El pasado lunes 17 de junio dio comienzo Ciberwall, un congreso de seguridad digital y ciber-inteligencia en la Escuela de Policía de Ávila organizado por el centro gracias a profesores con visión de futuro como Casimiro Nevado, junto al Instituto de Ciencias Forenses y de la Seguridad de la Universidad Autónoma de Madrid. Quizás el mejor lugar para formarse en estudios de inteligencia, de hecho, ya forman a instituciones en estudios de inteligencia y también han desarrollado proyectos con la Secretaría de Estado de Seguridad.
Las ponencias son muchas y no se puede ir a todas. El primer día acudí a tres, la primera estaba orientada a FCS y en ella se vieron algunos fundamentos básicos sobre cómo planificar una captación de inteligencia en fuentes humanas a través de fuentes abiertas, concretamente a través de redes sociales, lo que se conoce como el agente encubierto digital. La planificación no difiere de la planificación para una captación de información sobre el terreno, se diferenció la fase de inteligencia de la fase de investigación y de cómo la segunda depende de la primera, se presentaron técnicas estructuradas para el análisis de inteligencia o dicho de otro modo, aprender a pensar a través de modelos que permitan incluir variables múltiples y organizar la información para no dejar cabos sueltos. Esto era análisis de inteligencia clásico o lo que yo llamo “inteligencia humana”, la que se basa en un analista que sabe organizar una búsqueda de datos para no “dar palos de ciego”. Esta actividad no tiene nada que ver con cuestiones complejas ni elitistas, aunque algunos alberguen esa creencia, organizar una investigación lo hacen estudiantes universitarios a diario para sus trabajos académicos sin pedir permiso a nadie y a menudo con excelentes resultados. El de agente encubierto digital es un trabajo que adolescentes sin percepción del riesgo podrían hacer con relativo éxito.
La segunda ponencia fue más técnica, la impartió Yago Hansen, hacker prestigioso que imparte formación a servicios de inteligencia y fuerzas de seguridad especialmente extranjeros, su ponencia fue sobre herramientas de hardware para hacking, tema sobre el que habla en su libro sobre dispositivos para el hacking. Expuso las herramientas más empleadas para acceder a redes de internet de las que extraer información de las comunicaciones, gracias a personas como él nuestras comunicaciones no están seguras, lo que hagan con nuestros datos es otra cosa.
Lo más empleado eran herramientas como ordenadores de mano, básicamente una placa base con un procesador y puertos de entrada/salida a la que conectas una batería, periféricos como una pantalla táctil, teclado, tarjetas de memoria o disco duro externo con programas ejecutables y tienes un ordenador. Los más conocidos para iniciarse son los Raspberrypi. Algo complicado si te has limitado a aprender verdades oficiales para hacer exámenes tipo test, algo fácil si tienes la mente abierta porque se trata de herramientas para que los niños puedan construir autómatas.
Yago Hansen también mencionó las diferencias entre los red team y los pen testers, los primeros se ponen en la mente del enemigo, asumen el rol de un grupo criminal ajeno a la organización cuyo sistema de información o instalación pretenden vulnerar, no tienen obligación de respetar las leyes y forman parte de la organización que les permite trabajar para detectar debilidades, explotarlas y comunicarlas, por lo que tampoco serán denunciados por cometer maldades. Los pen-testers hacen tests de penetración desde dentro del sistema siguiendo unos códigos legales, no superan líneas rojas. Ambos forman parte de las organizaciones y vamos a dar por hecho que ya existen en los cuerpos policiales, si no existirán tampoco podríamos decirlo.
Los equipos rojos desempeñan un trabajo más propio de los servicios de inteligencia, que les permite emular a organizaciones y crear empresas tapadera como hacía el Comisario Villarejo, infiltrar a individuos con motivaciones aparentes con el fin de producir ataques sobre el sistema y denunciar esas vulnerabilidades a la dirección para que tome decisiones políticas. Otras labores que podría realizar un red team, son infiltraciones en organizaciones o crear organizaciones independientes, tales como movimientos sociales o sindicatos.
La tercera ponencia fue del red team de Caixa Bank, dejaron claro que el factor humano en las organizaciones es siempre el más vulnerable, el que permite introducir todos los vectores de ataque. La estupidez humana, la confianza, el afán de notoriedad, el orgullo, la soberbia o el miedo; la ira, la avaricia, la lujuria, la fobia, el amor o el odio; las distorsiones cognitivas o sesgos que distancian la realidad de cómo la percibimos; la falta de autocontrol, la respuesta al estrés, la aversión a la incertidumbre o la empatía; todas son variables psicológicas que se traducen en comportamientos y pueden ser explotadas por un equipo rojo.
Comentaron de qué manera los red team llevan muchos años compitiendo frente a los blue team dentro de las fuerzas armadas y están en ebullición en el sector privado, especialmente en el sector financiero. Mientras que los blue team forman parte de la dirección y protegen lalas organizaciones desde la dirección, los red team además las protegen de manera ascendente, haciéndolas mejorar para que sean más fuertes.
Hay tres conclusiones principales después de estas tres ponencias:
Primero, no se puede desarrollar la inteligencia artificial ni las habilidades técnicas que dependen del hardware si primero no se ha trabajado la inteligencia clásica, dicho de otro modo, no se puede enseñar a usar máquinas a quien no ha aprendido a pensar de modo crítico y no conoce como funciona su mente ni la de los demás. Las motivaciones son la clave.
Segundo, la seguridad digital y la ciber-inteligencia van un paso más allá de la inteligencia clásica, los sistemas de información son una proyección de la mente humana. No es posible explicar cuestiones tecnológicas a quien se ha limitado a memorizar temarios como se hace en los cuerpos de seguridad para acceder y para ascender. La obediencia puntúa a la baja cuando hablamos de inteligencia.
Tercero, para que los cuerpos de policía sean al mismo tiempo “fuerzas e inteligencias” y no solo “fuerzas de seguridad”, es necesario desarrollar una cultura de inteligencia partiendo desde la base, empezando por los datos que manejamos cada día en el contexto de las operaciones cotidianas. Para ir ascendiendo hasta desarrollar capacidades tecnológicas, las capacidades que se desarrollan desde la cúpula hacia la base condenan a los más capacitados a la mediocridad y a recurrir a otras organizaciones en las que puedan progresar, a menudo se pierde talento en beneficio del sector privado. La inteligencia ha de servir a los decisores y todo el mundo es decisor, cambian el nivel de decisión, los plazos y los escenarios. No se puede comenzar la casa por el tejado.
Apostar por el factor humano y por desarrollar las capacidades de inteligencia tanto a nivel humano como tecnológico están entre las apuestas del modelo policial de Una Policía para el Siglo XXI. Es una apuesta que se adapta a los nuevos policías, nacidos en los años 90 durante la burbuja de las “punto com”, que son nativos digitales y también se adapta a los nuevos tiempos, que da miedo a los que forman parte del equipo azul, difícil de explicar a quienes se hicieron policía con Franco o durante la transición y les fue bien, la mayoría con perfiles jurídicos más que humanistas o tecnológicos. “Cuándo todo va bien así, mejor dejarlo como está”, esto lo hemos oído todos.
Muchos del equipo azul perciben como amenaza todo aquello que se escapa a su conocimiento y a su control, no saben qué es un equipo rojo, no piensan que forme parte de la misma organización y tampoco les interesa, el conocimiento es traición, creen que el derecho lo abarca todo y lo que no está regulado, directamente es ilegal (miedo a lo desconocido). Si fuera por el equipo azul no habría equiparación salarial.
Explicar nuestro modelo policial y que se entienda es una tarea dura y por eso estamos aquí, Una Policía para el Siglo XXI es el equipo rojo. 2019 es el primer año de Ciberwall y está siendo un éxito, pero nada comparado con futuras ediciones. La Secretaria de Estado de Seguridad dijo en la presentación que la ciberseguridad es una materia estratégica para el Gobierno, la invitamos a que se lea nuestras propuestas.
Juan Pablo de Anca Cuesta.
– Subinspector de policía.
– Grado en relaciones internacionales en inglés (URJC)
– Experto en análisis de inteligencia (UAM)
– Máster en dirección de sistemas de información (USAL)
– Coordinador de una policía para el siglo XXI.