Grave fallo de Ciberseguridad por negligencia en las Fuerzas Armadas

Afectada gravemente la seguridad de las comunicaciones de la OTAN

Desde LasRepublicas.com les informamos de un nuevo caso de extrema irregularidad y negligencia en las FF.AA. Esta vez se trata posiblemente, de uno de los casos más graves del que se haya contemplado en las Fuerzas Armadas.

Las Fuerzas Armadas españolas siempre se han presentado como el simbolo de la bravura a la vieja usanza, la cerrazón varonil militar a la española, o el derramamiento de sangre patrio sin más. El cambio de paradigma de las milicias o nuevo arquetipo con la modernidad les está costando salir de la oscuridad cuartelaría. Donde aún se confunde el término ‘friki’ con el de ‘hacker’.

Las FF.AA. con el Ministerio de Defensa a la cabeza, es todavía una intrincada a la vez que escabrosa maraña de ‘oficinas’ en forma de estructura orgánica del Estado, precintada, opaca y mal gestionada, para tratarse de un ministerio de tanta importancia. Esto ha llevado a desencadenar un gravisimo caso de negligencia militar que puede haber puesto en jaque (aún no se conoce el alcance) a España, en materia de defensa y seguridad.

El Ejercito del Aire esconde a la OTAN que utiliza comunicaciones no segures

El caso que desvelamos desde LasRepublicas.com trata, de cuando el Ejército del Aire informa a las unidades a su mando que el sistema RUNCECOMDEF -sistema de comunicación- se podía utilizar para trasmitir información clasificada OTAN/UE cuando la Organización Nacional de Seguridad (ONS/CNI) alerto que ese sistema carecía de autorización para el manejo de información clasificada. Eso significaría que entre el 26 de septiembre de 2016 y el 18 de diciembre de 2018 los decenas de miles de mensajes clasificados OTAN/UE circularon por un Sistema No Acreditado.

Estos son los diferentes niveles de Seguridad en Información Clasificada imputable (protegida por la ley de secretos oficiales y el código penal)

Materias Clasificadas

Grado SECRETO (equivalente a NATO TOP SECRET)

La clasificación de SECRETO se aplicará a la información que precise del más alto grado de protección, toda vez que su revelación no autorizada o utilización indebida pueda dar lugar a una amenaza o perjuicio extremadamente grave para los intereses de España en los siguientes ámbitos:

a) La soberanía e integridad territorial;

b) el orden constitucional y la seguridad del estado;

c) el orden público y la vida de los ciudadanos;

d) la capacidad de combate o la seguridad de las Fuerzas Armadas de España o de sus aliados;

e) la efectividad o la seguridad de operaciones de excepcional valor de los servicios de inteligencia de España o de sus aliados;

f) las relaciones diplomáticas de España o situaciones de tensión internacional, o

g) cualquier otro cuya salvaguarda requiera de la más alta protección.

Grado RESERVADO (equivalente a NATO SECRET)

La clasificación de RESERVADO se aplicará a la información que precise de un alto grado de protección, toda vez que su revelación no autorizada o utilización indebida pueda dar lugar a una amenaza o perjuicio grave para los intereses de España en los siguientes ámbitos:

a) El orden constitucional y la seguridad del Estado;

b) el orden público y la seguridad de los ciudadanos;

c) la capacidad de combate o la seguridad de las Fuerzas Armadas de España o de sus aliados;

d) la efectividad o la seguridad de operaciones de los servicios de inteligencia de España o de sus aliados;

e) las relaciones diplomáticas de España o situaciones de tensión internacional;

f) los intereses económicos o industriales de carácter estratégico, o

g) cualquier otro cuya salvaguarda requiera de un alto grado de protección.

Materias de Reserva Interna.

Protegidas solo en vía disciplinaria (sanción administrativa)

Grado CONFIDENCIAL

La clasificación de CONFIDENCIAL se aplicará a la información cuya revelación no autorizada o utilización indebida pueda causar una amenaza o perjuicio para los intereses de España en los siguientes ámbitos:

a) El efectivo desarrollo de las políticas del Estado o el funcionamiento del sector público;

b) negociaciones políticas o comerciales de España frente a otros Estados;

c) los intereses económicos o industriales;

d) funcionamiento de los servicios públicos;

e) dificultar la investigación o facilitar la comisión de delitos, o

f) cualquier otro que pueda causar una amenaza o perjuicio para los intereses

de España.

2.2. Grado DIFUSIÓN LIMITADA

La clasificación de DIFUSIÓN LIMITADA se aplicará a la información cuya revelación no autorizada o utilización indebida pueda ser contraria a los intereses de España en cualquiera de los ámbitos relacionados en los apartados anteriores.

Redes TIC de Defensa:

Wan PG: red de propósito general, administrativa (SIMENDEF, Correo electrónico MDEF) no trasmite información clasificada ni “ordenes” operativas (“militares”)

STM: Sistema de telecomunicaciones militares, Militar (SICOMEDE RUNCECOMDEF, et) trasmite información clasificada y ordenes operativas, transmitida a través de sus Centros de Comunicaciones (CECOMs)

RUNCECOMDEF: Sistema de mensajería militar (supuestamente) seguro utilizado para distribuir información clasificada OTAN/UE (hasta NATO-SECRET, incluido) entre el Estado Mayor de la Defensa y las unidades del Ejército del Aire y entre las unidades del E.A. . Es “propiedad” del Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) de la Secretaria de Estado de Defensa (parte “civil” del Ministerio de Defensa y el Mando operacional del mismo lo tiene el JEMAD)

Criterio ONS (CNI) Comprometimiento Información Clasificada.

La recepción/transmisión de información clasifica por medio de sistemas no acreditados se considera un fallo de seguridad sobre el que se deberá emitir un informe de comprometimiento (punto 11 NS/04)

Cronología de los hechos

El 18 de noviembre de 2015, el E.A. -Ejército del Aire- informa a las unidades a su mando que el sistema RUNCECOMDEF se puede utilizar para trasmitir información clasificada OTAN/UE hasta grado NATO SECRET –la segunda más alta en España, a la que se le denomina RESERVADA–

El 21 de septiembre de 2016 La Jefatura de Sistemas de Telecomunicaciones del E.A. tiene conocimiento por mensaje “SSPI EA […] S-16-016954 de 21/09/2016” de la Organización Nacional de Seguridad (ONS/CNI) de que el sistema RUNCECOMDEF carece de autorización para el manejo de información clasificada al general jefe de la División de Sistemas de Información y Comunicaciones del EMAD General Antonio Gilbert Oliver.

El 26 de septiembre de 2016, la JSTCIS (Jefatura de Servicios Técnicos y Comunicaciones) pone en conocimiento del  Estado Mayor del Aire lo expuesto en el mensaje del 21-09-2016.

El 18 de diciembre de 2018 El Mando Aereo General (MAGEN) con el General José Alfonso Otero Goyanes al frente informa a las Unidades bajo su mando (casi todas las del E.A., todas las Bases Aéreas y Unidades de Fuerzas Aéreas) que el RUNCECOMDEF no se encuentra entre los sistemas acreditados para la tramitación de información clasificada ni NACIONAL ni OTAN/UE.

Esto significaría que entre el 26 de septiembre de 2016 y el 18 de diciembre de 2018 los decenas de miles de mensajes clasificados OTAN/UE circularon por un Sistema No Acreditado (RUNCECOMDEF) y que lo hicieron con conocimiento del Estado Mayor del Aire -en concreto del Jefe de la Secretaria General del JEMA– comprometiendo información clasificadade alto nivel de la OTAN y que está confirmado.

También supondría, que los más de 2 años entre detección y primeras medidas correctoras, y por el detalle de que dichas medidas vengan de un mando de segundo nivel del E.A. (MAGEN), que el Ejercito del Aire incumplió la obligación de emitir el preceptivo e inmediato informe de comprometimiento de la información clasificada a la ONS/CNI (punto 11 de la Norma NS/04 Seguridad de la Información, en Servicio de Protección de la Información del Estado Mayor del Aire y ONS/CNI.

Situación Actual

El CECOM del Estado Mayor del Aire, con el General Javier Salto Martinez-Avial y el del Mando Aéreo General, con el General Jose Alfonso Otero Goyanes por orden se sus respectivos Jefes dieron de baja hace meses los sistemas RUNCECOMDEF por “supuestas” averías (los mensajes de avería no eran el formato reglamentario y el tiempo de reparación de estos equipos es de menos de 7 días, aun así llevan meses “averiados”).

Otras, unas 4 dependientes del MACOM y el General Cesar Simon López: Grucemac, Grunomac, Grualecon…, utilizan la red acreditada NATO SECRET WAN. El General García Arnaiz esta trabajando para Airbus Military, y el General Javier Salto Martínez-Avial está implicado en los accidentes de los helicópteros del SAR.

El resto, que son la mayoría dependientes del MAGEN (Mando Aéreo General del Aire), no trasmiten información clasificada OTAN/UE a través de este sistema (por orden del mensaje de 18-12-2018) pero tramitan la que reciben del CECOM del Estado Mayor de la Defensa (Ministerio de Defensa) a sus unidades dependientes (CECOMs B.A. Torrejón, B.A. Zaragoza, B.A. Morón, B.A. Gando, etc).

Fallos de Gravedad

El E.A.: No informa al ONS/CNI de la recepción de mensajes clasificados NATO-SECRET a través de un sistema No Acreditado (RUNCECOMDEF) aun estando obligado.

El CECOM Estado Mayor Defensa (JEMAD): Transmite información clasificada NATO-SECRET a través de un sistema que sabe no acreditado (es obligación de los Jefes de Seguridad de la Información comprobar periódicamente el estado de la acreditación de los sistemas que manejan información clasificada en los centros de su responsabilidad  (punto 4.5 Norma NS/01 Misiones del Jefe de Seguridad)-CESTIC (MINISDEF): Siendo el titular del sistema y quien se encarga de proporcionar los medios de comunicaciones a las FAS, por dejación de funciones al saber que a un sistema le caducó la acreditación para manejar información clasificada y no averiguar si se continúa utilizando, o que alternativa tiene.

El ONS/CNI: Por ser el responsable directo de acreditar el sistema RUNCECOMDEF y conocer del estado caduco de dicha acreditación de seguridad.