La apuesta por la ciberseguridad: los corderos también queremos ser lobos

En solo cinco años nuestra industria de la seguridad digital ha pasado de estar por detrás de países como Hungría a convertirse en el segundo miembro de la UE en cuanto a madurez. Las medidas gubernamentales no dejan de sucederse y el mercado podría superar los 2.200 millones de euros en 2025. Si hay una guerra que merece ser luchada y en la que tenemos probabilidades de ganar, es la que se libra con unos y ceros.

Internet es oscuro y alberga horrores. Sus monstruos son invisibles, pero están por todas partes. Prueba de ello es que en 2021 prácticamente todas las empresas españolas sufrieron un incidente informático de carácter grave. Solo el 6,25% escapó de las garras de los hackers, según Deloitte, y probablemente fuera por pura suerte. “Tener cualquier tipo de presencia en Internet es como ser una persona en un espacio público, donde hay virus y bacterias. Es imposible existir sin riesgo de que te impacten”, nos advirtió hace unos meses la responsable global de Seguridad y Resiliencia de Kyndryl, Kris Lovejoy.

Afortunadamente, a diferencia de Casandra, los oráculos de los expertos en ciberseguridad llevan años siendo atendidos, especialmente en España, como demuestra nuestro meteórico ascenso en el Índice Global de Ciberseguridad de la Unión Internacional de las Telecomunicaciones (UIT). Su primera edición de 2015 nos colocó en una posición mediocre, por detrás de 32 países y superados por naciones como Brasil, Hungría y la India. Pero en la última, elaborada solo cinco años después, habíamos ascendido hasta la cuarta posición de la lista y los únicos vecinos del continente europeo que teníamos por delante eran Reino Unido y Estonia.

España es una potencia global en ciberseguridad y ha conseguido situarse entre los países más punteros en muy poco tiempo”, confirma el CEO de Indra, Ignacio Mataix. Atribuye este éxito a “diversos fenómenos coadyuvantes que interaccionan entre sí”, como “la elevada concienciación digital de la sociedad y las empresas, el fortalecimiento de la colaboración público-privada, el aumento de las inversiones corporativas y la creación a comienzos de la década pasada de una arquitectura institucional sólida, con la aprobación de una primera Estrategia de Ciberseguridad Nacional en 2013 y la puesta en marcha de un Consejo Nacional de Ciberseguridad y un Comité de Situación”.

De aquellos barros, estos lodos, pero para bien. Las semillas plantadas en la última década han germinado para convertirnos en “una referencia a nivel internacional”, sentenció el presidente del Gobierno, Pedro Sánchez, en una reunión del Foro de Ciberseguridad Nacional celebrada en marzo del año pasado en la que anunció el nuevo Plan de Seguridad Nacional que aprobaría solo unas semanas después. Definido como “el más ambicioso hasta la fecha”, este tipo de avance es justo lo que España necesitaba para mejorar aún más su posición en la clasificación de la UIT.

La última edición, elaborada en 2020, señaló que nuestra mayor debilidad en ese momento estribaba, precisamente, en las medidas organizativas. Ese mismo año y en plena pandemia de COVID-19, Sánchez fue consciente, por ejemplo, de que “no estábamos preparados para hacer videoconferencias del Consejo de Ministros de forma segura”. Casi tres años después, las medidas que ha ido adoptando el Gobierno dejan claro que la lección ha calado y, aunque “aún queda camino por recorrer, en España nos hemos dotado de un marco institucional robusto”, afirma Mataix.

Como prueba del acelerón dado, en noviembre nos convertimos en el país responsable de crear una herramienta de capacitación contra el ransomware en colaboración con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EEUU. Esta herramienta, destinada a frenar una de las peores ciberamenazas actualmente conocidas, ha sido fruto del Grupo de Trabajo de la Colaboración Público-Privada que preside España dentro de la Iniciativa Internacional de Lucha contra el Ransomware (CRI), liderada por el gigante norteaméricano.

NECESIDAD CONVERTIDA EN RIQUEZA

¿Quién dijo miedo? Deberíamos tenerlo si analizamos el panorama completo de las ciberamenazas. Si los daños económicos globales por culpa de la ciberdelincuencia fueran el PIB de un país, este se alzaría como la tercera economía del mundo por detrás de EEUU y China, con pérdidas que podrían ascender a los 10.500 billones (con b) de dólares en 2025, según Cybercrime Magazine. Pero tan lucrativa es la amenaza que se cierne sobre nosotros como la industria cibernética entrenada para protegernos de ella.

En 2025, el mercado de la ciberseguridad español podría superar la barrera de los 2.200 millones de euros, según IDC, y el número de puestos de trabajo relacionados no para de crecer. Concretamente, en 2022 el número de ciberprofesionales del país aumentó en un 23,3% frente al año anterior, una subida que supera en más del doble a la media mundial y que nos deja con más de 150.000 trabajadores españoles dedicados a la ciberseguridad.

Eso sí, en la otra cara de la moneda, este espectacular aumento no sirve ni de lejos para satisfacer la demanda de profesionales, que subió en un 60% en el mismo periodo, dejándonos con una carencia de otros 60.000 trabajadores especializados en el sector. Sin embargo, para Mataix, que la demanda crezca más rápido que la oferta es “un excelente indicador de que el nivel de concienciación en la sociedad y en las empresas es alto y de que vamos por la buena dirección”.

Para paliar este déficit, uno de los pilares estratégicos del Plan Nacional de Ciberseguridad destacados por Sánchez consiste en crear un Esquema Nacional de Certificación de Profesionales en Ciberseguridad. Su objetivo principal consiste en ayudar a salvar la escasez de personal experto en la materia, pero, además, también aspira a diferenciar aquellos programas de formación con rigor y profesionalidad, de los que no lo tengan, según el Centro Criptológico Nacional.

La importancia de separar la paja del grano se desprende de que, aunque actualmente en nuestro país existen 121 programas regulados de formación en ciberseguridad, según INCIBE, la vía principal de formación de los profesionales, con un 32,3% del total, es la autoformación mediante cursos en plataformas, vídeos y blogs, de acuerdo con datos de Observaciber. No se pone en duda de la calidad de los profesionales ni de los programas formativos existentes, pero la ciberseguridad es un ámbito que evoluciona tan rápidamente que “requiere actualizaciones curriculares constantes”, señala el CEO de Indra.

Los lucrativos resultados de las campañas de ciberataques sumados a lo relativamente fácil que resulta crear amenazas digitales a base de unos y ceros provocan que el trabajo de los profesionales en ciberseguridad para frenar a los hackers suela ser comparado con el juego del ratón y el gato, en el que cada nueva medida de seguridad es respondida con una nueva forma de atravesar los escudos cibernéticos. Y es que no todas las guerras son iguales.

Aunque no podamos ver las balas virtuales, sabemos están ahí y que todos somos blancos potenciales en el conflicto bélico por excelencia del siglo XXI que es la guerra ciberguerra, cuyas cifras de ataques, daños, pérdidas y víctimas crecen desde que existen los registros. Por eso aquí no hay movimientos pacifistas hippies ni se les espera. Cuando la diplomacia es tan útil como enfrentarse a un rifle con una margarita, y cuando son nuestros secretos públicos y privados los que están en juego, el apoyo se vuelve unánime. ¿O acaso alguna vez ha oído a alguien plantear un dilema moral sobre su antivirus?

Sobre la firma

Marta del Amo

Periodista tecnológica con base en ciencias. Coordinadora editorial de 'Retina'. Más de 12 años de experiencia en medios nacionales e internacionales como la edición en español de 'MIT Technology Review', 'Público', 'Muy Interesante' y 'El Español'.

Más Información