Està preparada Catalunya per a la ciberguerra?
28/01/2014Publicat a: Vilaweb
El 14 d'abril de 1931 Francesc Macià (http://ca.wikipedia.org/wiki/Francesc_Macià) proclamava la República Catalana. Cinc anys després, el 1936, militars espanyols iniciaven una guerra, la Guerra Civil (http://ca.wikipedia.org/wiki/Guerra_Civil_Espanyola), on seria vital l'ús de les més modernes armes, entre elles l'aviació. Avui, la independència de Catalunya es veu molt aprop, l'exèrcit espanyol torna a estar nerviós i la més novedosa arma de la milícia és Internet. Està preparada Catalunya, aquesta vegada?
El grup hacktivista Anonymous (http://ca.wikipedia.org/wiki/Anonymous_(comunitat)) filtrava l'octubre i novembre passats a la premsa, twitter i polítics catalans un munt de documents confidencials (http://www.vilaweb.cat/noticia/4152493/20131028/anonymous-publica-informes-seguiment-dinternet-mossos-desquadra.html) que assegurava haber robat de l'ordinador de Xavier Panadero, gerent del Centre de Seguretat de la Informació de Catalunya (CESICAT http://www.cesicat.cat), l'únic organisme dedicat a la ciberseguretat catalana.
Segons explicava Anonymous, en un text publicat a Internet (http://pastie.org/pastes/8439618/text), van poder entrar a l'ordinador de Panadero a través d'un forat de seguretat desconegut fins aquell moment. Aquests forats s'anomenen "0days" ("dia 0" http://es.wikipedia.org/wiki/Ataque_de_día_cero) perquè els seus descobridors no els han fet públics i molt sovint els venen al mercat negre. Per cert que els principals compradors de "0days" són els governs. (http://securityaffairs.co/wordpress/14561/malware/zero-day-market-governments-main-buyers.html)
Anonymous denunciava també que l'ordinador atacat no era del CESICAT sino l'ordinador personal de Panadero: "Preocupa que es guardi aquest mena d'informació amb tanta lleugeresa". La informació robada eren informes sobre l'activitat pública d'activistes, polítics i periodistes (http://blocs.mesvilaweb.cat/node/view/id/253815/), que el CESICAT recopilava seguint ordres del Mossos d'Esquadra. L'escàndol va ser considerable i va obligar el conseller Felip Puig a donar explicacions al Parlament. (http://www.lavanguardia.com/politica/20140124/54399504273/felip-puig-admite-cesicat-seguimiento-personas-peticion-mossos.html)
Des del Centre d'Estudis Estratègics de Catalunya (http://www.ceec.cat) qualifiquen l'incident con "una fuga i un 'fallo' estratègic". Segons el CEEC, una sola persona hauria portat a terme el robatori i filtració de les dades, un ex-treballador del CESICAT (http://www.lavanguardia.com/politica/20131205/54395850040/ppc-hacker-extorsiono-conseller-documentos-robados-cesicat.html) proper a les forces de seguretat espanyoles, que hauria col.laborat anteriorment amb la Guàrdia Civil i actualment amb el Centro Nacional de Inteligencia. Si això fos cert, seria un acte clar de ciberguerra d'Espanya contra Catalunya.
En aquests moments, l'únic organisme que pot defensar la seguretat cibernètica de les institucions catalanes és el CESICAT. Segons un dels documents filtrats per Anonymous, s'estaria treballant en convertir-lo en Agència Nacional de Seguretat de Catalunya, que assumiria tasques de prevenció i defensa més àmplies (http://www.lavanguardia.com/politica/20131204/54395817637/mas-denuncia-practicas-ilegales-inmorales-cni.html). Felip Puig confirmà als diputats l'existència d'aquest informe, que qualificà de "document de treball" i "exercici per dissenyar futures estructures" (http://ccaa.elpais.com/ccaa/2014/01/24/catalunya/1390561613_462113.html).
Al mateix temps que Puig parlava al Parlament, Nacho Alamillo, director d'Astrea La Infopista Jurídica (http://astrea.es/web12/blogastrea), publicava l'article "CESICAT: La vigilància digital per a autoritats públiques" (http://astrea.es/web12/blogastrea/2014/02/06/cesicat-la-vigilancia-digital-per-autoritats-publiques) a la revista "Securmática" (https://revistasic.es), degana a l'estat espanyol en temes de seguretat informàtica. Alamillo hi defensava la conversió en agència: "Si quelcom es pot millorar al CESICAT actual és la seva estructura jurídica, donat que actualment és un fundació del sector públic, una modalitat que no permet l'exercici de competències administratives pròpies i on els controls públics, tot i que presents, no són tan intensos com en una veritable administració".
Alamillo justificava al mateix text les controvertides activitats de seguiment digital portades a terme pel CESICAT, que considerava emparades per la legalitat en tractar-se d'informacions difoses públicament, i negava que Catalunya no tingués competències en aquest sentit: "Diu Anonymous -i el més greu, ho repeteixen alguns personatges polítics amb nuls coneixements de la legislació espanyola- que les competències per a la ciberseguretat són exclusives del CCN-Cert, per la qual cosa el CESICAT actua sense cap base legal".
El CCN-CERT (https://www.ccn-cert.cni.es) és el centre de seguretat informàtica del govern espanyol però, segons Alamillo, no té perquè ser-ho també del govern català: diversos real decrets confirmen que "cada Administració pública és competent per a establir les seves capacitats d'allò que s'anomena ciberseguretat, respecte als seus propis sistemes, la qual cosa en el cas de la Generalitat de Catalunya s'instrumenta a través del CESICAT, de forma plenament legal".
La creació del CESICAT, el febrer de 2010, emana del "Pla nacional d'impuls de la seguretat de les TIC a Catalunya" (https://www.cesicat.cat/ca/article/pla-nacional-seguretat-catalunya), que li encarrega la redacció de l'Esquema Nacional de Seguretat (https://www.cesicat.cat/ca/article/guia-legal-seguretat-ens-part-1-metodologia), que ja està fet i les administracions estan implementant, a més de vetllar per la seguretat dels equips i xarxes informàtiques de la Generalitat, ajudar a protegir les infraestructures crítiques (energia, telecomunicacions, aigua...) i promocionar la seguretat informàtica a les empreses i ciutadania.
Tammateix, si ens comparem amb la resta del món no n'hi hauria prou amb el CESICAT per a entomar una ciberguerra. Falta un element: l'exèrcit. A l'estat espanyol, els militars són els cossos de seguretat que porten més temps treballant en aquest tema, com exemplifica la trajectòria de l'avui coronel de l'Exèrcit de l'Aire Roberto Pla (http://robertopla.net), que el 1998 ja voltava pels fòrums espanyols sobre hacking i autor del primer article sobre guerra de la informació publicat en un revista de l'exèrcit espanyol: "Revista de Aeronáutica y Astronáutica".
En una entrevista publicada l'any 2006 (http://ww2.grn.es/merce/2006/robertopla.html), Pla ja explicava que "a l'exèrcit espanyol hi ha hackers, he conegut gent que parlava en codi màquina, no deia: "Anem a introduir un 'load'", deia: "Anem a introduir un 30". Se sabien els números de les instruccions perquè havien fet un curs el 1975, als Estats Units". És també públic que els militars espanyols s'entrenen en la ciberguerra almenys des del 2009, amb jocs de guerra inspirats per l'exèrcit nordamericà (http://elpais.com/diario/2009/12/19/sociedad/1261177201_850215.html).
Actualment l'estat espanyol compta amb dos organismes màxims dedicats a aquest tema: el Mando Conjunto de CiberDefensa de las Fuerzas Armadas (http://www.intelpage.info/mando-conjunto-de-ciberdefensa-de-las-fuerzas-armadas.html) i, a l'entorn civil, l'acabat de crear Consejo de Ciberseguridad Nacional (http://www.europapress.es/nacional/noticia-gobierno-constituye-manana-consejo-ciberseguridad-nacional-mejorar-coordinacion-amenazas-red-20140213134141.html), que aglutina el Centro Nacional de Inteligencia i els ministeris d'Interior, Indústria, Defensa i Exteriors.
En cas de guerra cibernètica contra Catalunya, l'exèrcit espanyol la defensaria com a territori que és espanyol, afirmen fonts properes al mateix. Però... i si Catalunya ja no és espanyola, o qui l'ataca és l'exèrcit espanyol?
Mercè Molist