar, incluso en el marco de Locked Shields, el mayor ejercicio de ciberdefensa.

Cyber LEGION es una idea diseñada para conseguir su apoyo, pero también para darles un sentido de misión. Hasta la fecha, hemos recibido más de mil solicitudes y la respuesta ha sido increíble. Entre los voluntarios se encuentran expertos de renombre internacional, incluyendo a aquellos que se rieron en 2019 cuando les dije que seguiría vistiéndolos de uniforme.

Después de las vacaciones de verano comenzaremos las primeras reuniones con ellos, por ahora tenemos que procesar esta enorme cantidad de solicitudes.

Esto implica la colaboración con especialistas específicos. ¿De qué otras maneras colaboran las mujeres de color con el sector privado?

Somos una de las pocas instituciones de la OTAN que ha desarrollado relaciones de confianza tanto con universidades como con el sector privado. Hemos firmado acuerdos con todos los principales proveedores de tecnología, las llamadas Big Techs . Contrariamente a lo que se cree, estos acuerdos no se refieren a la transferencia de datos, sino a garantizar el contacto directo entre nuestros expertos y los ingenieros de los proveedores.

Esto es crucial, especialmente en situaciones de crisis: cuando nuestros especialistas detectan una vulnerabilidad, necesitamos contactar rápidamente con las personas adecuadas, no con el departamento de ventas. Hemos tenido casos en los que una vulnerabilidad se explotó activamente y, gracias a estas relaciones, el proveedor comenzó a trabajar de inmediato en una solución o nos ofreció recomendaciones para una protección temporal.

Además, gracias a la confianza que hemos construido, ahora nos informamos con antelación sobre nuevas vulnerabilidades, incluso antes de que se anuncien oficialmente. Esto nos permite actuar con mayor rapidez y eficacia. Esta colaboración bilateral entre expertos es la base de la seguridad en el mundo actual.

Ha enfatizado repetidamente en esta conversación que está haciendo algo único en comparación con la OTAN. ¿Siente que, después de seis años, el WOC DK es único?

Lo es. Incluso esta sensación roza la certeza. En 2019, nos dimos cuenta de que si queríamos desarrollar sólidas capacidades cibernéticas, teníamos que crear el talento nosotros mismos, no competir por él en el mercado. Por eso nos centramos en el desarrollo a largo plazo: desde clases de informática en institutos, pasando por el programa CYBER.MIL, hasta el aumento del número de estudiantes en universidades militares. Hoy, vemos resultados tangibles: más de cien nuevos subtenientes, graduados de programas relacionados con la ciberseguridad, se incorporan a las Fuerzas Militares de Defensa cada año.

Al mismo tiempo, sabíamos que necesitábamos un socio que nos ayudara a acelerar nuestro desarrollo; de ahí la colaboración con la parte estadounidense, iniciada mediante un acuerdo con el Comando Europeo de Estados Unidos. Esto nos permitió aprovechar la experiencia acumulada en Estados Unidos durante una década.

Inicialmente, también tuvimos que optimizar las estructuras nacionales. Anteriormente, las distintas unidades se encargaban de la seguridad y la funcionalidad del sistema por separado. Esto causaba fricción, retrasos y deficiencias en la protección. Por lo tanto, optamos por un modelo innovador: combinar competencias en una única estructura. Esto permite una respuesta más rápida, un análisis de riesgos más eficaz y un equilibrio entre funcionalidad y seguridad.

¿Es diferente en la OTAN?

En muchos países de la OTAN, la responsabilidad sigue estando fragmentada, lo que resulta en un flujo de información más lento y una amenaza real. Conozco casos en los que los ataques tuvieron éxito únicamente por falta de acción coordinada. Nos centramos en la integración.

Además, también apoyamos activamente a socios externos, incluyendo infraestructuras críticas. Esto aún no es la norma, pero observamos que cada vez más países, como el Reino Unido, Alemania, Estados Unidos y Francia, reconocen la importancia de este enfoque y comparten puntos de vista similares. Somos pioneros en este campo, pero no estamos solos en este camino.

La inteligencia artificial y los drones están transformando el campo de batalla. ¿Cómo responde la mujer de color?

¿Entonces otros ya están aprendiendo de Polonia?

Exportamos con éxito nuestro conocimiento y experiencia. Sin embargo, no solo otros aprenden de nosotros; nosotros también lo hacemos y queremos hacerlo.

Y así, una vez más, se nos ocurrió algo único. Oímos que en muchas conferencias se hablaba de colaboración e intercambio de información. Solo cuando alguien decía: "Bueno, ¿pero qué hicieron exactamente en este caso?", se hacía silencio, porque la información era muy sensible. Por eso organizamos cada año la Cumbre CSIRT en Legionowo, un espacio para intercambiar información sobre NATO SECRET . Sin embargo, para participar en la reunión, el país tiene una condición: debes traer tu propio caso de estudio. Solo así podrás escuchar a los demás. La idea fue retomada por los estadounidenses, por lo que nuestro evento ahora tiene un gran impacto.

Constantemente sacamos conclusiones, por lo que nuestra estructura cambia constantemente. El Director del Departamento de Recursos Humanos probablemente no esté muy contento con que recibamos constantemente propuestas organizativas y de personal, pero eso se debe a la rápida evolución de la tecnología. En 2019, cuando estábamos dando forma a la estructura de las Fuerzas de Defensa del Ciberespacio, no participamos tanto en inteligencia artificial. Ahora, es imposible imaginar no implementar este elemento, por lo que creamos el Centro de Implementación de Inteligencia Artificial para abordar esta tecnología innovadora y su presencia en nuestra infraestructura.

¿Que hace?

La inteligencia artificial puede brindar un verdadero apoyo a los comandantes mediante el análisis de grandes conjuntos de datos de sensores y sistemas, sugiriendo decisiones que antes tomaba el personal de mando. Quienes puedan procesar estos datos con mayor rapidez y traducirlos en decisiones operativas tendrán una ventaja. Queremos implementar soluciones ya disponibles en el mercado, pero también contamos con un equipo de ingenieros que comprendan estas tecnologías, puedan entrenar modelos con datos clasificados e implementarlos en nuestros sistemas.

Estoy convencido de que nuestros adversarios también están trabajando en esto, así que, si no lo estuviéramos, podríamos imaginar un escenario donde dos fuerzas se enfrentarían: una usaría algoritmos de IA para tomar decisiones y la otra no. Es fácil imaginar cuál tendría la ventaja.

También estamos trabajando en sistemas de armas autónomas, enjambres de drones y análisis de datos satelitales, todos los cuales utilizan IA para aumentar la eficacia y la resistencia a las disrupciones.

El CISI recluta a los mejores oficiales jóvenes (capitán e ingenieros) que ya han adquirido experiencia en universidades técnicas militares. Nuestro objetivo es crear un equipo que no solo comprenda la tecnología, sino que también pueda implementarla de forma segura y eficaz, considerando amenazas como la contaminación de datos. Esta es una inversión en capacidades que serán cruciales en el futuro campo de batalla.