Francisco Javier Roca Rivero: “La ciberseguridad nacional empieza en el dispositivo de cada ciudadano”

El máximo responsable de la ciberdefensa militar española analiza las amenazas digitales, el papel de la IA y los desafíos de proteger infraestructuras críticas y operaciones de las Fuerzas Armadas en un escenario de confrontación permanente.

BLOQUE 1. PRESENTACIÓN Y TRAYECTORIA 

1. Vicealmirante Javier Roca, lleva más de un año al frente del MCCE. ¿Qué le ha  sorprendido más del cargo desde que lo asumió en noviembre de 2023? 

Conocía el Mando perfectamente, pues me incorporé en 2020 como segundo  Comandante, pero le diré que me sigue impactando la pasión, iniciativa y compromiso de quienes forman esta unidad. Es un orgullo servir para ellos y verlos crecer cada año. 

2. Usted proviene del Cuerpo General de la Armada. ¿Cómo se pasa de mandar en el dominio  marítimo a liderar la defensa en el ciberespacio? ¿Qué tienen en común un buque y una red  de sistemas digitales? 

Aunque parezcan mundos distintos, la esencia es la misma: mantener tu libertad de acción,  que nadie te imponga su voluntad contra la tuya. En la Armada protegemos nuestras líneas  de comunicación marítima; realizamos vigilancia marítima, etc., aquí protegemos nuestras  líneas de comunicación digitales, realizamos vigilancia digital, etc. Al final, navegar por el  ciberespacio requiere la misma disciplina, el mismo trabajo en equipo y el mismo nivel de  compromiso que navegar por la mar. Navegamos, vigilamos y defendemos el ciberespacio,  pero el objetivo es el mismo: defender a España desde las Fuerzas Armadas. 

BLOQUE 2. QUÉ ES EL MCCE Y QUÉ HACE 

3. Para quien nunca ha oído hablar del MCCE, ¿cómo se lo explicaría en el tiempo que  tarda en tomarse un café? 

Somos una unidad de élite de las Fuerzas Armadas que combate y es capaz de crear efectos  relevantes en el ciberespacio, que es el sistema nervioso que gobierna el mundo actual, físico  y digital a la vez. Los “boinas grises” hacemos muy bien operaciones en y a través del  ciberespacio; en el resto de las cosas, hacemos lo que podemos. En el plano operativo,  proporcionamos la capacidad de respuesta (legítima, oportuna y proporcionada) ante aquellas  amenazas que provienen del ciberespacio y afectan a la Seguridad y la Defensa Nacional. 

En una visión más amplia, representamos la aportación de las Fuerzas Armadas a la  Ciberseguridad Nacional, contribuyendo a defender nuestro modo de vida y los derechos y  libertades de toda la sociedad a la que servimos. 

4. En su presentación en el Foro Diplomático del Principado de Asturias utilizó la expresión  “Guardianes del Ciberespacio”. ¿Qué significa eso en el día a día de sus efectivos, los  llamados “boinas grises”?

El color gris de nuestra boina es porque operamos en la zona gris, ese espacio donde no hay  una guerra abierta (negro), pero tampoco una paz total (blanco). En el ciberespacio estamos  en una confrontación permanente, y por eso estamos de guardia constantemente, 24/7 durante todo el año. En el día a día, esto se traduce en una vigilancia meticulosa para detectar  anomalías antes de que se conviertan en crisis, aplicando los valores reflejados en nuestro  escudo: lealtad y constancia (corazón) e ingenio y destreza (cerebro). 

5. El MCCE opera junto al CCN-CERT y al INCIBE-CERT. ¿Cómo funciona esa coordinación  en la práctica cuando se produce un incidente grave? ¿Puede contarnos algún ejemplo sin  comprometer información clasificada? 

Los tres Centros de Respuesta de Ciberseguridad de referencia nacional (CCN, INCIBE y  MCCE) nos llamamos a veces "los tres mosqueteros": ¡Uno para todos y todos para uno! El  CCN protege la administración, el INCIBE a la ciudadanía y empresas, y nosotros, el MCCE,  protegemos a las Fuerzas Armadas; y colaboramos en todo aquello que afecta a la Defensa  Nacional, bajo la coordinación del Departamento de Seguridad Nacional. La coordinación es  diaria y fluida; y la colaboración excelente. 

BLOQUE 3. EL CIBERESPACIO COMO DOMINIO DE OPERACIONES 

6. La OTAN reconoció el ciberespacio como quinto dominio operacional en 2016. Sin  embargo, usted suele decir que hoy todavía “luchamos como si solo tuviéramos flechas,  botes de remos y globos”. ¿A qué se refiere exactamente? 

A que, en el ciberespacio, todo lo que te puedas imaginar, pasará. ¡Y aquello, que no puedes  ni imaginar también! El mundo ha cambiado radicalmente, somos testigos privilegiados de un  cambio de era, pero el cambio está siendo tan rápido, que nos cuesta mucho asimilarlo.  Tenemos tecnología del Siglo XXI, mentalidad del Siglo XX y todavía muchas organizaciones  del Siglo XIX. Y no podemos combatir las amenazas o problemas del presente y del futuro, con las armas y capacidades del pasado. Ya pasó con la llegada de la informática en el siglo  anterior, pero ahora todo es mucho más potente y rápido. Si el adversario usa inteligencia  artificial y nosotros seguimos "lanzando flechas" manuales, llevamos las de perder.  Necesitamos dar ese salto tecnológico y sobre todo mental, cuanto antes, para no caer en la  irrelevancia. 

7. En las operaciones multidominio (tierra, mar, aire, espacio y ciberespacio), ¿cuál es  concretamente el papel del MCCE? ¿Puede haber hoy una operación militar moderna sin  control del ciberespacio? 

En una operación multidominio, nuestro papel es garantizar la libertad de acción de nuestras  Fuerzas Armadas en el dominio ciberespacial. Si una fragata navega en el Índico o nuestras  tropas despliegan en Letonia, el MCCE trabaja desde Retamares para que sus sistemas y la  información que manejan no sean hackeados ni comprometidos. No somos solo un escudo;  también aportamos ciberinteligencia y capacidades de respuesta para neutralizar al  adversario en su terreno digital antes de que nos pueda causar daños en el mundo físico. 

Hoy es imposible una operación militar exitosa sin controlar el ciberespacio. El ciberespacio  es transversal a todos los dominios y la eficacia de cualquier Fuerza Armada depende de su  uso del ciberespacio, de sus medios digitales y sus sistemas de información.

8. El ciberespacio es el único dominio que no existía en la naturaleza: lo hemos construido  nosotros. ¿Cree que eso lo hace más difícil de defender, precisamente porque también lo  hemos llenado de vulnerabilidades? 

Sin duda, el ciberespacio lo hemos construido las personas y, por tanto, es modificable e  imperfecto, existen innumerables puertas traseras y vulnerabilidades. Es un dominio donde  es infinitamente más fácil y barato atacar que defender, y tiene todos los ingredientes para  mantener el anonimato. Además, sus reglas cambian cada vez que alguien escribe una nueva  línea de código. 

BLOQUE 4. AMENAZAS REALES Y RETOS 

9. La vulnerabilidad del ciberespacio aparece como el riesgo de mayor impacto en los  informes del Departamento de Seguridad Nacional, por encima del terrorismo o los  conflictos armados. ¿Le sorprende que la sociedad española no termine de percibir esa  gravedad? 

No me sorprende, pero sí me preocupa; aunque en mi opinión la tendencia en la sociedad  está cambiando a mejor. El problema del ciberespacio es que es un dominio invisible a los ojos  de la mayoría. Si un ciudadano ve un incendio, percibe el peligro al instante porque sus ojos  se lo dicen. Pero el ciberespacio no se ve, no se huele y no se toca; son redes alámbricas o  inalámbricas, cables submarinos, ondas de radio y satélites que transportan bits. Eso provoca  que a veces pensemos que un ciberataque es algo abstracto que solo les pasa a las grandes  empresas o a los gobiernos. Pero la realidad es que ese mundo invisible es el que sostiene  nuestra vida diaria: desde el agua potable que sale por el grifo hasta la luz de nuestros  hospitales. Por eso, una de las misiones más importantes que realiza el MCCE es la labor de  concienciación. En este dominio, las personas son la primera línea de defensa. La  ciberseguridad nacional empieza en el dispositivo de cada ciudadano. Cada persona es la  primera línea de defensa ante las ciberamenazas. 

10. Uno de los aspectos más inquietantes que plantea es la ciberseguridad de la tecnología  operacional: infraestructuras críticas, redes eléctricas, hospitales. ¿Estamos suficientemente  protegidos en España en ese frente? 

Somos un referente internacional en ciberseguridad, pero en este campo nunca puedes decir  que estás suficientemente protegido. El riesgo cero no existe. Estamos trabajando  intensamente en la defensa de la Tecnología Operacional (OT), porque un ataque a un  hospital, a un tren o a una red eléctrica no solo roba datos, puede costar vidas, y por supuesto,  afectar a la Defensa Nacional. 

11. El anonimato y las operaciones de “falsa bandera” son características únicas del  ciberespacio. ¿Cómo se atribuye un ataque cuando el agresor puede ocultarse detrás de  múltiples capas digitales? ¿Es eso frustrante desde el punto de vista operacional? 

Más que frustración, lo vemos como un reto profesional. Es cierto que el anonimato y las  falsas banderas son la norma, pero la tecnología también deja rastro. Combinamos la  informática forense con la inteligencia tradicional para poner nombre y apellidos a la amenaza.  Requiere paciencia, destreza y mucha cooperación, nacional e internacional.

BLOQUE 5. PERSONAS, LIDERAZGO Y CULTURA 

12. Usted insiste en que el ciberespacio “va de personas, no de tecnología”. ¿Cómo se capta  y retiene talento en un entorno donde las empresas privadas compiten por los mismos perfiles  técnicos que necesitan las Fuerzas Armadas? 

No podemos competir en sueldo, pero arrasamos en propósito. En el MCCE vas a defender  a tu país y realizar operaciones militares que nadie más puede ejecutar. Buscamos buenas  personas con valores, porque la técnica se aprende, pero el compromiso y la ética tienen que  venir con la persona. Buscamos personas que no solo hagan su trabajo con nosotros, sino  que crean en lo mismo que nosotros. Mi principal valor es el compañerismo. Es la magia que  multiplica y potencia el resto de valores. 

13. En su presentación habló del “alma de eterno aprendiz” como condición imprescindible  para sobrevivir en la era digital. ¿Cómo lo aplica usted mismo en su día a día? 

Esa es una regla clave para ser boina gris, pero también para manejarse por la vida. Aprender  a aprender, y a desaprender. En mi caso, siempre tengo presente que hay muchas cosas que  no sé y que cada día surgen muchísimas más. Por ello, siempre estoy estudiando y leyendo,  y me preocupo por preguntar y escuchar a la gente que trabaja conmigo. El día que alguien cree que ya lo sabe todo, ha dejado de vivir. 

14. ¿Ha vivido algún momento en su mando en el que haya pensado “nunca imaginé que  algo así fuera posible”? Sin entrar en detalles clasificados, ¿puede compartir la sensación? 

Muchas veces. Cada día leo un informe de ciberamenazas realizado por la sección de  inteligencia y es sorprendente la imaginación de la gente, especialmente cuando existe una  enorme motivación económica detrás. Pero lo que más me impacta no es la maldad del  atacante, sino la capacidad de mi gente para encontrar soluciones ante cualquier amenaza.  No tenemos grandes sistemas de armas, pues el arma somos nosotros, el cerebro de los  boinas grises. Esa sensación de “lo hemos conseguido contra todo pronóstico”, es única. 

BLOQUE 6. CIERRE Y MIRADA AL FUTURO 

15. Si tuviera que mandar un mensaje a los lectores del Diario de Madrid, ciudadanos de a  pie, sobre qué pueden hacer para no ser el eslabón débil en la cadena de ciberseguridad,  ¿cuál sería? 

Como dije anteriormente, debemos tener claro que cada ciudadano es la primera línea de  defensa de España. Si tú te proteges, nos proteges a todos. En el plano práctico, siempre hay  cuestiones básicas, como desconfiar de los mensajes extraños, usar contraseñas seguras y  actualizar nuestros dispositivos. Y algo muy sencillo de entender, pero no tanto de asumir:  cualquier medida de ciberseguridad que sea cómoda de aplicar, no es lo bastante efectiva. 

16. ¿Cómo ve el MCCE dentro de diez años? ¿Qué capacidades considera imprescindibles  desarrollar antes de que lleguen amenazas que hoy todavía no podemos imaginar? 

Desde el MCCE estamos trabajando en un ambicioso plan de crecimiento para contribuir a  que España sea un referente mundial en ciberdefensa. Todas las unidades de ciberdefensa  de las Fuerzas Armadas operarán un único Sistema de Combate para operar en el 

Ciberespacio (SCOMCE), un sistema de sistemas soberano y autónomo, apoyado por una  Inteligencia Artificial plenamente operativa que detecte amenazas en milésimas de segundo.  Además, pretendemos liderar el adiestramiento aliado en el dominio ciberespacial de la OTAN  con el NATO Cyber Range y blindaremos la conectividad 5G desde nuestro Centro de  Ciberdefensa 5G. Mi visión es que, ante cualquier escenario imaginable, el MCCE siempre  esté preparado para ello; porque el peor ataque es el que ocurrirá mañana y que alguien está  imaginando hoy.