El Poder Ejecutivo cursó una solicitud de venia al Parlamento para que seis militares de Estados Unidos realicen en nuestro país el ejercicio cibernético simulado Cyber UY 2025, entre el 8 y el 12 de diciembre próximo. El asunto parece haber pasado por debajo del radar de las autoridades ministeriales. El riesgo de que ocurra lo mismo con los legisladores, en pleno debate presupuestal, es significativo.
La iniciativa es un ejemplo de aplicación de la doctrina de la seguridad nacional: el enemigo está adentro y el aliado, afuera, tal como lo recordó el historiador Carlos Demasi, en un reciente seminario por los 50 años del Plan Cóndor.
Uruguay cuenta con una plataforma cibernética similar a la que proponen los militares de Estados Unidos para la simulación, creada y operada por la Facultad de Ingeniería, de la Universidad de la República (Udelar).
Aunque en el texto enviado al Parlamento se evita mencionar qué institución será la contraparte local de la actividad, todo indica que la simulación contribuye de forma oblicua a la aspiración del Comando Sur de acceder a la «tutoría» y al acceso de elementos clave de los sistemas informáticos de entes y ministerios que, salvo ANTEL, no se identifican.
La ciberseguridad de las entidades públicas constituye un patrimonio demasiado relevante para cederlo graciosamente. Su manejo permite controlar o desbaratar al Estado y, por extensión, al conjunto de la sociedad.
Un contexto regional convulso
La ley de la selva impera en el mundo. Estados Unidos se repliega para afirmar su dominación en América Latina, región desde la que construyó su imperio mundial en el siglo XX. Concentra en la actualidad fuerzas militares en el Caribe solo comparables a las reunidas en 1962, durante la crisis de los misiles. La IV Flota del Comando Sur, con la inminente incorporación del portaaviones Gerald Ford, reúne unidades navales más poderosas que el Mando Europeo o el Comando Central.
Estados Unidos amenaza con invadir Venezuela. El presidente Donald Trump, sin aportar pruebas, definió dos mandatarios sudamericanos como narcotraficantes, amenazó con ataques selectivos contra Caracas y llevó a cabo al menos 66 ejecuciones extrajudiciales en las costas de la región.
Mucho más cerca, en Argentina, está en marcha una operación política de consecuencias impredecibles. Estados Unidos, convocado por las genuflexiones del presidente Javier Milei, se apropió de la conducción económico-financiera del país y, según declaró Trump, va en camino de hacer lo propio con sus recursos naturales. Brasil, en tanto, debió enfrentar la pretensión estadounidense de torcer la decisión judicial de procesar a Bolsonaro.
No es razonable que Uruguay actúe como si nada sucediera.
Demasiada opacidad
Es llamativo el exiguo plazo que se da al Parlamento para tramitar la venia, pues la urgencia no se justifica. La iniciativa, según el mensaje del Ejecutivo, data de mayo de 2024, durante el ejercicio de simulación Cyber Yankee que, contrariamente a lo que sugiere el documento, se realizó en Massachusetts y no fue organizado por la Guardia Nacional de Connecticut (GNC), que, desde 2020, no organiza esos ejercicios anuales.
Otro elemento de opacidad es que no se detalla fecha de ingreso ni de salida del país de los militares extranjeros, según mandata la Constitución. El texto tampoco explicita que el ejercicio, en realidad, es gestionado por el Comando Sur e integra el Programa de Colaboración Estatal del Pentágono (SPP, por sus siglas en inglés). Según aseguró en 2021 el mayor Steven Ortiz, director del programa en la GNC, el SPP «fortalece el acceso y la influencia de Estados Unidos, mientras incrementa la preparación de las fuerzas asociadas para enfrentar los desafíos emergentes».
Por otro lado, el mensaje que remitió el Poder Ejecutivo al Parlamento describe a Cyber Range como «un entorno virtual simulado diseñado para capacitación, pruebas e investigación de ciberseguridad» y afirma que a través de esa plataforma se simula un ataque cibernético a una infraestructura crítica del Estado. Esta plataforma es ofrecida por diversas empresas comerciales. Sin embargo, en Uruguay, la Facultad de Ingeniería, pública, liderando un grupo de trabajo integrado por 13 universidades, desarrolló una «Cyber Range» propia, que está operativa desde 2023. Su objetivo, según la institución, «va más allá del entrenamiento inmediato de estudiantes y profesores» y «se está avanzando en la creación de una infraestructura propia y en el desarrollo de capacidades tecnológicas en las universidades participantes», para «optimizar recursos y potenciar las capacidades en ciberseguridad de la región». ¿Por qué no se usa la plataforma de la Udelar?
ANTEL a disposición
La afirmación del mensaje enviado al Parlamento acerca de que «se creará una infraestructura crítica ficticia» resulta, al menos, dudosa. ¿Qué supone el rol de «partener» [sic] asignado a ANTEL por el Ejecutivo?
Conviene tomar como referencia el ejercicio Cyber Yankee, organizado por la GNC en 2020. En su página web, la entidad informa que «el objetivo del ejercicio para los militares es entrenarse para interactuar con un recurso crítico del Estado, mediante un socio de misión (mission partner)». Ello muestra que lo de «ficticio» alude al ataque y no a la infraestructura crítica que se simula defender. También echa luz sobre el verdadero significado del rol de «partener» que el mensaje del Poder Ejecutivo asigna a ANTEL, que parece ser la infraestructura crítica atacada en la simulación (el ejercicio consiste en equipos de estadounidenses y uruguayos que simulan atacar y defender una infraestructura crítica del Estado).
La Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), dependiente de la Presidencia, es la institución rectora del ámbito de la ciberseguridad en el país. Sin embargo, resulta ignorada por el Ejecutivo.
Finalmente, hay que recordar que el Ministerio de Defensa Nacional (MDN) y las Fuerzas Armadas deberían ceñirse a las normas legales. El MDN, que aparece sugerido en el texto como «huésped» de la simulación, no tiene la seguridad informática del Estado entre sus cometidos. En tanto, la ley 19.775 (artículos 8 al 13) establece que «el ámbito espacial del Estado incluye al ciberespacio y al espectro electromagnético», pero no otorga «jurisdicción» en ellas a las Fuerzas Armadas. En tanto, entre las tareas subsidiarias de los militares se incluye la de «contribuir a la defensa y seguridad cibernética del Estado y del espectro electromagnético en coordinación con otros organismos» (artículo 22, inciso c.). Ello no ampara el rol que, pese a que no está explícito, parece asignarles el Ejecutivo.
Concluyendo: el vacío tiende a ser inmediatamente ocupado. Como lo establecen los artículos 78 al 84 de la ley 20.212 y el reciente decreto 66/025, parece necesario que la Agesic asuma un papel mucho más activo en su ámbito de actuación.
