LA CIBERDEFENSA Y SU RELACIÓN CON LA ESTRATEGIA DE SEGURIDAD Y DEFENSA EN EL HEMISFERIO OCCIDENTAL

ciberdefensa

Por:     Domingo SILVA Cancino[1]

Hace unas semanas escribimos sobre el ejercicio de despliegue Southern Seas 2026, con la participación del portaaviones CVN-68 USS Nimitz, el cual integra el Grupo de Ataque Embarcado 11[2]. Este despliegue constituye la última misión operativa del buque antes de su arribo final a Norfolk (Virginia), para su posterior desactivación, tras 50 años de servicio ininterrumpido. Se prevé que las operaciones concluyan en el mes de junio de este año. Asimismo, nos enfocamos en las capacidades militares de guerra electrónica avanzada a disposición del Grupo de Ataque Embarcado, y su posible uso en un escenario altamente volátil, como lo es la situación política en Cuba, y la importancia de esta isla como plataforma de despliegue de capacidades de inteligencia chinas, tanto en señales (SIGINT) como en comunicaciones (COMINT), en una estrategia de posicionamiento del gigante asiático en el Caribe, algo que ya es percibido como una amenaza a los intereses y a la seguridad nacional de los Estados Unidos.

La nota antes indicada no solo analiza las capacidades de degradación o supresión frente a los equipos instalados en las estaciones de Bejucal, Calabazar, Wajay, Salao y Santiago de la Habana, así como su interacción operativa con el G2 (DI[3]) cubano.  Ahora vamos a dar una descripción de cómo operan y su relación con las actividades en el ciberespacio, destinado a seguir a personal de instituciones de Gobierno, diplomáticos, y en este particular caso, también a figuras políticas en el exilio y líderes de comunidades políticas opositoras.

EL CIBERESPACIO COMO INFRAESTRUCTURA Y COMO DOMINIO EN EL CAMPO MILITAR

En el mundo de hoy, casi la totalidad de la actividad económica, social, educativa, comercial y política se lleva a cabo no solo en el mundo material, sino a través de redes de comunicaciones y enlaces con sistemas informáticos. Casi toda, por no decir ya la totalidad de, la actividad económica se realiza a través de computadoras, y los datos y las comunicaciones personales a través de dispositivos móviles y estos están almacenados en dispositivos periféricos o incluso dentro del sistema (en la nube). Asimismo, información sensible, sea personal, comercial, económica o datos utilizados en actividades de seguridad, o incluso en operaciones militares requieren, necesariamente, del uso de recursos e infraestructura informática.

Ese entorno donde interactúan dispositivos, redes, servicios digitales, usuarios y datos, que incluye – como infraestructura – satélites de comunicación, centros de datos, cables, routers, servidores, terminales y sistemas industriales (incluyendo los controladores industriales por computadora, PLC[4]) conectados, se denomina Ciberespacio. Y ese entorno va más allá del Internet, porque comprende todo el ecosistema digital que sostiene las comunicaciones, la economía, los servicios críticos de una Nación (y también del Estado, incluyendo fuerzas de seguridad y militares). Ese entorno es blanco de ataques sea por parte del crimen organizado, por un afán de lucro en muchos casos, como por parte de Estados rivales, quienes buscan anular la capacidad del enemigo de articular respuestas en diversos dominios[5], entre ellos el del Ciberespacio. Y ya que el Ciberespacio es un uno donde confluyen tanto infraestructura de red, sistemas informáticos, el espectro electromagnético y los datos que fluyen a través de ellos, y que son utilizados por diversas industrias de bienes y servicios en el campo comercial, económico, tecnológico y civil, constituye un entorno que debe ser monitoreado, asegurado y defendido de ataques perpetrados por criminales, y hasta por Estados extranjeros, a través de unidades militares especializadas en Ciberguerra, por lo que a efectos de una mejor comprensión del tema, es que debemos encuadrar el objeto del presente artículo, a fin de poder determinar su alcance y propósito.

CIBERSEGURIDAD Y CIBERDEFENSA

Es necesario hacer una distinción entre Ciberseguridad y Ciberdefensa desde el punto de vista conceptual y operativo, así como apreciar cuál es el rol de cada una de aquellas dentro de la estrategia de seguridad y Defensa hemisférica. En ese sentido, la Ciberseguridad es el conjunto de políticas, tecnologías y prácticas orientadas a garantizar la Confidencialidad, Integridad y Disponibilidad (CID) de los datos. Por otro lado, la Ciberdefensa es la capacidad político-militar de un Estado para proteger su soberanía digital, disuadir amenazas externas y, si es necesario, ejecutar operaciones de respuesta en el ciberespacio[6].

Los siguientes cuadros ilustran varios aspectos de ambas, mostrando comunidades y diferencias, tanto desde el punto de vista conceptual, como el de su relación operativa.

  1. Desde el punto de vista conceptual
CriterioCiberseguridadCiberdefensa
EnfoquePreventivo, comercial y de gestión de riesgos corporativos o civilesEstratégico, militar y de seguridad nacional frente a amenazas estatales
FilosofíaHigiene digital, cumplimiento de normas (ISO) y continuidad de negocioDisuasión, protección de la soberanía y ejecución de operaciones de respuesta
Actor amenazanteCibercriminales comunes, estafadores, hacktivistas. Buscan el lucro generalmente.Estados soberanos, agencias de Inteligencia extranjeras, unidades militares de Ciberguerra.
Marco legalDerecho comercial, civil, penal común y leyes de protección de datosDerecho Internacional Humanitario, leyes de seguridad nacional y convenos de defensa
Naturaleza de la acciónExclusivamente defensiva y preventivaDefensiva, de disuasión y con doctrina para respuestas estratégicas calibradas
ResponsablesCISOs (Directores de Seguridad), ingenieros informáticos, empresas privadasFuerzas Armadas, Comandos de Ciberdefensa y agencias de seguridad del Estado
  1. Desde su relación operativa
DimensiónCiberseguridadCiberdefensaRelación operativa
PropósitoReducir la superficie de ataque y proteger la confidencialidad, integridad y disponibilidad de la informaciónDetectar, interrumpir, degradar, contener y recuperar ante acciones hostiles en el ciberespacioLa Ciberseguridad crea la postura defensiva, mientras que la Ciberdefensa la ejecuta bajo presión
Horizonte temporalPreventivo y contínuoTáctico, operativo y de respuesta inmediataLa primera disminuye probabilidad; la segunda reduce impacto
Unidad de análisisActivos digitales, identidades, datos, endpoints[7], redes, aplicaciones y nubeAdversario, vector de ataque, campaña, TTPs[8], infraestructura hostil y cadenas de ataqueCiberdefensa incorpora el ciclo del oponente, no solo el estado del activo
Modelo de riesgoBasado en vulnerabilidades, exposición, criticidad y probabilidadBasado en amenaza, intención, capacidad, oportunidad e impacto operacionalCiberseguridad prioriza riesgos; Ciberdefensa prioriza amenazas activas o inminentes
ArquitecturaZero Trust, segmentación, hardening[9], IAM[10], cifrado, EDR[11], SIEM[12], DLP[13]SOC[14]/CERT[15], threat hunting, CTI[16], deception, response playbooks, SOAR[17], contenciónMuchas capacidades se superponen, pero Ciberdefensa exige mayor integración en tiempo real
Métrica principalReducción de incidentes, cumplimiento, exposición y vulnerabilidades críticasTiempo de detección, tiempo de respuesta, tiempo de contención y éxito de la misiónLa Ciberdefensa mide eficacia bajo ataque; la Ciberseguridad mide madurez y control
Tipo de eventoPhishing[18], malware[19], fuga de datos, error de configuración, abuso de credencialesIntrusión persistente, intrusión avanzada, sabotaje, ISR[20] hostíl, degradación de servicioLa Ciberseguridad cubre eventos diarios, la Ciberdefensa responde a campañas adversarias
Usuarios típicosEmpresas, gobiernos, banca, salud, industria, ciudadanosFuerzas Armadas, Inteligencia, Defensa, seguridad nacional, operadores de infraestructura críticaEn entornos críticos, la Ciberseguridad alimenta a la Ciberdefensa
Dominio doctrinalGestión de la seguridad de la información y seguridad tecnológicaDefensa activa, continuidad de misión, protección del espectro operativo y de la seguridad nacionalLa Ciberdefensa es más doctrinal y estratégica
EscalamientoNormalmente es interno o regulatorioPuede escalar a nivel Interagencial[21], militar o de seguridad nacionalLa Ciberdefensa entra en acción cuando el incidente tiene dimensión estratégica

Ambas se orientan a proteger activos mediante inteligencia de amenazas, segmentación, control de accesos y capacidad/velocidad de respuesta. Asimismo, ambas gestionan vulnerabilidades, endurecimiento de sistemas (hardening), monitoreo contínuo y maduración (mejoramiento constante) de procesos de respuesta a incidentes.

Pero mientras la Ciberseguridad se orienta a proteger sistemas mediante modelos de control y mitigación, la Ciberdefensa se orienta a combatir amenazas mediante no solo la denegación de acceso a sistemas por parte de adversarios para degradar capacidades de comando y control (C2), ISR, enlaces tácticos o logísticos, sino que formula y ejecuta acciones de respuesta en contra de cualquier actor cuyas acciones tengan impacto estratégico negativo. La Ciberseguridad y la Ciberdefensa son capas distintas de un mismo ecosistema de protección, y mientras la Ciberseguridad se encarga de reducir la exposición a un ataque, la Ciberdefensa actúa cuando la amenaza se materializa, sea volviéndose táctica o incluso estratégica.

LA ACTUAL ESTRATEGIA DE SEGURIDAD AMERICANA, LA SITUACIÓN ACTUAL EN EL CARIBE DESDE LA PERSPECTIVA DE LA CIBERDEFENSA

Ya nos hemos referido en otro artículo a la estrategia de seguridad estadounidense a lo largo de su historia en el Hemisferio Occidental, y las perspectivas geopolíticas de Estados Unidos frente a un posible conflicto mayor con China en los próximos años[22].  Además de ello, existe un panorama en la región latinoamericana, particularmente en el Caribe, sobre todo en Venezuela y Cuba, que constituyen una amenaza a los intereses estadounidenses, no solo por su pernicioso efecto en la región[23], sino porque en estos países se han organizado estructuras que promueven el crimen transnacional, principalmente narcotráfico. En el caso de Cuba, aparte de haber sido mentora política de regímenes socialistas en la región, y gran artífice de la red de soporte político en países como Venezuela, Nicaragua, Bolivia y, en los últimos años, Colombia, a través de la acción de su muy experimentado y disciplinado servicio de Inteligencia G2 que para algunos es uno de los mejores del planeta[24], con relevantes capacidades tanto en Inteligencia Humana (HUMINT), apoyado en una red robusta de inteligencia de señales (SIGINT) y escucha, principalmente en estaciones en la isla, donde están instalados electrónicos para interceptar y monitorear comunicaciones militares en el Caribe y en el sur de la Florida.  

La acción de los servicios de inteligencia cubano, chino y ruso no se circunscribe a interceptación y escucha, sino también a penetrar las redes de información y enlaces de datos tácticos de unidades desplegadas en una zona determinada (como la señalada en la nota sobre el ejercicio Southern Seas 2026), en donde las operaciones de una Fuerza de Tarea (Grupo de Ataque) corren a través de un red de sistemas y enlaces que son objetivo militar de potencias adversarias, por lo que es imperativo que exista una capacidad de respuesta acorde a la amenaza que supone la intervención de tecnologías avanzadas de hackeo y colección de información en uso por Servicios de Inteligencia. Es por ello que, cuando existe un ataque perpetrado por Estados rivales o por actores delegados (proxies) y cuyo objetivo tenga alcance estratégico (sea porque busque paralizar o inutilizar infraestructura crítica, destruir la confianza en las instituciones encargadas de la seguridad nacional o debilitar la capacidad de respuesta militar del Estado) ya la respuesta pasa a ser ejecutada por el sistema de Defensa del país (Ministerio de Defensa, Agencias de Inteligencia y Comandos de Ciberdefensa), con el uso de herramientas como sistemas de conciencia situacional y detección temprana avanzados (SIEM), software de aislamiento y redes definidas por software (SDN[25]), así como herramientas de atribución y respuesta en el espectro electromagnético (EMSO[26]), todas ellas avanzadas y de grado militar.

Esta situación plantea que cualquier escenario acorde a un esquema de seguridad y defensa cooperativo en el Hemisferio Occidental pasa por el alineamiento estratégico de los países de la región en asuntos de seguridad y Defensa, y siendo el Ciberespacio un dominio en el campo militar, es necesario que la cooperación militar vaya más allá de la asistencia en capacidades convencionales (sistemas de armas terrestres, navales y aéreos) y se incorpore en ella a la cooperación en Ciberdefensa y el aseguramiento de la soberanía digital a través de la interoperabilidad lógica, la misma que se obtiene estandarizando la criptografía, los protocolos de comunicación segura y las doctrinas de mitigación de ataques, bajo normativa del U.S. Cyber Command, instrumentos políticos diplomáticos como las designaciones de ciertos países como MNNA[27], y/o los marcos legales establecidos en instrumentos como la Alianza de las Américas para la Prosperidad Económica, para la correspondiente transferencia tecnológica y doctrinaria.

Queda trabajo por hacer en ese aspecto de la homologación de capacidades de Ciberdefensa en la región, la cual se debe realizar a través de cuatro caminos (fases):

  1. El establecimiento de Centros de Operaciones de Ciberdefensa – grado militar (SOC/CSIRT);
  2. La auditoría e identificación de “tecnología de riesgo” a través de la implementación de políticas Clean Networks;
  3. Garantizar la redundancia de la conectividad física, y
  4. Homologación doctrinaria en operativa, a través de la capacitación avanzada.

CONCLUSIONES

  1. La presente nota, tomando en cuenta los hechos relevantes que se vienen presentando en la zona del Caribe, con la presencia de potencias extrahemisféricas en la implementación de una red electrónica de escucha e interceptación de comunicaciones, así como las capacidades brindadas por el CSG 11 en su paso por la referida zona, nos lleva a presentar a la Ciberdefensa como un aspecto de la actividad del Sistema de Defensa, para salvaguardar la integridad de la red de datos, por ser de importancia estratégica;
  2. Que conforme se puede apreciar, el escenario de la competencia por la supremacía económica y político-militar entre las potencias rivales hoy en día (Estados Unidos y China) se ha trasladado al Asia-Pacífico, teniendo a América Latina como espacio estratégico, por su importancia en recursos naturales y por su cercanía al gigante norteamericano, lo que ha merecido la atención prioritaria por parte de aquellos;
  3. En la pugna por consolidar influencia en el Hemisferio Occidental[28], dichas potencias (incluyendo a Rusia, cuya vigente capacidad militar en ciberguerra e histórica presencia regional siguen siendo factores críticos) están realizando actividades ofensivas en el quinto dominio, por lo que revisar esta materia se hace indispensable;
  4. Que para comprender el alcance de este dominio (el Ciberespacio) y su importancia como instrumento de poder nacional y de influencia en la región, así como campo de acción militar, iremos analizando todos sus componentes, desde las estructuras físicas y lógicas de las redes de información, los desarrollos tecnológicos asociados a ella y la interoperabilidad entre agencias de Inteligencia, Comandos de Ciberdefensa, operadores militares en Guerra Electrónica en la región, por lo que entregaremos otras notas relacionadas al presente.

[1] Licenciado  en  Derecho, Gerente General de la Sociedad Comunicaciones para la Defensa y Seguridad, editora de la Revista Perú Defensa & Seguridad. Ha sido facilitador del Curso de Dirección Estratégica para la Defensa y Administración de Crisis (CEDEYAC), de la Escuela Superior de Guerra Naval de la Marina de Guerra del Perú, con estudios en el William J. Perry Center for Hemispheric Defense Studies – National Defense University (NDU), Washington, D.C.

[2] Carrier Strike Group 11, que viene a ser la Fuerza de Tarea liderada por el portaaviones CVN-68 USS Nimitz.

[3] La Dirección de Inteligencia de Cuba, también conocida popularmente como G2. Antes se denominaba DGI, Dirección General de Inteligencia.

[4] Programmable Logic Controller, que son los dispositivos que controlan las actividades u operaciones de máquinas industriales de manera cibernética, autónoma, donde la computadora se encarga de activar, desactivar, regular y controlar la operación de diversa maquinaria industrial.

[5] El concepto de dominios de actuación militar son entornos operativos diferenciados en los que las fuerzas armadas actúan (e interactúan), compiten y entablan combates con el objeto de alcanzar objetivos estratégicos. Generalmente se consideraban cuatro, que eran físicos (tierra – el más antiguo, mar, aire, espacio) y luego un quinto, el ciberespacio, que es un dominio artificial creado por el hombre. Por último, se está discutiendo la inclusión de un sexto dominio, el Cognitivo, en el que no se busca destruir la infraestructura del enemigo sino influir en su mente. A fin de tener una mejor comprensión se sugiere revisar materiales como el Joint Chief of Staff – Joint Publications 3.0 (Joint Campaigns and Operations), el Allied Joint Doctrine AJP-01 de la OTAN (NATO Standardization Office), el Pamphlet 525-3-1 (The U.S. Army in Multi-Domain Operations) del U.S. Army Training and Doctrine Command (TRADOC), así como artículos sobre la materia en Military Review (Army University Press – AUP).  

[6] Para esta el Ciberespacio es un teatro de operaciones militares, considerándolo el quinto dominio (junto a la tierra, el mar, el aire y el espacio).

[7] Dispositivos finales conectados a una red, como laptops, servidores, móviles, tablets o estaciones de trabajo. Son puntos de entrada comunes para ataques cibernéticos.

[8] Acrónimo de Tactics, Techniques and Procedures, en el que se describe cómo opera un actor determinado, en este caso un hacker o algún otro actor malicioso.

[9] Proceso de “endurecer” sistemas para reducir su superficie de ataque, como por ejemplo, deshabilitar servicios innecesarios, aplicar parches y reforzar configuraciones.

[10] Identity Access Management, o conjunto de controles para gestionar identidades, para autenticación, autorización y privilegios de acceso a sistemas.

[11] Endpoint Detection and Response, que es la tecnología que detecta actividad sospechosa en endpoints, investiga comportamiento de usuarios y ayuda a contener amenazas.

[12] Security Information and Event Management, plataforma que centraliza los logs y eventos de seguridad para correlacionarlos, analizarlos y generar alertas.

[13] Data Loss Prevention, que son controles y herramientas para evitar fugas, exfiltraciones o usos no autorizados de datos sensibles.

[14] Security Operations Center, o Centro de Operaciones de Seguridad donde se monitorean alertas, eventos y amenazas para detectar y responder incidentes.

[15] Computer Emergency Response Team, que es el equipo especializado en responder incidentes cibernéticos, coordinar las acciones de mitigación y emitir alertas o guías.

[16] Cyber Threat Intelligence, es Inteligencia sobre amenazas cibernéticas, mediante indicadores, campañas, TTP y motivaciones.

[17] Security Orchestration, Automation and Response, referida a la plataforma o aplicación que automatiza y orquesta los flujos de respuesta a incidentes y tareas de seguridad.

[18] Phising, técnica de engaño para robar credenciales o inducir acciones peligrosas mediante correos, mensajes o sitios falsos.

[19] Malware, software malicioso diseñado para dañar, espiar, cifrar, robar datos o tomar control de sistemas.

[20] Intelligence, Surveillance and Reconaissance, es el conjunto de actividades (operaciones militares) para recolectar inteligencia mediante vigilancia y reconocimiento.

[21] Dícese de la coordinación entre distintas agencias o instituciones, ej. de Inteligencia, Defensa, Policía, Aduanas, Cancillería, entre otras. En algunos países se le denomina intersectorial.

[22] Al respecto véase la nota La arquitectura de seguridad americana en su relación con el Perú – Reflexiones a raíz de una reunión reciente, en DefPol, publicado por Domingo Silva. Enlace: https://defpolwordpress.com/la-arquitectura-de-seguridad-americana-en-su-relacion-con-el-peru-reflexiones-a-partir-de-una-reunion-reciente/

[23] Es de público conocimiento que los regímenes socialistas establecidos en Cuba y Venezuela a lo largo de los últimos 30 años (y más de 65 años en el caso de Cuba) solo han traído a sus pueblos miseria económica y pérdida de libertades civiles y políticas, obligando a sus poblaciones a emigrar a diversos países del Hemisferio Occidental y otras partes del mundo, generando crisis migratorias en muchos países vecinos.

[24] Al respecto véase la nota ¿Se viene una tormenta perfecta? Comentarios respecto al ejercicio Southern Seas 2026 y su impacto geopolítico en la región, en DefPol, publicado por Domingo Silva. Enlace: https://defpolwordpress.com/se-viene-una-tormenta-perfecta-comentarios-respecto-al-ejercicio-southern-seas-2026-y-su-impacto-geopolitico-en-la-region/

[25] Software Defined Networking, arquitectura de red que transforma la gestión de las comunicaciones, al separar el plano de control (el proceso que define el tráfico de datos) del plano de reenvío de los mismos (routers y switches), entonces el tráfico ya no está amarrado a un switch y router específico, sino que toda el tráfico de la red está controlado por software, lo que permite más flexibilidad al manejar el tráfico, así si un switch y/o router es afectado por un ataque, el tráfico puede fluir a través de otros routers y switches, ya que el software se encarga de reconfigurar las rutas.

[26] Electromagnetic Spectrum Operations, doctrina militar y estratégica que consiste en la planificación, coordinación y ejecución de acciones para dominar el espacio electromagnético, donde se comprenden ondas de radio, señales satelitales, frecuencias de radar e Internet inalámbrico, siendo la fusión de dos disciplinas, la Guerra Electrónica y las Operaciones en el Ciberespacio (CO).

[27] Major Non NATO Ally, o Aliado Importante Extra (No) OTAN

[28] Véase al respecto La arquitectura de seguridad americana en su relación con el Perú – Reflexiones a raíz de una reunión reciente, en DefPol, publicado por Domingo Silva. Enlace: https://defpolwordpress.com/la-arquitectura-de-seguridad-americana-en-su-relacion-con-el-peru-reflexiones-a-partir-de-una-reunion-reciente/