>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-25-Más allá de la Teoría reflexiones de un Comandante 1163b23650a68373bc3681a8f3d7fe06.md
Última modificación: 25-10-2025
Etiquetas: #CCN-CERT25

Más allá de la Teoría: reflexiones de un Comandante del Ciberespacio

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/francisco-javier-roca

Contexto: Charla del Comandante del Mando del Ciberespacio (Fuerzas Armadas) sobre el cambio de era, gestión de riesgos digitales y liderazgo tecnológico.

Contexto general

Esta conferencia va de cómo el mundo ha cambiado de forma radical y no hay vuelta atrás. El ponente, con casi dos trienios de experiencia en el mando del ciberespacio, plantea que no estamos en una era de cambios, sino en un cambio de era. El rollo es que la tecnología no solo cambia las soluciones, cambia los problemas mismos. Y básicamente, si no te adaptas, te quedas irrelevante. La charla mezcla filosofía militar con gestión empresarial y advertencias sobre ciberseguridad como tema de seguridad nacional.

Conceptos clave

  • El mundo ha cambiado muchísimo: No es una era de cambios, es un cambio de era. Sin vuelta atrás. Lo que cambian no son las respuestas, sino las preguntas y los problemas.
    • Ejemplo: IA no es solo para elegir películas más rápido en el videoclub, el problema ya no es el videoclub (Netflix lo reemplazó directamente).
  • Regla temporal: Lo que antes pasaba en 10 años ahora pasa en 1 año. Una vida profesional (50 años) ahora se comprime en 5 años de cambios.
  • Prepárate para lo peor: Estrategia militar aplicada a todo: deseas lo más probable, pero te preparas para el peor escenario posible. Puedes volverte irrelevante en 5-10 años.
  • Tres pilares clave: Personas > Procesos > Tecnología (en ese orden).
    • La tecnología está democratizada, la diferencia la marcan las personas: valores, lealtad, compromiso.
    • Necesitas alma de eterno aprendiz: reskilling, upskilling constante. Lo que estudiaste en primero de carrera ya es irrelevante en cuarto.
  • Las 3P para atraer talento: Pasta (dinero, P minúscula), Proyecto (P normal, que sea atractivo), Personas (P mayúscula, cómo las tratas).
  • Confianza y delegación radical: Delegar hasta que te sientas muy incómodo. Si delegas algo que harías igual que tú, no estás delegando de verdad. Confianza al nivel de "el abuelo con la nieta": valores compartidos.

Desarrollo técnico

Gestión del riesgo y amenazas

La ciberseguridad es gestión del riesgo, no algo absoluto. Para que exista una amenaza necesitas tres factores:

  1. Capacidad (de hacerte daño)
  2. Intención (voluntad)
  3. Oportunidad (acceso/momento)

Puedes reducir la amenaza quitando oportunidades. Pero lo más importante es actuar sobre:

  • Impacto en tu misión (qué te juegas si te atacan)
  • Vulnerabilidad (tu exposición, qué has invertido en protegerte)

Tipos de defensa

  • Reactiva (tortuga): Defiendes tu perímetro. Necesaria pero insuficiente. Al final te comen.
  • Reactiva dirigida por amenaza: Inviertes en conocer quién es tu enemigo y te enfocas en él.
  • Proactiva (móvil): El enemigo ya está dentro. Debes encontrarlo, echarlo o engañarlo. Elevar el coste de atacarte para que vayan a otro. Concepto "zero trust".

Operaciones en ciberespacio

Todos los mandos de ciberdefensa del mundo hacen cuatro tipos de operaciones:

  1. Defensa (pasiva en tus redes, activa en redes ajenas)
  2. Explotación (inteligencia, vigilancia, reconocimiento - ISR)
  3. Ofensivas (proyección del poder: que el otro haga lo que quieres o deje de hacer lo que te molesta)

Herramientas y conceptos mencionados

  • Ciberespacio → Sistema nervioso de la sociedad digital. Todo depende de él.
  • IA (Inteligencia Artificial) → La nueva electricidad. Neutral, ni buena ni mala. Depende de cómo la domines.
  • Tecnología cuántica → El siguiente gran salto (en 5-10 años). Solo habrá un ganador en esa carrera, y no será europeo por niveles de inversión.
  • NIS 2 → Directiva europea que hará responsables legales a CEOs y trabajadores por falta de diligencia debida en ciberseguridad.
  • Innovación cada 45 días → En Ucrania introducen nueva tecnología cada 45 días, pero se vuelve obsoleta en 90 días. El ritmo es brutal.

Términos técnicos importantes

  • Reskilling/Upskilling: Transformar y actualizar conocimientos constantemente.
  • Diligencia debida: Responsabilidad legal de actuar con precaución. Sin ella, puedes ser condenado (caso: funcionaria que perdió 9M€ por fraude CEO).
  • Zero trust: Modelo de seguridad donde no confías en nada por defecto, incluso dentro de tu red.
  • ISR: Intelligence, Surveillance, Reconnaissance (Inteligencia, Vigilancia, Reconocimiento).

Conclusiones

La ciberseguridad no es solo un tema técnico, es seguridad nacional. Según encuestas del Departamento de Seguridad Nacional, las vulnerabilidades del ciberespacio son el riesgo más probable y más peligroso por encima de terrorismo, cambio climático o pandemias. El problema es que no se ve, y como no se ve, no lo valoramos.

La solución no está solo en hospitales (CCN, INCIBE, el mando), está en la salud de todos los ciudadanos. El 80% de la solución es concienciación. El 90% de incidentes son por error humano, y la gente sabía que estaba mal pero lo hizo igual por comodidad.

El mensaje clave: No puedes improvisar. Tienes que estudiar, leer, invertir tiempo. Si no quieres hacer ese esfuerzo, sé leal a tu institución y apártate para que otro que sí quiera lo haga.

Frase final brutal: "Demasiado tarde" resume todos los fracasos militares (y empresariales). Demasiado tarde para darte cuenta del cambio, para invertir, para decidir.

Para investigar más

  • Directiva NIS 2 y su implementación en España (responsabilidad legal en ciberseguridad)
  • Casos de uso de IA en defensa y límites éticos
  • Tecnología cuántica: estado actual y carrera global
  • Operaciones híbridas y guerra de la información (desinformación, manipulación)
  • Modelo zero trust aplicado a infraestructuras críticas

<< cd ..

>_