“El mayor riesgo de la Inteligencia Artificial es no utilizarla, porque el enemigo sí lo va a hacer”

La pasión que el vicealmirante Javier Roca Rivero (Sevilla, 1966) transmite al hablar de su primer año de trabajo al frente del Mando Conjunto del Ciberespacio (MCCE) es contagiosa. A los tradicionales dominios en el mundo de la Defensa ―Tierra, Mar, Aire y Espacio―, hace años que se añadió el Ciber. Este tiene una particularidad: “Es el único que es creado por el ser humano”, explica Roca a EL PAÍS desde su despacho en la base militar de Retamares (Madrid). Y por tanto, es “imperfecto” y “tiene muchas vulnerabilidades”.

Una de las mayores debilidades a la hora de operar en este dominio es la cultura de la ciberseguridad en la propia sociedad española. O como a él le gusta llamar: “la ciberhigiene”, que es escasa. “Al calificarlo con la palabra ‘seguridad’ se da a entender que la responsabilidad de la misma está en el Ejército, en la Guardia Civil o en la Policía; y eso es un error gravísimo”, ilustra. “Si tú te encuentras mal, irás a un médico que te diagnostica y te dice lo que hay que hacer. Si le dices que fumas, bebes... el medico te dirá: ‘Cambia’. Pues esto es igual”, compara en relación al ámbito de la ciberdefensa. La responsabilidad (la cibersalud) de cada individuo es fundamental para que un país en su conjunto sea resiliente ante un ciberataque. Y es que en este dominio, a diferencia de los otros, es mucho más difícil defenderse que atacar.

Es precisamente esa ciberhigiene lo que preocupa al mayor mando de ciberdefensa en las Fuerzas Armadas. El vicealmirante advierte de que, pese a que España no ha vivido un “Pearl Harbour digital” como Estonia ―cuando en 2007 el Estado báltico quedó totalmente parado y bloqueado durante semanas a causa de un ciberataque de Rusia―, el país no tiene tan buena salud de protección en el ciberespacio como revelaba la edición de 2020 del Índice de Ciberseguridad Global de la Unión Internacional de Telecomunicaciones, que posicionaba a España en el quinto puesto por detrás de Estados Unidos, Reino Unido, Arabia Saudí y Estonia. A su juicio, la falta de concienciación de la ciudadanía situaría a España a mitad de la tabla. “Ni el quinto, ni el último. Estaría por la mitad”, resume, porque en esas clasificaciones no se tiene en cuenta el nivel de conciencia ni la capacidad de respuesta (la resiliencia). Para ello es necesario invertir en “start-ups nacionales de Defensa”, apunta, ya que mantener cierta autonomía estratégica es crucial en esta carrera.

Y como muestra, un botón: la Inteligencia Artificial (IA). “Lo más importante es ser conscientes de lo que es. La gente piensa que es una herramienta, una tecnología. Pero la IA es comparable al descubrimiento del fuego”. “¿Es peligroso? Pues si pones la mano a lo mejor sí, pero si no hubiera fuego no podríamos comer. Luego, [gracias a él, llegó] la máquina de vapor y el tren”, exclama con la emoción de que en su ámbito, el de la ciberdefensa, está todo por hacer.

“La IA tiene riesgos, pero grandísimas oportunidades. Y el mayor riesgo es no utilizarla porque el enemigo sí lo va a hacer”, advierte. De hecho, en un reciente documento del Instituto Español de Estudios Estratégicos (IEEE), el coronel del Ejército de Tierra José Pardo de Santayana asegura que “la IA desempeñará un papel cada vez más importante en la pugna militar”.

Los enemigos

Esos enemigos ―o “los malos”, como suelen referirse los militares de manera más informal― son infinitos, aunque Roca los acota en base a unas declaraciones del director general del MI5 (los servicios de inteligencia británicos), Ken McCallum, que afirmó que la mayoría de ciberataques vienen de cuatro lugares muy concretos: Rusia, China, Corea del Norte e Irán.

La atribución, sin embargo, no siempre es fácil, y ni mucho menos rápida. Por eso, señalar al responsable de un ciberataque es un “acto político”, dice Roca. Cuando una agresión en este dominio se produce “de forma continuada” y causa “los mismos efectos que un ataque [convencional] armado”, los aliados de la OTAN podrían invocar el artículo 5 del tratado de la Alianza Atlántica que activa la defensa mutua. “Al final, lo importante son los efectos [en la población]”, apostilla.

Roca explica que “todos los días” hay ciberataques en España. “Los hacen máquinas. Escanean el ciberespacio donde todos estamos conectados”. Explica que, en general, existen dos tipos de agresiones: la primera, y menos preocupante para las Fuerzas Armadas, son los ataques en los que te roban a nivel individual. “Eso es lo más probable, pero lo que preocupa menos”, insiste. Y luego está el ataque para robar información sensible que más tarde se monetiza. “Por ejemplo, en las Fuerzas Armadas hay muchas cosas que son confidenciales como el despliegue de las operaciones, cuánta gente hay, cuánto armamento, cuánta munición... Esa información es vendible. El malo lo pone a la venta y ni siquiera sabe quién lo compra”.

A lo anterior, prosigue el vicealmirante, se le añade la extorsión. “El enemigo cifra información y no la libera hasta que no se pague. Y nosotros [España] no vamos a pagar, el Estado no puede pagar”. Tras unos segundos de silencio, sentencia: “Estos son los realmente malos”.