El 5G amplía la superficie de ataque

La falta de inversión de las empresas privadas en ciberseguridad, la necesidad de retener el talento que forma el sistema educativo, la falta de adaptación al medio de los migrantes digitales y la escasa concienciación de los nativos, la proliferación de criptomonedas o las advertencias sobre las amenazas del 5G son algunos de los principales aspectos que preocupan a las fuerzas de seguridad en el nuevo escenario hiperconectado. Un escenario en el que el ciberdelito y el ciberespionaje crecen «no exponencialmente, sino de forma viral»; mientras el hacktivismo y el ciberterrorismo son amenazas emergentes. Nadie es ajeno a los ciberataques: un tercio de los ciudadanos los ha sufrido, aunque la mayoría no lo sabe. Frente a esta realidad se sitúa el puzzle de organismos y estrategias conformado para prevenir, detectar y solventar los incidentes cibernéticos. Un encaje en el que el Instituto Nacional de Ciberseguridad (Incibe) tiene un papel protagonista, y que está formado pero necesita ser continuamente fortalecido.  

Son algunas de las reflexiones de Luis Fernando Hernández, coronel de la Guardia Civil y director de la División de Tecnología del Cuerpo. En una entrevista realizada en Santander, durante su participación en el curso de la Asociación de Periodistas de Información Económica (Apie) de la Universidad Internacional Menéndez Pelayo, Hernández repasa la evolución de los ciberdelitos y la organización y medidas que se adoptan para hacerles frente.  

El coronel llama la atención especialmente sobre las vulnerabilidades que abre en la ciberseguridad la falta de inversión por parte de las empresas privadas. «Al final todos los demás esfuerzos son humo. Por mucho que el Estado apoye este avance, y los esfuerzos han sido muy importantes, en última instancia son las empresas las que tienen que destinar sus propios recursos a su seguridad. Es absurdo pensar que el Estado puede asumir esta responsabilidad al 100%. Las empresas no están dedicando realmente todos los esfuerzos financieros y humanos que consideramos que deberían aplicar». Una situación que en su opinión se da tanto por falta de concienciación como por resistencia a invertir recursos. «Hay que entender que estamos saliendo de una crisis económica, y la tecnología es cara. Las soluciones tecnológicas pueden tener un coste que para algunas microempresas puede ser prohibitivo, por eso es tan importante la figura del Incibe, porque apoya a las empresas con inversiones que quizá no puedan realizar; pero eso no quiere decir que no estén en riesgo».  

Aunque el problema no afecta sólo a las pymes, entre las grandes corporaciones «hay de todo. En algunas el nivel de compromiso y actuación es alto, pero para muchas otras lo que impera es el desconocimiento. Y algo mucho peor, el miedo. A veces sorprende que la política en este campo sea la del ‘ojos que non ven, corazón que no siente’. Hay adolescentes más cuidadosos que algunos directivos, muchos no aplican ningún protocolo de seguridad».  

Eso a pesar de que el gran volumen del ciberespionaje no es político, sino económico. «En economía no hay amigos ni enemigos, sólo competidores. Y la mayor parte de los robos, tanto de empresas como de personas, son de datos. Lo que más interés despierta en la darknet es precisamente el mercado de datos».  

La comparación de la falta de precauciones de las empresas con la de los adolescentes es especialmente preocupante si se tiene en cuenta que «lamentablemente tampoco los ciudadanos toman muchas medidas para protegerse». El coronel muestra su preocupación especialmente por los jóvenes. «Siendo autocríticos, sinceramente creo que no estamos obteniendo los resultados que nos marcamos y que debíamos habernos exigido. Desde luego, no será por no haber puesto empeño». Y recursos. A pesar de todo, «las generaciones jóvenes no protegen su intimidad, no son para nada discretos y prudentes en el uso de los medios. En las redes sociales te das cuenta de la alegría con la que publican contenidos, dicen lo que hacen, sus teléfonos, fotos, muchas de ellas de las que se arrepentirán después,... Para ellos los problemas en las redes son como los accidentes de tráfico, piensan que les va a pasar a otros, que los riesgos no van con ellos. Esa falta de conciencia es muy acusada y preocupante entre los jóvenes; entre las generaciones más veteranas el problema es la falta de adaptación al medio. Los migrantes digitales en general hacemos un uso limitado y básico de la tecnología, pero con poco conocimiento sobre su seguridad».  

En este escenario de riesgo el responsable de la División de Tecnología de la Guardia Civil, uno de los expertos más veteranos en el ámbito de la ciberseguridad, destaca la actividad del Incibe y el desarrollo de herramientas que pone a disposición de las fuerzas y cuerpos de seguridad del Estado. Especialmente en el ámbito del abuso sexual a menores, una de las principales lacras que se ha extendido con el uso de las tecnologías. «Esas herramientas son un apoyo fundamental, siempre hemos trabajado de forma conjunta. Uno de los principales avances es el detector de evidencias orientado a la persecución de un delito tan execrable como el abuso de menores».  

En este tipo de colaboraciones se «establecen unos planes anuales, nosotros trasladamos nuestras inquietudes y nuestras necesidades y el Incibe las analiza y, en la medida de lo posible, las transforma en tecnologías en beneficio de las unidades de investigación de los cuerpos. Es una pieza fundamental».  

Una misión del Incibe que tiene también como foco el desarrollo de una industria local potente en materia de ciberseguridad. «Y no se trata sólo de apoyar a las pymes, sino de fomentar que las empresas nacionales den un giro y se adapten a un mercado en alza: el de la ciberseguridad. Porque adolecemos de una total falta de herramientas, y a menudo nos vemos abocados a comprar soluciones a terceros. Eso implica a veces también conflictos. Además, las herramientas desarrolladas por empresas nacionales se adaptan a las necesidades del país; y el empleo y el resto de los beneficios revierten en el país. Lo que está haciendo el Incibe potenciando la industria nacional tiene absolutamente toda la lógica».  

En este sentido, el coronel de la Guardia Civil lamenta también la falta de compromiso con la industria española. «Muchas empresas tienen más prestigio fuera de país que dentro, se cumple el dicho de que nadie es profeta en su tierra. Somos un pueblo con una baja autoestima, parece que si viene una multinacional tiene que ser mejor que lo que se hace aquí, y no es cierto. Tenemos que ser capaces de confiar más en el talento de nuestra gente».  

El puzzle de la ciberseguridad  

De la misma manera, España es uno de los países más avanzados del mundo en materia de ciberseguridad. «No lo decimos nosotros, lo dice Europa. Y el modelo del Incibe ha sido visitado y estudiado por varios países para trasladar un ejemplo de éxito a sus estructuras».  

A la hora de valorar qué supuso la creación del inicialmente Instituto Nacional de Tecnologías de la Comunicación (Inteco) Hernández, que recuerda que ha participado en todas las ediciones del Encuentro Internacional de Seguridad en la Información (Enise) que se celebra en León, señala que «fue un gran acierto. Hacía falta. Nació de forma un poco tibia, porque se asoció a decisiones muy personalistas. Pero al margen de estas cuestiones, siendo pragmático, la decisión y su ejecución fue muy acertada. Hacía falta crear una estructura pública de apoyo a la ciudadanía y a las empresas, sobre todo a las pymes. Y además nació en un momento en el que se veía que esto se iba a descontrolar, fue muy premonitorio. El tiempo le ha dado la razón: esto se ha descontrolado». De igual manera que su transformación en Instituto Nacional de Ciberseguridad fue «una evolución natural».  

El Incibe es parte de un entramado de organismos que se ocupan de abordar las estrategias y actuaciones en materia de ciberseguridad. A la pregunta de si las competencias se solapan o el puzzle da a cada uno una función concreta Hernández desgrana el organigrama de instituciones que convergen en la protección del ciberespacio. «Dependiendo del Consejo de Seguridad Nacional hay una serie de estructuras, una fundamental es el Consejo Nacional de Ciberseguridad, en el que estamos presentes todos los demás organismos. Nos reunimos periódicamente de forma ordinaria, y extraordinaria cuando se requiere. También están los ministerios, de Interior, Industria, Educación, Defensa, Presidencia, Ciencia, Cultura,...» Actores clave en esta estructura son el Centro Criptológico Nacional, el Centro Nacional para las Infraestructuras Críticas, el Departamento de Seguridad Nacional, el Mando de Ciberdefensa, y «los cuerpos de seguridad, en la medida en la que nos compete. Cuando se habla de ciberseguridad se piensa que hay muchas infraestructuras, pero cada una atiende un enfoque y unos cometidos muy concretos y perfectamente definidos. No nos solapamos, con complementamos».  

¿Es una estructura suficiente, o necesita ser ampliada? «Personalmente creo que no hace falta crear más estructuras, pero sí potenciar las que existen. Tenemos la base, la estructura, ahora es necesario hacerla más robusta. Cuanta más fortaleza tenga, mejor trabajará. Pero desde el punto de vista organizativo hemos tocado techo».  

La asignatura del talento  

Sin embargo, hay una asignatura pendiente en la que la División de Tecnología de la Guardia Civil se ha volcado: retener el talento. «Por eso hemos puesto en marcha la I Liga Nacional Interuniversitaria de Retos en el Ciberespacio (https://nationalcyberleage.es). Para nosotros esa es la piedra angular de todo. España genera jóvenes altísimamente cualificados desde el punto de vista profesional, tanto en las universidades como en formación profesional. Eso nos lo reconoce el extranjero, es triste que estos jóvenes tengan que irse porque se les valora mejor fuera».  

Una realidad que hace también que muchos jóvenes no contemplen la ciberseguridad como una salida de futuro laboral, cuando es una de las que más profesionales requiere y requerirá en el futuro. El déficit de especialistas es enorme. «No sólo tiene futuro, sino que es muy necesaria. Si los jóvenes reciben una formación bien orientada a tiempo, podemos conseguir que aumente el número de profesionales».