- Medidas de seguridad de la información
- Contra ciberataques
- En los cuarteles de la OTAN
- Sin equipos clasificados
- Por comodidad y desidia
- Correos no clasificados
- Operaciones militares en curso
- Defensa no responde
- Oficina Nacional de Seguridad
- La OTAN se blinda por la guerra en Ucrania
- Deber de reserva
- De falta leve a delito
- Ciberataques diarios
“Nunca introduzcas información clasificada en sistemas no acreditados o no autorizados para ello”.
Ese es el mensaje de un cartel que editó el Mando Conjunto del Ciberespacio, y que con la imagen de un gran botón rojo de “STOP” trata de concienciar a los militares, y en general a todo el personal que trabaja en la estructura del Ministerio de Defensa y de las Fuerzas Armadas, de la exigencia de respetar esa consigna.
Confidencial Digital ha podido saber, por distintas fuentes, que en algunos órganos del Ministerio de Defensa y de las Fuerzas Armadas no se cumple la instrucción, y parte del personal, militar y civil, elabora, envía, escanea, imprime y en general trabaja con documentos clasificados en sistemas no acreditados para ello, con el riesgo que supone de posibles hackeos y robos de información.
Medidas de seguridad de la información
El anteproyecto de reforma de la Ley de Secretos Oficiales (aprobada en la dictadura de Franco, en 1968) que prepara el Gobierno introduce cambios en este aspecto, pero actualmente en España se establecen cuatro grados de información clasificada, de menor a mayor: Difusión limitada, Confidencial, Reservado y Secreto.
Para poder manejar documentos clasificados, el personal de las administraciones públicas debe obtener la Habilitación Personal de Seguridad (HPS). Esta acreditación la concede la Oficina Nacional de Seguridad (ONS), actualmente dependiente del Centro Nacional de Inteligencia (CNI), después de investigar a fondo las circunstancias personales y profesionales del solicitante, para ver si puede ser una persona sospechosa o vulnerable, por ejemplo, ante potencias extranjeras que quieran acceder a documentos clasificados de la administración española.
También se certifican los edificios, oficinas y lugares donde se maneja información clasificada (lo que se denomina “seguridad física”), por ejemplo mediante la creación de Zonas de Acceso Restringido (ZAR), lo que implica una serie de medidas de seguridad (puertas, cerraduras…) especiales para controlar quién entra en esa zona en la que puede utilizarse documentación sensible.
Por último, la “seguridad de la información” abarca todas las medidas para garantizar en los sistemas informáticos y dispositivos electrónicos por los que pasa la información clasificada unos niveles apropiados de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad. Por ejemplo, el Estado Mayor de la Defensa cuenta con un sistema de Telefónica que coloca marcas de agua invisibles, que servirían para detectar el origen de una filtración de documentos clasificados.
Los ordenadores, servidores, impresoras, escáneres y otra tecnología en la que se elaboran y consultan documentos clasificados pasan por un proceso de acreditación que tiene por objeto “obtener garantías de que se han aplicado todas las medidas de seguridad oportunas y se ha logrado un grado de protección suficiente de la Información Clasificada” tratada por el organismo en cuestión.
“La declaración de acreditación determinará el grado máximo de clasificación de la información que pueda manejarse en un Sistema de Información concreto, y sus requisitos”, establece el Centro Criptológico Nacional.
En esos sistemas se instalan unos productos criptológicos certificados, y están conectados a ciertos tipos de redes especiales, para evitar conectarlos a Internet y que cualquier pirata informático pueda acceder a la información clasificada.
De acuerdo con el mismo documento del Centro Criptológico Nacional, “los Sistemas de Información que manejen Información Clasificada de grado CONFIDENCIAL o superior deberán estar protegidos de tal manera que la información no pueda verse comprometida como consecuencia de emanaciones electromagnéticas no intencionadas (“medidas de seguridad TEMPEST”)”.
Contra ciberataques
Todas estas normas, prevenciones e instrucciones tratan de evitar que los documentos clasificados circulen por sistemas informáticos no protegidos, y por tanto puedan caer en manos de hackers, en uno de los muchos ciberataques que reciben las redes informáticas militares.
A lo largo de 2022 las redes militares recibieron ciberataques más complejos, mejor organizados. La invasión rusa de Ucrania y la ‘guerra fría’ entre la OTAN y Rusia hace temer que se disparen los ciberataques en países como el nuestro, donde ya se han producido incidentes, por ejemplo en el SEPE, y al que hackers vinculados a Rusia amenazan con atacar para tumbar sistemas de empresas estratégicas.
De forma reservada, el Mando Conjunto del Ciberespacio emite alertas diarias por intentos de intrusión en las redes militares no clasificadas.
En ese contexto, diversas fuentes consultadas por Confidencial Digital coinciden en señalar que en algunos ámbitos de la estructura del Ministerio de Defensa y las Fuerzas Armadas, en los que se utilizan documentos clasificados, es práctica habitual el manejar información clasificada en equipos no clasificados: es decir, se incumple esa instrucción que ordena “Nunca introduzcas información clasificada en sistemas no acreditados o no autorizados para ello”.
En los cuarteles de la OTAN
Dichas fuentes explican que, por ejemplo, en ciertos cuarteles de la OTAN los puestos de trabajo cuentan con distintos terminales. Para un mismo militar, en su mesa, hay dos equipos. Uno está certificado para documentación clasificada (de menos a mayor: NATO Restricted, NATO Confidential, NATO Secret, Cosmic Top Secret), y el otro no.
En esos cuarteles aliados, los documentos clasificados sólo se manejan en los terminales certificados para ello. Estos ordenadores se encuentran conectados a una red propia, para evitar ciberataques externos.
Además, existen máquinas para escanear, imprimir y hacer fotocopias, también certificadas para uso de información clasificada. Los documentos clasificados sólo se pueden imprimir o escanear en estas máquinas, y no en las de uso general.
Sin equipos clasificados
No ocurre así en todos los órganos y oficinas de la estructura militar en España donde se manejan documentos clasificados.
En ciertos órganos, los militares (y en algunos casos, civiles) que manejan información sensible y documentos que están clasificados, sobre todo desde “Confidencial” para arriba, sí cuentan con dos equipos, de forma que la información clasificada sólo la consultan y gestionan en el ordenador protegido especialmente para ello.
Son equipos que, por ejemplo, no permiten conectan pen drive, porque ni tienen puertos USB para ello. A veces son ordenadores portátiles, que en el puesto de trabajo de esos órganos militares se enchufan a un servidor especial, de la red propia y aislada en la que sí se permite manejar documentación clasificada.
Además, en algunas de estas instancias militares existe un “órgano de protección de documentación clasificada” (como en cuarteles de la OTAN), con militares que velan por que se cumplen todas las medidas para proteger esa información. Por ejemplo, son quienes dan permiso para enviar cierta información entre las redes clasificadas y no clasificadas, así como para imprimir documentos clasificados.
Pero esto no se cumple en toda la estructura del Ministerio de Defensa. Lo admiten distintas fuentes, con experiencia en diversos destinos del ministerio, del Estado Mayor de la Defensa o de los ejércitos, en los que sí se trabaja con información clasificada.
Por comodidad y desidia
En no pocos de estos órganos, no todo el personal que utiliza documentos clasificados tiene un terminal certificado para ello.
Existe, en muchos casos, una sala en la que hay un ordenador donde en teoría deberían acudir para escribir, enviar o recibir documentos que tienen algún tipo de clasificación.
Pero, en la práctica, no pocos oficiales, suboficiales y trabajadores civiles evitan ir a estos equipos certificados, y trabajan con documentos clasificados en equipos no clasificados.
¿El motivo? “Es mucho más cómodo, más fácil trabajar en la red no clasificada”, resume una persona con experiencia en trabajar en puestos militares donde se maneja información clasificada.
Las fuentes consultadas por ECD coinciden en señalar que los incumplimientos de la normativa se dan, principalmente, por comodidad, por desidia, por despreocupación.
Correos no clasificados
Es, por tanto, una “relajación de costumbres” que se da en algunos ámbitos del órgano central, es decir el Ministerio de Defensa, pero también en algunos otros puestos relevantes de la estructura de las Fuerzas Armadas.
Estas costumbres relajadas en cuanto a la protección de información clasificada abarca todo tipo de acciones.
Por ejemplo, sucede en ocasiones que por el correo corporativo no clasificado, de la red de propósito general WAN-PG, los militares se envían documentos clasificados, y que por tanto deberían sólo mandarse por los servicios de correo clasificados.
Las Fuerzas Armadas y el Ministerio de Defensa cuentan con varios sistemas de mensajería tipo ACP-127 en apoyo de la función de Mando y Control: Sistema Conjunto de Mensajería de Defensa (SICOMEDE), Sistema Automático de Conmutación de Mensajes de la Armada (SACOMAR), Sistema de Mensajería formal para operaciones de Paz (SIMENPAZ), HERMES (para la comunicación con autoridades de nivel consultivo)…
Operaciones militares en curso
Las fuentes consultadas también apuntan que en ocasiones, algunos oficiales o suboficiales escriben en ordenadores no clasificados, información que se va a recoger en documentos clasificados.
Estos militares llegan a sacar copia de estos documentos que han escrito en equipos no clasificados, le ponen la carátula de clasificación que corresponda (“Confidencial”, “Reservado”, “Secreto”), y lo presentan para la firma o sello del jefe de la unidad u órgano, que debe rubricarlo.
Ya entonces se envía correctamente por los sistemas clasificados. “Pero se ha escrito la información clasificada en equipos no clasificados”, subrayan las fuentes consultadas que han sido testigo de episodios así.
En otras ocasiones, el proceso es el contrario. Se escanean o fotocopian documentos clasificados, en impresoras no certificadas para ello. La solución de algunos militares es tapar con un post-it las carátulas de “Confidencial”, “Reservado” o “Secreto”, y escanearlo en esos equipos que no tienen protección especial y que también, como los ordenadores, pueden ser hackeados.
Desde esos escáneres (no clasificados) envían el documento a equipos no clasificados. El problema, de nuevo, es la falta de equipos: los escáneres e impresoras “clasificados” son escasos, y la costumbre del trabajo hace que algunos militares trabajen sólo con los equipos sin clasificar.
El escaneo de documentos provoca que en ocasiones todos los miembros de una misma unidad u órgano puedan ver, en carpetas compartidas tipo Drive, documentos clasificados que sus compañeros han escaneado, y que deberían tener el acceso mucho más restringido.
Estas prácticas afectan a información sensible del Ministerio de Defensa y de los Ejércitos de Tierra y Aire y la Armada: por ejemplo, a documentos que se refieren a operaciones militares en curso, así como a otros de asesoramiento al nivel político.
Defensa no responde
Confidencial Digital envió el pasado 7 de febrero una consulta al Ministerio de Defensa, para recabar datos sobre la vigilancia que se realiza sobre la documentación clasificada.
Preguntó con qué frecuencia se realizan revisiones en las oficinas del Ministerio de Defensa, cuarteles generales de los ejércitos, y las unidades donde se maneja información clasificada, para verificar que se cumple la normativa sobre el uso de información clasificada.
También planteó la pregunta de por qué no todo el personal del Ministerio de Defensa que maneja información clasificada tiene su propio ordenador certificado para el uso de información clasificada, y cuántos terminales clasificados hay en servicio en todos los órganos dependientes del Ministerio de Defensa y en la estructura de las Fuerzas Armadas.
Además, pidió datos de expedientes disciplinarios que se han incoado en los últimos años a personal militar por este motivo, el incumplimiento de la normativa sobre materias clasificadas, y cuántas sanciones se han llegado a imponer, así como los procedimientos judiciales que se han abierto en los últimos años a personal del Ministerio de Defensa y de las Fuerzas Armadas por incumplir la normativa sobre manejo de materias clasificadas.
Al cierre de esta edición, dos semanas después, no se había recibido ninguna respuesta del Ministerio de Defensa a esta consulta.
Pero las fuentes consultadas deslizan el recuerdo de un militar español que fue cazado por llevarse a su casa información clasificada que manejaba en un centro de la OTAN clave en la ciberseguridad.
Oficina Nacional de Seguridad
Las fuentes consultadas por ECD señalan que el organismo encargado de la vigilancia en este aspecto es la Oficina Nacional de Seguridad, que se define como “el organismo del CNI que actúa como órgano de trabajo de la Autoridad Delegada para la Seguridad de la Información Clasificada en el cumplimiento de sus funciones”. La Autoridad Delegada para la Seguridad de la Información Clasificada es la directora del Centro Nacional de Inteligencia, actualmente Esperanza Casteleiro.
La Oficina Nacional de Seguridad se encarga de certificar los equipos informáticos, así como las salas y espacios en los que se manejan esos equipos.
Como se ha indicado, hay órganos de protección de la documentación clasificada, y servicios de protección de información clasificada.
Pero es directamente personal de la Oficina Nacional de Seguridad el que realiza con cierta periodicidad las inspecciones en aquellas dependencias del Ministerio de Defensa y de las Fuerzas Armadas en las que se maneja información clasificada, para tratar de comprobar que se siguen todas las normas.
Sin embargo, las fuentes consultadas señalan la dificultad de que una inspección externa detecte esos fallos de seguridad.
Hay que resaltar que las normas y los procedimientos establecen medidas para proteger la información, y que esas normas se comunican al personal. El problema es que los fallos son debidos a la “costumbre” y la “comodidad” de algunos militares, que obvian las instrucciones y trabajan en sistemas no clasificados con documentos clasificados. Es, por tanto, una cuestión de incumplimiento rutinario de las exigencias para blindar la información clasificada.
La OTAN se blinda por la guerra en Ucrania
Entre los militares que observan estas prácticas no se pasa por alto que la invasión de Ucrania y la ‘guerra fría’ con Rusia hizo que la OTAN “se pusiera las pilas” para blindar la información sensible.
Ante el temor de que se disparara el espionaje, la alianza reforzó notablemente la seguridad en sus cuarteles generales. De nuevo, fue cuestión de seguir estrictamente las normas ya establecidas: por ejemplo, a la hora de mantener cerradas las puertas de aquellas salas de acceso restringido, a las que sólo se puede entrar con una tarjeta e incluso una clave numérica.
Se trató de acabar con prácticas inadecuadas, que suponían incumplir estas normas por comodidad, para evitar las molestias y los trámites que implican las medidas de seguridad.
Más allá de los equipos informáticos, en España algunos militares apuntan que hay fallos en otros aspectos: por ejemplo, se pueden ver archivos en papel, documentos clasificados, que están almacenados en estanterías, cuando deberían estar encerrados en cajas fuertes o cajones con llave.
Las prácticas indebidas se multiplican ahora con el uso de teléfonos móviles, en muchos casos particulares, sin proteger, por los que pasan ciertos documentos sensibles.
Eso sí, también hay prácticas muy estrictas en algunos lugares. Por ejemplo, según cuentan a ECD fuentes militares, del Cuartel General Terrestre de Alta Disponibilidad (del Ejército de Tierra), en Bétera (Valencia), cuentan que los miembros de la Policía Militar retiran los discos duros de los ordenadores al finalizar la jornada de trabajo, y se guardan.
En teoría, los equipos de seguridad de los cuarteles tienen que asegurarse de que todo esté debidamente cerrado, con llave donde sea necesario, con los equipos apagados, sin papeles encima de las mesas…
Deber de reserva
Todos los militares y civiles que manejan información clasificada pueden hacerlo porque han obtenido la Habilitación Personal de Seguridad (HPS). Este documento se concede una vez que la Oficina Nacional de Seguridad del CNI comprueba que esa persona no es una amenaza, en el sentido de que pueda tener relación con personas sospechosas de trabajar para potencias extranjeras.
La concesión de la HPS obliga a ese persona a mantener el deber de reserva sobre la información clasificada que conozca por su trabajo.
Si se detectara a un militar incumpliendo este deber, o actuando de forma negligente en el uso de documentos clasificados, podría enfrentarse a distintas consecuencias.
De falta leve a delito
La Ley 9/1968, de 5 de abril, sobre secretos oficiales simplemente indica que “el personal que sirva en la Administración del Estado y en las Fuerzas Armadas estará obligado a cumplir cuantas medidas se hallen previstas para proteger las materias clasificadas”. Esta norma está en trámite de ser sustituida por otra ley sobre información clasificada.
La Ley Orgánica 8/2014, de 4 de diciembre, de Régimen Disciplinario de las Fuerzas Armadas considera como falta muy grave, que se castiga hasta con la expulsión, “el incumplimiento del deber de reserva sobre secretos oficiales y materias clasificadas”.
Queda en falta grave “no guardar la debida discreción sobre materias objeto de reserva interna o sobre asuntos relacionados con la seguridad y defensa nacional, así como hacer uso o difundir por cualquier medio, hechos o datos no clasificados de los que haya tenido conocimiento por su cargo o función, en perjuicio del interés público”.
Falta leve es “la inexactitud en el cumplimiento de las normas de seguridad y régimen interior, así como en materia de obligada reserva”.
El Código Penal Militar remite al Código Penal en el castigo sobre “Revelación de secretos e informaciones relativas a la seguridad y defensa nacionales”.
Por ejemplo, el artículo 601 castiga con pena de seis meses a un año de cárcel a a quien “por razón de su cargo, comisión o servicio, tenga en su poder o conozca oficialmente objetos o información legalmente calificada como reservada o secreta o de interés militar, relativos a la seguridad nacional o la defensa nacional, y por imprudencia grave dé lugar a que sean conocidos por persona no autorizada o divulgados, publicados o inutilizados, será castigado con la pena de prisión de seis meses a un año”.
Las imprudencias en el maneja de información clasificada en equipos no clasificados puede desembocar en esta situación. Algunos militares recuerdan que los ciberataques a las redes militares son muy frecuentes.
Ciberataques diarios
El Mando Conjunto del Ciberespacio lanza diariamente alertas internas sobre intentos de intrusión en las redes militares.
Estos ataques de piratas informáticos, bien al servicio de gobiernos y servicios de inteligencia, bien ciberdelincuentes, son cada vez más complejos, más sofisticados, en algunos casos mejor coordinados. Y la información confidencial, reservada o secreta del Ministerio de Defensa de un país de la OTAN, como es España, es un objetivo preferente para muchas potencias.