Francisco Pérez Bes es uno de los pioneros del derecho digital en España. Pérez Bes ha sido recientemente elegido el mejor abogado español en ciberseguridad del año 2020. Ha sido el Secretario General del Instituto Nacional de Ciberseguridad de España (Incibe), hasta que en 2020 se incorpora a la consultora Ecix Group, donde lidera el área de Digital Law. Autor habitual, entre sus obras destaca el Código digital de Derecho de la Ciberseguridad (BOE) y el libro Cuentos de ciberseguridad donde escribe una serie de fábulas, ilustradas por Ana Fernando Magarzo, con la que los niños y los padres pueden aprender a identificar riesgos en internet. Próximamente, adelanta a elEconomista, publicará un memento práctico de Ciberseguridad y un libro sobre Inteligencia Artificial, dirigidos por él.
Parece que cada vez asistimos a más ciberataques. ¿Es así o es solo una sensación?
Un poco de los dos. El motivo por el cual somos testigos de tantos ciberataques tiene que ver, por un lado, con el incremento de elementos conectados a Internet (conocido como IoT), lo que aumenta la superficie de exposición de nuestros dispositivos y conexiones a los cibercriminales y, por consiguiente, del riesgo a sufrir un incidente.
Y, de otro, el incremento y mejora de las capacidades de detección y gestión de incidentes, tanto a nivel público como privado. Todo eso hace que seamos capaces de identificar y reportar cada vez más incidentes, mejorando de este modo nuestras capacidades de reacción ante amenazas graves.
Tampoco hay que olvidar que la prensa viene dando un mayor protagonismo a noticias relacionadas con la ciberseguridad, lo que ha ayudado a dar más visibilidad a esta importante cuestión y a crear cierta concienciación y cultura ciudadana alrededor de este fenómeno.
¿Veremos cada vez más ataques?
Sin duda. El negocio del cibercrimen ha encontrado en Internet un lugar muy cómodo donde desarrollar sus actividades maliciosas, principalmente porque con poca inversión y poco riesgo, se pueden obtener ganancias multimillonarias. Mientras que, de otro lado, empresas, gobiernos y ciudadanos todavía están en la fase de aprender a usar la tecnología, y a adecuar apresuradamente su infraestructura tecnológica a una nueva y compleja realidad.
Hemos sido testigos de una fase durante la cual la sofisticación de los ataques ha sido, en muchas ocasiones, baja. Me refiero a burdos fraudes y estafas, que han tenido un impacto muy negativo por culpa del bajo nivel de concienciación de los usuarios. Afortunadamente, gracias a las labores de sensibilización que se van poniendo en marcha, ese nivel poco a poco va aumentado, y cada vez será más difícil que nos engañen. Entre estas iniciativas, destaco el Foro Nacional de Ciberseguridad que promueve el Departamento de Seguridad Nacional; el cybercamp y los cibercooperantes de Incibe, las jornadas del Centro Criptológico Nacional, el C1b3rWall de Policía Nacional o la Liga Interuniversitaria de la Guardia Civil, aunque hay muchas otras, a cuál mejor. Y después están las iniciativas privadas, como pueda ser Pantallas Amigas, Fundación Anar, o iniciativas de los operadores de telecomunicaciones y del sector financiero, principalmente, que desarrollan una labor muy valiosa y que debemos aprovechar y valorar.
Ahora bien, no podemos bajar la guardia y hay que asumir que los ciberataques son, y van a seguir siendo, una práctica habitual contra la que debemos luchar sin descanso. Por lo menos, hasta que logremos poner tantas dificultades para su comisión, que se conviertan en algo lo más residual posible, tal y como ha ocurrido con otro tipo de delitos en el pasado.
Todo ello sin olvidar que la rápida evolución tecnológica que estamos viviendo, cada vez ofrece mejores vías para cometer actos ilícitos a través de la Red, y que estamos asistiendo a la aparición de nuevos retos (la inteligencia artificial y la tecnología cuántica, por ejemplo) que vamos a tener que aprender a gestionar. De lo contrario, nos envolverá una indeseable sensación de miedo y desconfianza en la tecnología, que no nos podemos permitir.
¿Está España preparada en materia de ciberseguridad para afrontar estas amenazas?
España ha hecho grandes esfuerzos no sólo por no quedarse atrás en esta materia, sino incluso para intentar liderarla. Para ello lleva tiempo organizando su gobernanza de una manera seria y rigurosa, como lo demuestra el número de organismos con competencias en este campo (contamos con el DSN, el CCN, el Incibe, el CNPIC, el MCCD, el Consejo Nacional de Ciberseguridad, una fiscalía y policías especializada…), además de varias estrategias nacionales sólidas y una política clara. Así que, sobre el papel, podemos considerar que somos un país bien preparado.
Pero, como siempre, donde hay que poner el foco es en la realidad de las empresas, ciudadanos y entidades públicas, para las que la ciberseguridad ha sido un tema ajeno, en el que no se quería invertir. Pero han comenzado a entender que sin ciberseguridad no hay negocio posible.
"España también es un país que produce mucho talento en ciberseguridad"
Es cierto que hay que diferenciar entre aquellas empresas consideradas infraestructuras críticas, donde la cultura ciberseguridad es innata, del resto de empresas (especialmente pymes), donde todavía queda mucho recorrido para poder afirmar que estemos a un nivel aceptable. Por lo menos así lo demuestran los datos estadísticos que se manejan, que reflejan un crecimiento constante del número de incidentes que afectan a empresas españolas, y que puedo confirmar en base a mi experiencia.
España también es un país que produce mucho talento en ciberseguridad. Uno de los mayores retos que tenemos frente a nosotros es el de promover, identificar, formar y retener a este talento, con tal de poder seguir desarrollando una industria competitiva frente a incidentes de seguridad. Y que ese sea un elemento que aporte mayor resiliencia a nuestra empresas.
¿Las empresas prestan ya atención a esto? ¿Les ha costado verlo como riesgo?
Todas las empresas ya hablan de ello, y reconocen que es un tema que les interesa y les preocupa mucho. Pero a mi juicio, todavía muchas de ellas siguen viéndolo únicamente como un aspecto técnico, relacionado con los sistemas de la compañía, y no como un riesgo empresarial no financiero cuantificable o -incluso- como un activo que aporte valor. Sin embargo, ya ha habido casos donde ha quedado demostrado que sufrir un ciberataque hace disminuir el valor de las acciones de la compañía que ha sido víctima, especialmente porque el mercado pierde confianza en ella.
"Deberíamos haber destacado desde el principio que estamos ante una cuestión relacionada con la gestión de riesgos"
Uno de los elementos a los que achaco esta falta de sensibilidad puede tener que ver con el hecho de intentar concienciar en ciberseguridad utilizando el miedo como argumento principal, y envolver el discurso con tecnicismos, lo que ha provocado cierto hastío en un sector habituado a una gestión de riesgos más positiva, y a emplear conceptos de naturaleza económica y comercial. Probablemente deberíamos haber destacado desde el principio que estamos ante una cuestión relacionada con la gestión de riesgos y las buenas prácticas empresariales, la continuidad de negocio, la responsabilidad de administradores, la reputación empresarial y la confianza, el secreto profesional, la responsabilidad social empresarial o el buen gobierno corporativo.
Si tuviera que lamentar algo, quizás sería el que, durante todo este tiempo, no hayamos sabido aprovechar la ocasión para fomentar con mayor antelación e intensidad, aspectos tales como la sensibilización, concienciación y formación a los empleados y directivos de estas empresas que ahora son objetivo de los ciberataques o, sencillamente, de incidentes provocados por situaciones involuntarias.
¿Es cierto que la ciberseguridad ha dejado de verse como una debilidad o riesgo para pasar a considerarla una obligación?
Sí. La percepción que se tiene de la ciberseguridad ha ido evolucionando, y ya se relaciona en gran medida con los temas regulatorios gracias a la publicación de normas que abordan esta materia (especialmente en empresas consideradas infraestructuras críticas). Pero es que, además, y aunque no se piense en ello, la ciberseguridad es un asunto de seguridad nacional, por lo que es imprescindible que se obligue al cumplimiento de determinadas medidas.
"Los usuarios todavía no conocen la potencialidad de los riesgos que circulan por la Red"
Pero, como suele ser habitual, hasta que no se han comenzado a imponer sanciones, y sus importes publicados en las noticias, no se le ha prestado la atención que merecía.
Sin embargo, en el fondo, estamos hablando de una obligación que no es nueva, como es la de la protección de la seguridad de la información de las empresas. Lo que ocurre es que esa misma información se ha convertido ahora en uno de los principales y más valiosos activos de las organizaciones, lo que atrae a los delincuentes.
¿Cuáles son los fraudes más habituales?
La actividad fraudulenta siempre va buscando el dinero, a través de la víctima más fácil, que es el usuario. Por eso hemos visto un gran aumento de fraudes basados en técnicas de ingeniería social para engañar a los incautos y robarles información de valor, como es el caso del phishing (donde suplantan a un tercero para robarte credenciales), de las cartas nigerianas (donde te ofrecen dinero de forma aparentemente lícita), o el fraude del CEO (donde suplantan la identidad de un superior para que realices alguna transferencia o facilites información confidencial).
Contra este mal, la concienciación y la formación son clave para identificar un intento de fraude y poder evitar su comisión.
No olvidemos que una gran parte de la población usuario de internet son menores y gente de edad avanzada, que ya utilizan internet con habitualidad, aunque todavía no conocen la potencialidad de los riesgos que circulan por la red. De ahí también la necesidad de invertir tiempo y recursos en darles una formación adecuada sobre estos aspectos.
Otra modalidad es el temido ransomware, que impide el libre acceso a la información alojada en los sistemas de la compañía, a la vez que el cibercriminal exige el pago de un rescate para enviarte la clave de descifrado necesaria para recuperarla. La lucha más eficaz pasa por hacer copias de seguridad, almacenadas de forma aislada del sistema para no verse igualmente afectadas por el software malicioso.
"Actuemos con responsabilidad y cautela cuando navegamos por Internet"
Como podrá deducirse, los remedios no siempre pasan necesariamente por grandes inversiones en infraestructura tecnológica, sino por una serie de hábitos que, si somos capaces de implementarlos, podemos reducir el riesgo de sufrir un incidente en un altísimo porcentaje. Es lo que en el argot llaman ciberhigiene.
Luego, evidentemente, están los ataques más complejos y sofisticados, cuya prevención y gestión sí requieren un apoyo técnico muy cualificado. De ahí la importancia de contar con un servicio público, como es el del CERT, que nos facilita de forma gratuita la ayuda que podamos necesitar en la lucha contra los incidentes de seguridad que afecten a nuestros dispositivos.
La irrupción del coronavirus ha supuesto una explosión del teletrabajo. ¿Aumenta el riesgo? ¿Obliga a cambiar políticas de ciberseguridad?
Al cambiar el escenario y las circunstancias, lógicamente la política de protección de la información deberá adaptarse. En el teletrabajo desaparece el concepto de perímetro que es el que utilizan los profesionales de la ciberseguridad para delimitar el espacio a proteger, el de la oficina física. En este caso del trabajo en remoto, el comportamiento del empleado y su nivel de exposición son también distintos.
Los recursos domésticos casi nunca son los adecuados, y su nivel de seguridad suele ser inferior al necesario. De estas y muchas otras debilidades se pueden aprovechar los ciberdelincuentes. Estemos alerta, porque el ciberataque no es sólo el problema de la víctima, sino que es un riesgo para todos. Actuemos con responsabilidad y cautela cuando navegamos por Internet.
¿Qué se debe hacer ante un ataque?
Cada incidente es distinto, porque cada entidad afectada lo es. De ahí que los protocolos de actuación que se tengan contemplarán aspectos distintos dependiendo del sector, tamaño, recursos, etc., tal y como ya ocurría con los protocolos antiincendios. Sin embargo, como también ocurría con estos últimos, podemos identificar una serie de elementos comunes habituales, tales como mantener la calma y activar el protocolo de gestión de incidentes que tengamos implementado. En él se identificará a quién hay que alertar y quién va a coordinar cada una de las actuaciones que se vayan a llevar a cabo.
Es importante seguir las instrucciones que nos den desde el departamento de sistemas, quien identificará el tipo de incidente que estamos sufriendo y la gravedad y alcance de este. Denunciar el incidente a la autoridad competente por si pudiera ser constitutivo de delito. Siempre hay que notificar el incidente a la compañía de seguros, en el caso de disponer de una póliza que cubra riesgos de esta naturaleza.
Hay que colaborar con el departamento legal y el DPO en la investigación, de cara a conservar las evidencias digitales necesarias y, en su caso, reportar el incidente a las autoridades a las que estemos obligados. Se deben activar las acciones de comunicación, por si fueran necesarias. Además, hay que trabajar para minimizar el impacto del daño producido.
¿Por qué escribir 'Cuentos de ciberseguridad', un libro de cuentos infantiles para enseñar ciberseguridad a los niños?
Porque quería que pudiéramos hablarles a los más pequeños, en un lenguaje que entiendan y de una forma que les interese, de situaciones que puedan relacionar con situaciones de riesgo en Internet. Para mi era una aportación que quería hacerle a mis hijos y, por extensión, al resto de niños que van a ser los ciudadanos de la sociedad conectada del futuro.
En los cuentos no se habla de tecnología, sino de valores como la prudencia, la cautela, el respeto y el apoyo paterno. Sólo es una herramienta para facilitar a los padres el poder contarles a sus hijos situaciones de peligro basadas en situaciones cotidianas, pero que encuentran un paralelismo en internet. En el libro hay cuentos que encierran historias sobre el ciberbullying, sobre la conveniencia de usar contraseñas robustas, sobre fraudes y engaños, protección de datos, sobre manipulación con fake news, todo explicado de manera natural.
Mi objetivo y esperanza es la de que las nuevas generaciones no comentan los mismos errores que estamos cometiendo nosotros. Con mis hijos ha funcionado.
Además, he querido dedicarles un cuento a los policías y guardias civiles que trabajan en las unidades contra el ciberdelito, en reconocimiento a la gran labor que desempeñan en la lucha contra la criminalidad informática. Y todos los beneficios que obtenga por derechos de autor se donarán a fundaciones que tengan proyectos relacionados con la protección del menor en internet.
