Las ciberamenazas y los problemas informáticos son un campo más en la eterna guerra por garantizar la seguridad ciudadana. España cuenta con medios, protocolos y normativas que nada tienen que endiviar a los países más avanzados de su entorno. Pero es necesario seguir avanzando. Hoy se celebra el día internacional de seguridad informática, 'creado' hace 30 años por la Asociación for Computing Machinery (ACM) para concienciar a los ciudadanos. Pero ¿cuál es el papel del Estado en este sentido? Veamos una fotografía de la situación.

El sistema público de ciberseguridad en España descansa fundamentalmente sobre tres pilares: por un lado, el Instituto Nacional de Ciberseguridad INCIBE (que depende del Ministerio de Economía), por otro lado el Centro Criptográfico Nacional CCN (dependiente orgánicamente del CNI), y por último el sistema de ciberdefensa (Ministerio de Defensa).

La coordinación entre estos tres organismos suponen el primer y principal escudo contra los problemas más graves de seguridad que tienen que ver con redes informáticas, la protección de las infraestructuras críticas (como los ataques del criptogusano WannaCry, que pusieron en alerta a todo el planeta), la defensa del tejido industrial y empresarial patrio y, cómo no, la seguridad 'online' de los ciudadanos.

"La instantánea española en lo que se refiere a la seguridad informática en estos momentos es bastante buena, especialmente desde hace cuatro o cinco años", comenta a este diario Marcos Gómez, subdirector de servicios de ciberseguridad de INTECO. "Nos hemos puesto al día en legislación y en capacidades, la verdad es que estamos bien dotados". Y todo ello sin contar con la importante y prestigiosa red de empresas privadas que se dedican a la ciberseguridad en España.

Según cifras del INCIBE, este instituto fue capaz de gestionar más de 123.000 incidencias. "Este año rondaremos la misma cifra, y esto quiere decir que somos capaces de detectar estos ciberataques incluso antes de que el objetivo del ciberataque lo sepa", afirma Gómez.

"Esta capacidad de gestión nos permite hacer un mapa de amenazas bastante similar a los que tienen los países más avanzados", asegura dicho responsable, que añade: "Mientras más amenazas se detectan, más conocimientos adquirimos".

Mejores normas

Los avances legislativos han sido clave para establecer una estrategia efectiva de ciberseguridad desde los poderes públicos. La trasposición de la directiva NIS el pasado mes de septiembre mediante el Real Decreto-ley 12/2018, así como la nueva Ley de Protección de Datos (LOPD) —no exenta de polémica— que consagra una serie de 'derechos digitales', suman para intentar garantizar un mínimo de protección frente a las ciberamenazas.

Marcos Gómez apunta, además, que se está empezando a revisar la estrategia de ciberseguridad nacional de 2013, enmarcada dentro de la Estrategia de Seguridad Nacional renovada hace un año, y en estos momentos ya está en marcha el desarrollo reglamentario del mencionado Real Decreto-ley 12/2018. "Por lo tanto, en lo que concierne a la normativa estamos a la altura de nuestro entorno más punteros, como EEUU o Reino Unido".

Riesgos reales

En España, el Estado trata de forma separada las amenazas hacia los llamados operadores estratégicos críticos, el resto del tejido empresarial, con especial atención a las pymes y micropymes, y la ciudadanía. La razón es obvia: un ataque efectivo a los primeros (distribución de energía, de agua, transportes, telecomunicaciones, etc.) tiene un mayor efecto y un impacto más alto: abonados sin luz ni agua, posibles ataques contra centrales nucleares, contra sistemas informáticos sanitarios...

Desde INTECO se pone el acento en que se vigila también "con especial cuidado el mundo de la pyme, que es el principal pilar económico de España". Ataques de 'ransomware' o secuestro de sistemas, fugas de información o ciberestafas son los problemas más detectados por este organismo.

Asimismo, tratan de proteger a la ciudadanía, con un un interés especial en el comportamiento de los menores en la red. "No sólo lo decimos nosotros", incide Gómez, "sino que el Ministerio del Interior reconoce que de los más de 70.000 delitos informáticos en los que trabajó el pasado año, un 15% tiene que ver con temas de injurias, amenazas y acoso que afectan a los más jóvenes".

En general, los vectores de entrada de las ciberamenazas para los ciudadanos no sólo provienen de técnicas de engaño mediante ingeniería social o 'phishing', sino virus informáticos capaces de invadir nuestros dispositivos porque éstos "no terminan de estar actualizados o protegidos convenientemente", comenta el subdirector de servicios de ciberseguridad de INTECO.

Pero ¿qué sucede en el mundo de internet de las cosas, del creciente numero de dispositivos que se conectan a la red y sobre los que el usuario no tiene una capacidad real para, por ejemplo actualizar su sistema operativo?

Cómo actualizar un contador eléctrico 'inteligente'

Desde INTECO informan a Público que se trabaja con operadores y con fabricantes. "Entendemos que colocar un contador de electricidad conectado a internet puede ser muy útil, pero si no está bien protegido es mayor el riesgo que el beneficio que proporciona", confiesa Gómez.

Con este fin existe desde 2015 la red nacional de laboratorios industriales, que son 24, y en ellos se trabaja en el 'bastionado' o securización de esos dispositivos a nivel industrial. Asimismo, desde INTECO afirman que trabajan con los fabricantes —aunque muchos de ellos están fuera de España y es complicado— para que incidan en la 'securización por defecto' o 'por diseño': es decir, buscan concienciar a quienes construyen nuestros dispositivos para que prioricen la seguridad de los mismos casi tanto como la propia distribución.

El papel de los estados es clave en asuntos de ciberseguridad. PIXABAY (CC0)

En estos momentos, el Gobierno está evaluando la posibilidad de imitar modelos de otros países como Alemania, cuya normativa exige esa 'seguridad por defecto' en dispositivos como los contadores, que han de garantizar unos criterios de seguridad. No obstante, en España eso no va a suceder a corto plazo. "Es un asunto que tiene que ver con acreditación y certificación que suele exigirse por ley, y no hay nada de eso en el horizonte más próximo", reconocen desde el Instituto Nacional de Ciberseguridad.

"Al final, el Ejecutivo y el Legislativo van a un ritmo diferente que el técnico", lamenta Gómez, que añade: "No obstante, creo que hay motivos para estar satisfecho con el esfuerzo normativo de los últimos meses".

Es importante destacar que la nuevas normas sobre ciberseguridad y la de protección de datos —que obliga a todo sujeto que efectúe un tratamiento de datos a desarrollar seguridad por diseño, entre otros requisitos— con esquemas sancionadores y esto es muy importante: a los operadores de servicios esenciales y proveedores de servicios digitales se les obliga a cumplir con una amenaza de multa, que en el caso de la norma sobre ciberseguridad pueden llegar al millón de euros, pero en el de la LOPD alcanzan los 20 millones.

Así nos protege el Estado

La normativa española establece tres CERT (del inglés Computer Emergency Response Team) o CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante Incidencias de Seguridad Informáticas) de referencia en caso:

1) El CCN-CERT, del Centro Criptológico Nacional (dependiente sdel Centro nacional de Inteligencia, CNI), dedicado a vigilar y analizar ataques especialmente contra operadores de infraestructuras críticas y coordinar respuestas en el sector público.

2) El INCIBE-CERT, que se encarga de la comunidad que no entra bajo las competencias del CCN-CERT, especialmente ciudadanos y entidades de derecho privado (operado conjuntamente por el INCIBE y el CNPIC en la gestión de los incidentes que afecten a los operadores críticos). Lidera también las labores de concienciación y divulgación de todo lo referente a la ciberseguridad.

3) El ESPDEF-CERT, que depende del Mando Conjunto de Ciberdefensa (Ministerio de Defensa), cooperará con el CCN-CERT y el INCIBE-CERT "en aquellas situaciones que estos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional".

En caso de "especial gravedad", el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT. Cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crítico, los CSIRT de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)

Por encima de todo ello, el Consejo de Seguridad Nacional, encuadrado en el Departamento de Seguridad Nacional y encabezado por el propio presidente del Gobierno, ejercerá "una función de enlace para garantizar la cooperación transfronteriza de las autoridades competentes designadas, con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT".

Ayuda para los ciudadanos

Para usted y para mí existen varias vías de protección frente a las amenazas informáticas que la Administración ofrece o sugiere. Desde la Oficina de Seguridad del Internauta (OSI), que depende del INCIBE, se puede acceder a recursos e información para evitar sobresaltos. Casi todo lo que indica la OSI es puro sentido común.

Asimismo, desde el 15 de octubre funciona la línea de ayuda de ciberseguridad [900 116 117], gratuita y abierta a todos —ciudadanos y empresas—, todos los días del año de 9:00 a 21:00 horas.