43
se resintiese y limitase y condicionase
la respuesta al mismo (Díez Rodríguez,
2018).
En segundo lugar, las capacidades
españolas de ciberdefensa se apoyan
necesariamente en datos de carácter
restringido según la Ley 9/1968, de
5 de abril, sobre secretos oficiales,
por lo que la cesión de estos datos o
su utilización por una empresa privada
estaría condicionada por importantes
restricciones normativas.
Las problemáticas
y riesgos
planteados por la
externalización
podrían ser
salvados si
nuestro país
apuesta por un
modelo basado en
la contratación de
personal civil
Además, la exportación de estos datos
a servidores alojados en el extranjero
(en caso de que la empresa
adjudicataria no fuese española) supondría
un importante riesgo para su
seguridad y, por ende, para la seguridad
nacional.
Este último riesgo reviste, según
nuestra opinión, una importancia suficiente
para descartar la posibilidad
de la externalización en una empresa
extranjera, pues los intereses de las
compañías privadas extranjeras podrían
no ser coincidentes con los de
nuestras Fuerzas Armadas y nuestra
seguridad nacional. En última instancia
no debemos olvidar que una
empresa privada únicamente busca
su propio beneficio (Aznar Fernández
Montesinos, 2016).
En tercer lugar, la externalización de
las capacidades de ciberdefensa en
una única empresa nacional supondría,
por un lado, el riesgo de que si
esta es atacada las capacidades españolas
serían completamente deshabilitadas.
Por otro, la externalización
de las capacidades ciberofensivas en
un ente privado tendría efectos potencialmente
desestabilizadores de
carácter sistémico (Hoffman y Levite,
2017).
Además, en la medida en que las capacidades
de ciberdefensa pueden
repercutir en la seguridad de la ciudadanía
española de forma directa o
indirecta, no conviene condicionarlas
a los posibles cambios empresariales
que puedan suceder en el sector privado
(Laguna Sanquirico, 2005).
¿Qué sucedería con las capacidades
de esta empresa, y por ende de la ciberdefensa
española, en caso de una
mala condicionalidad bursátil? En
este escenario, ¿la empresa adjudicataria
seguiría siendo competente en
su labor o, por el contrario, descuidaría
la defensa nacional en su proceso
de caída y recuperación económica?
Por último, y quizás como respuesta
a estas últimas preguntas, podemos
afirmar que la plantilla de una empresa
privada difícilmente se involucrará
en la defensa nacional del mismo
modo que los integrantes de las FAS,
pues la cultura empresarial lucrativa
nunca podrá superar la pasión y la
dedicación que los integrantes de los
ejércitos poseen.
CONCLUSIÓN
El siglo xxi y la modernización tecnológica
han logrado que las categorías
y clasificaciones planteadas
entre lo civil y lo militar se diluyan en
cierto modo. Ciertos conceptos trascendentalmente
militares son aplicados
hoy en empresas civiles, mientras
que, al mismo tiempo, los Ejércitos
aplican múltiples técnicas de carácter
empresarial, como la externalización.
A lo largo del presente documento,
hemos tratado de investigar si esta
última práctica puede ser aplicada a
las capacidades españolas de ciberdefensa,
de forma que una empresa
privada sea adjudicataria del trabajo
que actualmente realizan las FAS.
Dada la insistencia de nuestro Ejecutivo
en plantear una ciberreserva
y con base en la necesidad de personal
altamente formado en esta área,
consideramos que, si bien la colaboración
público-privada en materia de
ciberdefensa es viable, esta no resulta
aconsejable, ya que la existencia de
un componente ofensivo en la ciberdefensa
que no podría ser desempeñado
por una empresa privada supondría
una importante restricción a los
resultados que podrían obtenerse.
Además, los riesgos inherentes a la
delicadeza de los datos vinculados
con la defensa nacional y la posibilidad
de que, debido a alguna corrupción,
estos caigan en manos de terceros,
actores externos, invalidarían
la posibilidad de externalizar las capacidades
de ciberdefensa en una
empresa extranjera.
Igualmente, se ha considerado que
existen riesgos importantes para descartar
la posibilidad de una externalización
en una empresa nacional, en
tanto en cuanto estos son superiores
a las ventajas que se podrían obtener
fruto de la externalización; dicho de
otro modo, la segunda de nuestras
hipótesis queda completamente descartada.
En síntesis, si bien es un hecho que
el Estado no cuenta con la capacidad
suficiente en términos humanos para
manejar al mismo tiempo todas las
amenazas que afectan directamente
al sector público español y las que
afectan a las distintas infraestructuras
críticas de la nación, las problemáticas
y riesgos planteados por la externalización
podrían ser salvados si
nuestro país apuesta por un modelo
basado en la contratación de personal
civil, de forma similar a como lo hace
Estonia.
Estonia, paradigma de nación digital
con unas élites políticas plenamente
conscientes de la importancia estratégica
que posee el ciberespacio
para la seguridad nacional, creó
en el año 2007 la Estonian Defence