El Poder Ejecutivo solicitó al Parlamento autorizar el ingreso al país de “un equipo de expertos en ciberdefensa de los Estados Unidos de América” para la realización, en los primeros días de diciembre, del ejercicio de simulación Ciber UY 2025. La iniciativa, organizada por el Ministerio de Defensa Nacional (MDN), a través de la Dirección General de Política de Defensa y el Estado Mayor de la Defensa (Esmade), es apoyada por el Comando Sur de Estados Unidos y la Guardia Nacional de Connecticut, y contará con Antel como socio logístico.
En concreto, el Poder Ejecutivo solicitó el ingreso de cinco militares de la Guardia Nacional de Connecticut y un integrante del Comando Sur. La directora general de Política de Defensa del MDN, Nadia Almeida, indicó a la diaria que el integrante del Comando Sur es un representante civil del área de ciberseguridad.
El comando de ciberseguridad de la Guardia Nacional de Connecticut realiza anualmente el ejercicio Cyber Yankee, en el cual, mediante una plataforma denominada Cyber Range, “se simula un ataque cibernético a una infraestructura crítica del Estado”, según se señala en la explicación de motivos del proyecto de ley remitido por el Poder Ejecutivo.
La nota, dirigida a la presidenta de la Asamblea General, la vicepresidenta Carolina Cosse, es en cumplimiento del artículo 85 de la Constitución de la República, que establece que el Parlamento deberá permitir el ingreso al país de tropas extranjeras. Está previsto que el ejercicio de simulación se lleve a cabo entre el 8 y el 12 de diciembre.
El responsable del área de ciberdefensa del Esmade, el capitán de navío Claudio López, explicó a la diaria que en Occidente “hay dos grandes ejercicios” en materia de ciberdefensa: el Locked Shields, que es organizado por la Organización del Tratado del Atlántico Norte (OTAN), y el Cyber Yankee, “que es el ejercicio interno que hace Estados Unidos”.
Este año se cumplieron 25 años del Programa de Asociación Estatal entre la Guardia Nacional de Connecticut y Uruguay. López señaló que las guardias nacionales de Estados Unidos responden a emergencias internas, por lo cual, “si mañana hay un ciberataque grande en Estados Unidos, responde la Guardia Nacional”. Agregó que la Guardia de Connecticut es una de las más avanzadas en materia de ciberseguridad.
En mayo del año pasado, el ejercicio de simulación se realizó por primera vez con invitados internacionales, y Uruguay participó como representante de América del Sur. Junto con el teniente primero Marcelo Camacho, López participó en dicha edición, en la que se planteó la posibilidad de realizar el ejercicio en Uruguay.
“Uno de los principales objetivos que tiene esta actividad es medir la capacidad estatal de respuesta y de coordinación, frente a un evento de grandes características”, se señala en el texto enviado por el gobierno. Además de personal militar, participarán técnicos uruguayos de varios entes y ministerios. En tanto, Antel brindará la infraestructura necesaria y la locación para llevar a cabo el ejercicio.
“Es algo muy innovador porque se va a juntar lo civil y lo militar en este tema para medir experiencias, capacidades e intercambiar”, apuntó Almeida. La directora general de Política de Defensa dijo que el objetivo “es que sea el inicio para empezar a trabajar juntos en lo que refiere a la ciberseguridad”.
Por su parte, López explicó que en Uruguay la responsabilidad en torno a la defensa cibernética “es una cuestión dividida”. “El Ministerio del Interior tiene toda la parte de lo que es el ciberdelito y la Agesic [Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento] toda la parte de gestión y normativa, pero la parte de defensa cibernética la tenemos nosotros”, señaló, en referencia a las Fuerzas Armadas.
El capitán de navío señaló que el plan a futuro es generar la capacidad de, frente a un ataque grave, “tener un comando unificado en el que vayamos todos a operar de manera conjunta”. López añadió que “lo más factible” es que este ejercicio de simulación se continúe realizando los próximos años.
Los detalles del ejercicio
En la solicitud de autorización, el Poder Ejecutivo aclaró que el ejercicio “no afectará los sistemas estatales, ya que la simulación se realizará en el marco de un sistema donde se creará específicamente una infraestructura crítica ficticia para el desarrollo del ejercicio”.
López explicó que la plataforma Cyber Range es un equipo que simula una red y “todo el ataque se hace dentro de esa máquina”. El programa que se utilizará en el ejercicio pertenece al Departamento de Defensa de Estados Unidos; el equipo estadounidense “viene a liderar los distintos grupos que participan en ese ejercicio”, señaló.
El ejercicio consta de tres equipos: un equipo que simula ser atacante, denominado Red Team, que estará conformado por “tres uruguayos y un estadounidense que los va a guiar”; otro equipo, Blue Team, que se defiende de los ataques; y un tercer equipo, White Team, que dirige el evento.
El Poder Ejecutivo cursó una solicitud de venia al Parlamento para que seis militares de Estados Unidos realicen en nuestro país el ejercicio cibernético simulado Cyber UY 2025, entre el 8 y el 12 de diciembre próximo. El asunto parece haber pasado por debajo del radar de las autoridades ministeriales. El riesgo de que ocurra lo mismo con los legisladores, en pleno debate presupuestal, es significativo.
La iniciativa es un ejemplo de aplicación de la doctrina de la seguridad nacional: el enemigo está adentro y el aliado, afuera, tal como lo recordó el historiador Carlos Demasi, en un reciente seminario por los 50 años del Plan Cóndor.
Uruguay cuenta con una plataforma cibernética similar a la que proponen los militares de Estados Unidos para la simulación, creada y operada por la Facultad de Ingeniería, de la Universidad de la República (Udelar).
Aunque en el texto enviado al Parlamento se evita mencionar qué institución será la contraparte local de la actividad, todo indica que la simulación contribuye de forma oblicua a la aspiración del Comando Sur de acceder a la «tutoría» y al acceso de elementos clave de los sistemas informáticos de entes y ministerios que, salvo ANTEL, no se identifican.
La ciberseguridad de las entidades públicas constituye un patrimonio demasiado relevante para cederlo graciosamente. Su manejo permite controlar o desbaratar al Estado y, por extensión, al conjunto de la sociedad.
Un contexto regional convulso
La ley de la selva impera en el mundo. Estados Unidos se repliega para afirmar su dominación en América Latina, región desde la que construyó su imperio mundial en el siglo XX. Concentra en la actualidad fuerzas militares en el Caribe solo comparables a las reunidas en 1962, durante la crisis de los misiles. La IV Flota del Comando Sur, con la inminente incorporación del portaaviones Gerald Ford, reúne unidades navales más poderosas que el Mando Europeo o el Comando Central.
Estados Unidos amenaza con invadir Venezuela. El presidente Donald Trump, sin aportar pruebas, definió dos mandatarios sudamericanos como narcotraficantes, amenazó con ataques selectivos contra Caracas y llevó a cabo al menos 66 ejecuciones extrajudiciales en las costas de la región.
Mucho más cerca, en Argentina, está en marcha una operación política de consecuencias impredecibles. Estados Unidos, convocado por las genuflexiones del presidente Javier Milei, se apropió de la conducción económico-financiera del país y, según declaró Trump, va en camino de hacer lo propio con sus recursos naturales. Brasil, en tanto, debió enfrentar la pretensión estadounidense de torcer la decisión judicial de procesar a Bolsonaro.
No es razonable que Uruguay actúe como si nada sucediera.
Demasiada opacidad
Es llamativo el exiguo plazo que se da al Parlamento para tramitar la venia, pues la urgencia no se justifica. La iniciativa, según el mensaje del Ejecutivo, data de mayo de 2024, durante el ejercicio de simulación Cyber Yankee que, contrariamente a lo que sugiere el documento, se realizó en Massachusetts y no fue organizado por la Guardia Nacional de Connecticut (GNC), que, desde 2020, no organiza esos ejercicios anuales.
Otro elemento de opacidad es que no se detalla fecha de ingreso ni de salida del país de los militares extranjeros, según mandata la Constitución. El texto tampoco explicita que el ejercicio, en realidad, es gestionado por el Comando Sur e integra el Programa de Colaboración Estatal del Pentágono (SPP, por sus siglas en inglés). Según aseguró en 2021 el mayor Steven Ortiz, director del programa en la GNC, el SPP «fortalece el acceso y la influencia de Estados Unidos, mientras incrementa la preparación de las fuerzas asociadas para enfrentar los desafíos emergentes».
Por otro lado, el mensaje que remitió el Poder Ejecutivo al Parlamento describe a Cyber Range como «un entorno virtual simulado diseñado para capacitación, pruebas e investigación de ciberseguridad» y afirma que a través de esa plataforma se simula un ataque cibernético a una infraestructura crítica del Estado. Esta plataforma es ofrecida por diversas empresas comerciales. Sin embargo, en Uruguay, la Facultad de Ingeniería, pública, liderando un grupo de trabajo integrado por 13 universidades, desarrolló una «Cyber Range» propia, que está operativa desde 2023. Su objetivo, según la institución, «va más allá del entrenamiento inmediato de estudiantes y profesores» y «se está avanzando en la creación de una infraestructura propia y en el desarrollo de capacidades tecnológicas en las universidades participantes», para «optimizar recursos y potenciar las capacidades en ciberseguridad de la región». ¿Por qué no se usa la plataforma de la Udelar?
ANTEL a disposición
La afirmación del mensaje enviado al Parlamento acerca de que «se creará una infraestructura crítica ficticia» resulta, al menos, dudosa. ¿Qué supone el rol de «partener» [sic] asignado a ANTEL por el Ejecutivo?
Conviene tomar como referencia el ejercicio Cyber Yankee, organizado por la GNC en 2020. En su página web, la entidad informa que «el objetivo del ejercicio para los militares es entrenarse para interactuar con un recurso crítico del Estado, mediante un socio de misión (mission partner)». Ello muestra que lo de «ficticio» alude al ataque y no a la infraestructura crítica que se simula defender. También echa luz sobre el verdadero significado del rol de «partener» que el mensaje del Poder Ejecutivo asigna a ANTEL, que parece ser la infraestructura crítica atacada en la simulación (el ejercicio consiste en equipos de estadounidenses y uruguayos que simulan atacar y defender una infraestructura crítica del Estado).
La Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), dependiente de la Presidencia, es la institución rectora del ámbito de la ciberseguridad en el país. Sin embargo, resulta ignorada por el Ejecutivo.
Finalmente, hay que recordar que el Ministerio de Defensa Nacional (MDN) y las Fuerzas Armadas deberían ceñirse a las normas legales. El MDN, que aparece sugerido en el texto como «huésped» de la simulación, no tiene la seguridad informática del Estado entre sus cometidos. En tanto, la ley 19.775 (artículos 8 al 13) establece que «el ámbito espacial del Estado incluye al ciberespacio y al espectro electromagnético», pero no otorga «jurisdicción» en ellas a las Fuerzas Armadas. En tanto, entre las tareas subsidiarias de los militares se incluye la de «contribuir a la defensa y seguridad cibernética del Estado y del espectro electromagnético en coordinación con otros organismos» (artículo 22, inciso c.). Ello no ampara el rol que, pese a que no está explícito, parece asignarles el Ejecutivo.
Concluyendo: el vacío tiende a ser inmediatamente ocupado. Como lo establecen los artículos 78 al 84 de la ley 20.212 y el reciente decreto 66/025, parece necesario que la Agesic asuma un papel mucho más activo en su ámbito de actuación.
0 comentarios:
Publicar un comentario
No ponga reclame, será borrado