Desde que los estados han decidido convertir Internet en el Quinto Escenario de Confrontación, la Ciberdefensa se ha convertido en una necesidad de todos los seres humanos y sus organizaciones. Eso demanda trabajadores que todavía no está muy claro cómo hay que formarlos, como tampoco está claro si los sistemas educativos actuales podrán hacerlo. Dado que tendremos que “ciber-movernos” en un escenario de confrontación continua, porque así lo deciden los poderosos, conviene que vayamos pensando cómo vamos a organizarnos.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

El modelo décimonónico

Desde que a principios del siglo XXI George W. Bush ordenó en secreto ² iniciar el desarrollo de armas cibernéticas ³ y que luego, también en secreto, Obama las utilizara con profusión ⁴, está claro que ya no hay razones para creer todo lo que hay en un sistema de información y más difícil aún es creer que exista la intimidad en Internet.

Con el descubrimiento de Stuxnet ⁵, Duqu ⁶, Flame ⁷, Wiper ⁸, Shamoon ⁹, etc., ya no hay duda de que los estados han inaugurado “el quinto espacio de conflicto”, siguiendo terminología castrense, y todo lo nuestro está en él.

Dos visiones del hacker

Las sociedades occidentales tienen a la informática y sus redes de comunicación como un elemento esencial en todas sus dimensiones: económica, social, sanitaria, educativa, cultural, ociosa, etc., y que ella se convierta en un campo de batalla es algo que debería preocuparnos muy en serio.

El modelo decimonónico de estado, su sistema legal y sus fuerzas de seguridad, no son capaces de proteger a sus ciudadanos y a las empresas, por lo que una parte muy importante de esa defensa va a tener que ser asumida (al menos por el momento), por los propios ciudadanos y por las empresas.

Esta defensa casa por casa, puerta por puerta, palmo a palmo va a necesitar de un gran número de trabajadores, de profesionales que se encarguen de minimizar los efectos de ese escenario bélico en las actividades cotidianas de sus empresas y menesteres.

Por ello podríamos decir que aquella decisión de George W. Bush ha dado luz a una nueva profesión de consultores de seguridad que habrá de formarse con temarios e instituciones todavía no definidos. De hecho, todavía hoy es pronto, y por ello difícil, para decir qué es lo que deben saber esos profesionales, cómo se les debe entrenar, e incluso, cuál debe ser el salario por sus servicios.

En todas las sociedades occidentales avanzadas, la formación de sus ciudadanos, y por ende de sus trabajadores, es una misión asignada a sus sistemas educativos. Dichos sistemas tienen varios niveles que se van superando secuencialmente y que terminan en la enseñanza Universitaria o en la Formación Profesional; la primera es el menester de la Universidad, la segunda de los Centros de Formación Profesional, y ambos están en manos de las Comunidades Autónomas.

Desde la puesta en marcha del Proceso de Bolonia ¹⁰, la educación universitaria española ha sido puesta a los pies de los caballos por una supuesta necesidad de las empresas nacionales. Con esta redición, el efecto neto es que la calidad de ese tejido industrial lastra y limita por encima la calidad de nuestra educación, de nuestros ciudadanos y, por qué no decirlo, de nuestra democracia.

La inmediatez y la ceguera estratégica

De hecho, el gobierno actual persigue consolidar y acelerar un presunto cambio de tendencia en el mercado laboral de los jóvenes, que dicen acaeció en 2013, y ha decidido incluir dentro del sistema educativo “contratos de formación” de jóvenes para que realicen su aprendizaje directamente en la empresa. De hecho, son cada día más los “créditos” que el sistema de enseñanza pública ofrece para ser cursados en empresas y así inundar de “becarios sin beca” y a granel nuestro sistema productivo.

El tipo de aprendizaje que se puede obtener en el banco de trabajo de una empresa y el que es necesario para formar a un trabajador que haya de cotizar más de 40 años de vida laboral, no coinciden en absoluto. La inmediatez y la ceguera estratégica de la inmensa mayoría de las industrias y empresas, no permiten invertir en recursos humanos, incluso aunque los directivos no se cansen de repetir en público, como una manida letanía, que sus verdaderos activos son sus trabajadores. La verdad es que las empresas españolas no entienden de trabajadores y poco pueden o quieren hacer para su formación.

El otro personaje en el tablero es la Universidad que como cualquier otra organización de nuestra sociedad, está más preocupada por lo que hace, que por lo que tendrá que hacer en el futuro. Esto es especialmente cierto sobre todo ahora, con recursos muy escasos que sirven para acentuar actitudes corporativas defensivas, orientadas ante todo a garantizar la propia supervivencia del gremio docente. Nuestra sociedad, como un todo y en cada una de sus partes, tiene una fuerte tendencia conservadora y localista que le impide ver otros caminos más enriquecedores y, sin duda, más interesantes que los que ha seguido y sigue.

Una peculiaridad muy sobresaliente y necesaria de la Educación es que sus efectos siempre se ven 25 ó 30 años después, cuando ya es muy tarde para todo. Es este intenso carácter “diferido” lo que permite que muchos actores en el presente tomen decisiones erróneas con el convencimiento de que nada ni nadie les vendrán, después de tanto tiempo, a pedir cuentas. ¿Quién se acuerda de quién era el ministro de educación hace 30 años ¹¹ y de lo que hizo?

Al menos hasta la fecha, España no ha hecho mucho caso a la informatización y menos aún a su seguridad. Si nos centramos en la revolución informática, Internet y todo lo “Ciber”, España ha estado por detrás de sus vecinos geopolíticos en cuanto a informatización y disfrute de las redes de comunicaciones. Quizá este retraso pueda estar corrigiéndose, pero todavía queda trecho para llegar a los niveles que hay en el norte de Europa.

La seguridad e inseguridad de los sistemas informáticos está ya escrita en los códigos que dan alma a esos mismos sistemas y artefactos. Los errores o las capacidades no documentadas, olvidadas o puestas ahí por alguien en secreto, constituyen la materia prima de todo lo que hoy denominamos riesgo cibernético. Los intereses de quien descubra cada uno de esos errores o fallos determinan cuál va a ser el efecto de un error de programación y/o diseño en nuestras vidas; cada día que pasa será más difícil (e inútil) catalogar a los agentes entre “buenos y malos”.

Sufrir la infórmatica

La sociedad que sufre a la informática (¡no todo iban a ser beneficios!) va muy por detrás de lo que en Internet y en futuras redes (IoT ¹², PAN ¹³, WBAN ¹⁴, etc.) se podrá hacer, por lo que en ese “quinto espacio de conflicto” las reglas del juego serán implícitas y no se ajustarán a lo que llamamos Ordenamiento Legal y Justicia. La democracia y los derechos civiles realmente nunca llegarán a Internet.

Aunque el “quinto espacio” se organice como los sistemas feudales ¹⁵ establecidos en Europa entre las caídas del Imperio Romano de Occidente ¹⁶ (476) y más tarde el de Oriente ¹⁷ (1453), serán necesarios soldados, herreros y forjadores, constructores de fortalezas, canteros y masones constructores de catedrales. ¿Quién formará estas fuerzas?

Un escenario restringido y particular

Al estar toda la inseguridad de los sistemas informáticos escrita dentro de ellos mismos, realmente, esto de la Ciberseguridad no requiere de conceptos abstractos ni de axiomática alguna, por lo que quizás sea un error verla ubicada dentro de la formación Universitaria. El malware es software que se diseña dentro de un escenario muy restringido y particular. La informática tiene como límite la imaginación de sus ingenieros, pero los fabricantes del malware tienen las manos muy atadas por el sistema operativo en el que deban trabajar, por la naturaleza de la máquina que necesitan identificar, por la configuración concreta que esta tenga, etc.

Dentro del esqueleto general del malware, por ejemplo, los métodos de infección actualmente disponibles y más utilizados son pocos y muy concretos: 1) el spear phishing con documento ejecutable asociado (PDF, ZIP, Word, Excel, etc.), 2) conexión a URL contaminada con malware java script al acecho, 3) pen drives USB contaminados (Autorun, BadUSB 18, etc.), 4) fallos no documentados en servicios y servidores, y 5) fallos en servicios y protocolos de red.

Si necesitamos formar a un trabajador que se mueva con facilidad cerrando, buscando o abriendo puertas de entrada como las mencionadas, tendría que estudiarse hasta el último detalle de todos los productos, lenguajes, aplicaciones, protocolos y servicios que hemos mencionado, y con ello ya tendría una gran tarea. La formación de ese trabajador sería especialmente específica y tan cambiante como cambiantes sean las tecnologías operando en Internet.

No se puede negar que todavía se encuentran muchos exploits ¹⁹ operando mediante desbordamientos de memoria (buffer overflow ²⁰), algo que ha estado ahí desde el mismo origen de la Informática y que tiene mucho que ver con la escasa seguridad/calidad de algunas programaciones. Sin embargo el número de ejemplos tan universales y pertinaces como el de buffer overflowes es muy reducido.

Un enfoque en colisión

Esta especificidad de la ciberseguridad entra en colisión con el enfoque formativo universalista de la Universidad y es más propia de la Formación Profesional o “vocational education” ²¹ como la denominan los angloparlantes.

Es cierto que antes de meterse en materia concreta, siempre es bueno tener un conocimiento generalista y con perspectiva de todo el escenario en el que uno se va a mover. Aunque nuestro futuro sea batirnos en las trincheras, nunca viene mal ver desde el aire el campo de batalla y, si es posible, leer todos artículos que hablen del conflicto para saber qué está pasando.

Por ello, la formación básica del “ciberconsultor” debe ser la que las Universidades dan a sus mejores ingenieros informáticos pero, después del Grado, en lugar de pretender ascender en abstracción y axiomáticas netamente academicistas, lo que hay que hacer es comenzar un entrenamiento intenso siguiendo el enfoque de la Formación Profesional. Los Másteres en Ciberseguridad no deberían ser universitarios (otra cosa es que se desarrollen en Universidades, lo cual sería ambientalmente muy conveniente para ellos), sino que deben parecerse más bien a los planes de estudios de Artes y Oficios.

Una formación continua

A diferencia de otras, la formación del ciberconsultor es realmente continua; de hecho, nunca debería terminar saliendo de esos ciclos formativos posteriores al Grado en Informática. Lo difícil de este reto es organizarlo todo de modo que se compatibilice eficazmente el trabajo como ciberconsultor, y su formación como tal.

Lo que también está muy claro es que esta formación en ciberseguridad no se puede conseguir en las empresas, ni siquiera en aquellas muy curtidas en gestión de incidentes informáticos (que siempre han perdido). La Ciberdefensa tiene un objetivo formativo en sí mismo y va asociado con el mero hecho de usar sistemas informáticos y de información, y nada tiene que ver con “el Negocio” de ninguna otra actividad empresarial.

La especificidad en el saber hacer de sus trabajadores otorga a la Ciberdefensa de una volatilidad tan solo comparable con la de la juventud y la inocencia.

Documento en PDF