XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON  La «churrera»: un laboratorio de Defensa automatiza la creación de sistemas seguros para operaciones militares

Bajo la denominación SIDAN se esconde un opaco nombre: Sistema Integral de Despliegue Automático de Nodos. ¿Qué significa? En esencia, es una herramienta que permite crear, en muy poco tiempo y casi de forma automática, todos los sistemas informáticos necesarios para que España pueda montar un puesto de mando seguro en una operación militar. En lugar de configurar servidores, redes, ordenadores y servicios —un proceso largo y complejo— SIDAN genera todo el entorno siguiendo estándares OTAN, garantizando que sea seguro, interoperable y listo para usarse desde el primer día. Es, en esencia, una «fábrica» que produce nodos de misión completos y fiables con solo unos pocos pasos. Este complejo proceso ha sido explicado por el teniente del Ejército de Tierra Jorge Medrano, destinado en el Mando Conjunto del Ciberespacio como jefe del grupo del laboratorio FMN. Su ponencia tiene lugar en el marco de las XIX Jornadas STIC CCN-CERT | VII Jornadas de Ciberdefensa ESPDEF-CERT | Congreso RootedCON, organizadas por el Centro Nacional de Inteligencia (CNI) a través del Centro Criptológico Nacional (CCN).

El responsable del Laboratorio FML —un equipo integrado en la Jefatura de Sistemas del Ciberespacio del Mando Conjunto— expuso durante una intervención técnica el trabajo que desarrolla esta unidad, orientada a garantizar la seguridad y la interoperabilidad de los sistemas de mando y control utilizados en misiones nacionales e internacionales. Su presentación giró en torno a tres cuestiones: qué es FML, cuál es el papel del SIDAN —el Sistema Integral de Despliegue Automático— y por qué en el argot interno se denomina «churrera» al sistema que automatiza estos despliegues.

Un laboratorio sin batas

El ponente aclaró que el Laboratorio FML no es un laboratorio convencional. No se trabaja con probetas ni material científico, sino con servidores, routers, pantallas y equipos de red. Su misión se apoya en dos pilares: la seguridad y la interoperabilidad, requisitos esenciales para los sistemas que permiten a un país conducir una operación militar, desde comunicaciones seguras hasta la gestión de unidades desplegadas.

El marco técnico que articula este trabajo es Federated Mission Networking (FMN), una iniciativa aliada en la que participan los países de la OTAN. FMN establece estándares comunes para asegurar que los sistemas de cada nación pueden operar entre sí sin importar el origen, la tecnología empleada o el entorno de despliegue. La iniciativa se estructura en «espirales»: ciclos temporales en los que se definen requisitos técnicos que los servicios deben cumplir. Actualmente, los países operan en la Espiral 4, con más de 30 servicios obligatorios o complementarios ya estandarizados.

Garantizar que todos los sistemas se entiendan

El teniente recordó que, durante años, cada ejército —Tierra, Armada y Aire— desarrollaba sus propios sistemas, lo que dificultaba las operaciones conjuntas. La interoperabilidad también resultaba problemática cuando España participaba en misiones internacionales: los sistemas nacionales no siempre podían comunicarse con los de otras naciones. FMN nació precisamente para resolver ese problema.

En este contexto, el Laboratorio FML actúa como un espacio acreditado para validar servicios y productos. Dispone de un clúster de virtualización conectado a la red de laboratorios de otros países aliados, lo que permite realizar pruebas reales de interoperabilidad. Las empresas cuyos productos cumplen los estándares pueden utilizarlos para acreditar sus soluciones e incorporarlas a la «línea base» de un servicio FMN, lo que abre la puerta a comercializarlas en todos los países de la OTAN. Entre los últimos casos de éxito citó a Indra y otras firmas que están en proceso de validar sus productos.

Además del trabajo continuado en validación, el laboratorio participa en ejercicios nacionales e internacionales. En España colabora en el Ejercicio V2CN, en el que distintos ejércitos prueban servicios antes de desplegarlos. A nivel aliado, participa en ejercicios realizados en Polonia para verificar la interoperabilidad con otros países.

El origen del SIDAN: la dificultad de montar sistemas seguros

El ponente explicó que el equipo detectó una necesidad: los nodos de misión que España despliega para conducir operaciones internacionales exigen un alto nivel de conocimientos y tiempo de configuración. Son sistemas con información clasificada que deben ser acreditados por cada país, y su montaje es complejo. Según describió, es «como correr una maratón»: cada paso exige cumplir medidas estrictas de ciberseguridad, lo que a su vez limita funcionalidades y complica aún más el proceso.

La solución fue desarrollar un sistema capaz de automatizar esta generación de entornos seguros y totalmente interoperables. Así nació el Sistema Integral de Despliegue Automático (SIDAN), un proyecto iniciado hace cinco años y que hoy permite generar sistemas acreditables en muy poco tiempo.

Un generador de sistemas para operar desde el «día cero»

El SIDAN funciona como un generador automatizado de sistemas, capaz de crear los nodos de misión con todos los requisitos FMN. Esto garantiza que, al desplegar junto a otro país aliado, ambos sistemas podrán interconectarse desde el primer momento. El sistema genera tanto la parte de software —máquinas virtuales y servicios— como los elementos necesarios para que puedan integrarse en cualquier hardware homologado.

El proceso se basa en un conjunto de scripts, denominados runbooks, que despliegan y configuran los servicios necesarios. Puede generar tanto el núcleo común —correo seguro, directorio activo, servidores SQL, sistemas Windows 10 y 11, WSUS o servicios esenciales de red— como servicios adicionales de ciberdefensa o capacidades específicas de mando y control.

Una de sus ventajas es que permite levantar un sistema completo, probarlo, someterlo a análisis de seguridad y eliminarlo en cuestión de horas, lo que facilita tanto pruebas técnicas como validaciones o ejercicios. También permite generar una misión, almacenarla en un dispositivo y entregarla a otra unidad para que la despliegue en su propio hardware sin necesidad de repetir el proceso desde cero.

SIDAN 2.0: Mejoras y nuevas capacidades

Durante el último año, el laboratorio ha desarrollado SIDAN 2.0, una versión mejorada que unifica las dos partes del sistema (el núcleo y los servicios complementarios) y que incorpora cambios importantes. Entre ellos, un histórico de misiones, un nuevo entorno web, la capacidad de añadir servicios a una misión ya generada, la revisión de políticas de seguridad y un gestor de logs unificado para facilitar el análisis de errores. También se han actualizado tecnologías y servicios —como bases de datos o sistemas Windows— para adecuarlos a los estándares actuales.

Entre los próximos avances previstos figura la automatización de la parte física de los servidores, un proceso que actualmente sigue realizándose a mano.

La «churrera»: producir sistemas en serie

El ponente cerró la intervención explicando por qué este sistema recibe internamente el nombre de «la churrera». En el laboratorio, el SIDAN permite generar sistemas «como churros», de forma rápida y repetida. Sin embargo, ese nombre no aparece en documentos oficiales por razones obvias; en su lugar se emplea la denominación técnica del sistema.

Con humor, concluyó con el lema interno del equipo: «firmar y empezar», una forma de animar a asumir la responsabilidad técnica y afrontar los problemas desde el primer momento.