Es triste que tenga que ocurrir una desgracia para que identifiquemos un problema, pero suele pasar. En el ámbito de la ciberseguridad, esa desgracia ocurrió en mayo de 2017, cuando el ransomware WannaCry infectó cerca de 200.000 ordenadores en más de 150 países del mundo, convirtiéndose en uno de los mayores ciberataques de la historia. En nuestro país, donde la peor parte se la llevó Telefónica, aquella crisis sirvió para que el ecosistema de la ciberseguridad fuera consciente de que, hasta ese momento, “todo era un poco caos”, recuerda el jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia, Javier Candau.
Y eso que, para entonces, ya habían pasado 13 años desde el organismo fue designado como el principal responsable de la seguridad informática de la Administración Pública española mediante el Real Decreto 421/2004. Pero, en un país con miles de ayuntamientos, millones de pymes y cientos de centros sanitarios, educativos y de cualquier otra índole (muchos de los cuales dependían de los servicios de Telefónica), lograr que todos los implicados estuvieran al tanto y tomaran las medidas oportunas fue todo un reto. El responsable añade: “Cuando se produce una crisis tan grande, todo el mundo necesita estar informado. Entonces vimos que teníamos más de mil canales abiertos, y pensamos que todo podría coordinarse un poco mejor”.
Esa es una de las cosas que a las que se dedica su equipo. Y es que, desde el Palacio de la Moncloa y la Casa Real, Correos y el CSIC, hasta los ayuntamientos más pequeños, las defensas ciberespacio público español pasan de una forma u otra por el Equipo de Respuesta de Emergencias Informáticas (CERT, por sus siglas en inglés) del CCN. Junto a él trabajan el Mando Conjunto del Ciberespacio, dedicado a la ciberseguridad de las Fuerzas Armadas y de Seguridad del país, y el INCIBE, cuya actividad se centra en las empresas privadas y los usuarios individuales como tú y como yo.
En estos 20 años, especialmente en los últimos, los sistemas ciberdefensivos del país han ido sofisticándose, organizándose y coordinándose cada vez más hasta convertir a España en el país con más CERT de toda la UE, según ENISA, y el segundo a nivel mundial, solo por detrás de EEUU, cuenta Candau, y afirma: “Lo hacemos bastante bien, podemos presumir de tener una infraestructura público-privada de servicios de ciberseguridad bastante potente”. Y como muestra de que el interés por la ciberseguridad no ha dejado de crecer en nuestro país con el paso de los años, este gráfico de Google Trends, donde también aparece el oportuno pico de búsquedas de mayo de 2017, cuando fuimos víctimas de WannaCry.
Justo un año después entró en vigor el Real Decreto 12/2018, que otorgó competencias al INCIBE, definió los niveles de ciberseguridad obligatorios de los distintos servicios esenciales y digitales, y estableció un sistema de notificación de incidentes y un marco institucional para la coordinación entre todas autoridades competentes. Sin embargo, aunque a simple vista el reparto de responsabilidades entre el CCN-CERT, el INCIBE y el Mando Conjunto del Ciberespacio parezca sencillo, entender cómo se reparten las capacidades, obligaciones y recursos entre los distintos niveles de la Administración Pública es bastante más complicado.
CAOS AUTONÓMICO
Aunque todas las organizaciones públicas y privadas están obligadas por ley a garantizar su ciberseguridad, ya sea mediante recursos propios o proveedores externos, no todas tienen las mismas responsabilidades ni, desde luego, las mismas capacidades, presupuestos ni voluntad de ciberprotegerse. Para el ámbito público, el CCN detalla: “En España existen 8.131 municipios, de los cuales solo 63 tienen más de 100.000 habitantes, la inmensa mayoría (7.715) posee una población inferior a 20.000. Desarrollar las capacidades que requiere un SOC [Centros de Operaciones de Seguridad] en estos últimos municipios es imposible para todos ellos”.
Tiene sentido. Si no hace falta la misma estructura para proteger el aeropuerto de Barajas que la estación de autobuses de mi pueblo, con los ayuntamientos pasa lo mismo. “Además de contratar algunos servicios a empresas privadas, organismos como el Ministerio de Defensa, la Guardia Civil, la Agencia Tributaria, la Seguridad Social, etcétera, tienen unidades permanentes con capacidades altas, pero porque pueden tener a 5.000 o 10.000 usuarios en su red”, añade Candau.
A la hora de repartir las responsabilidades, la web del CCN detalla: “Según la normativa vigente, las Comunidades Autónomas uniprovinciales tienen la obligación de proporcionar los servicios TIC a los ayuntamientos o entidades locales con una población inferior a los 20.000 habitantes. En el caso de las autonomías pluriprovinciales, esta responsabilidad recae en las Diputaciones, Consejos Insulares y Cabildos”.
El problema es que entre quienes teóricamente deberían tener las mismas obligaciones y capacidades, como es el caso de todas las comunidades autónomas pluriprovinciales, el nivel de desarrollo de sus distintas estructuras de ciberseguridad pública es totalmente dispar, según la documentación compartida por Candau. Mientras cinco comunidades autónomas ya han creado su propia Agencia de Ciberseguridad, algunas solo disponen de SOC o CERT, y otras prácticamente acaban de empezar a estructurar sus ciberdefensas autonómicas.
Diga lo que diga la teoría, al carecer de un sistema centralizado responsable al que acudir, la ciberdefensa de cada uno de sus organismos podría quedar a su propia suerte. Sin embargo, estas marcadas diferencias no significan que las regiones con menor grado de desarrollo estén más desprotegidas obligatoriamente, ya que simplemente podrían estar contratando sus servicios de ciberseguridad a empresas privadas. Siempre y cuando tengan recursos para hacerlo, claro.
Para entender cuánto influye la estructura en la ciberprotección, podemos analizar el nivel de ciberataques totales denunciados, tanto públicos como privados, en cada comunidad autónoma. Pero, lógicamente, las comunidades más pobladas y con mayor número de empresas y organismos públicos serán dianas preferentes para los ciberdelincuentes. Así lo demuestra el Informe sobre la Cibercriminalidad 2022 del Ministerio del Interior, que sitúa a Madrid, Cataluña y Andalucía cono líderes en la clasificación de regiones qué más ciberataques denunciaron ese año.
Ahora bien, las cosas cambian cuando el nivel de población se incluye en la ecuación. No es lo mismo que sufrir dos ataques cuando tienes 100 habitantes y un ayuntamiento que cuando tienes 100.000 habitantes, 70 empresas, un ayuntamiento, una biblioteca y un hospital. Es aquí donde surgen los llamativos casos de Madrid y País Vasco.
Aunque ambas destacan entre las cinco regiones con una mejor estructura de ciberseguridad, también lideran el número de ciberataques recibidos por cada 100.000 habitantes, por lo que podríamos concluir que se trata de las comunidades autónomas más peligrosas. En el extremo contrario estaría Andalucía, seguida de Galicia. Ambas también figuran entre las regiones con mejores ciberdefensas públicas, sin embargo, sus ciberataques por cada 100.000 habitantes están en las dos franjas más bajas de la tabla, respectivamente.
LOS ESLABONES MÁS DÉBILES
Más allá del respaldo autonómico o provincial, quienes suelen tenerlo más complicado son los actores más pequeños. “El agujero está en los ayuntamientos”, nos dijo hace unos meses el director del Departamento de Seguridad Nacional, Miguel Ángel Ballesteros. Y lo mismo pasa en el ámbito de la empresa privada, tal y como también nos dijo el año pasado el director de INCIBE, Félix Barrio, cuando aseguró que la mayor parte de las llamadas al 017, la línea de atención gratuita de ciberseguridad del INCIBE, proceden del “pequeño comercio y la pequeña industria”.
Como es de suponer, cada comunidad, diputación u organismo tiene un presupuesto disponible, pero eso no es lo único que varía, también la propia disposición, capacidades y conocimientos de sus respectivos responsables. “La mayoría lo hace lo mejor que puede”, concede Candau. Aun así, algunos recientes y sonados ciberincindentes a organizaciones públicas como el del Ayuntamiento de Calviá ocurrido hace solo unas semanas, el que sufrió el Hospital Clínic en 2023 y el que paralizó al CSIC durante dos días en 2022 nos recuerdan que el enemigo siempre está al acecho.
De hecho, aunque que el número de ciberincidentes que sufre España haya aumentado sin parar desde que hay registros dé la sensación de que cada vez cuidamos menos nuestra ciberseguridad, la situación es más bien la contraria. Son los ciberdelincuentes quienes están proliferando y perfeccionando sus técnicas, a pesar de que la concienciación, las herramientas y los recursos que el conjunto del país destina a nuestras ciberdefensas son cada vez mayores.
Resulta complicado afirmarlo a nivel económico, ya que no existe una partida única en los Presupuestos Generales del Estado dedicada a la ciberseguridad del país, sino que esta se reparte en la dotación que recibe cada organismo con algún tipo de competencia en ciberseguridad, a lo que hay que sumar los presupuestos confidenciales que manejan las empresas privadas. Sin embargo, tanto Candau como el CISO del INCIBE y subdirector de su CERT, Marcos Gómez, confirman que la financiación pública que reciben es mayor en los últimos años, especialmente después de la pandemia de COVID-19.
SOPA DE SIGLAS Y RESPONSABILIDADES
Una de las razones por las que resulta tan complicado entender cómo funciona y se coordina exactamente el entramado de departamentos, equipos y organizaciones dedicadas a la ciberseguridad en España es por la propia terminología, una auténtica sopa de siglas incomprensible a oídos inexpertos. Aunque no todo el sector está de acuerdo, tanto ENISA como Candau equiparan los CERT con los CSIRT (que serían lo mismo, pero en inglés). La red de CSIRT de España coindice: “CSIRT suele emplearse en Europa en lugar del término protegido CERT, registrado en EEUU”. Sin embargo, mientras que el listado de la entidad europea recoge 88 CSIRT españoles, la web nacional registra 74 miembros.
Ser un CERT/CSIRT no implica que solo se pueda dar servicio de ciberseguridad a la Administración Pública española. También pueden operar en entornos privados, siempre y cuando su “ámbito de actuación o comunidad de usuarios en la que opera, se encuentre dentro del territorio español”, según la propia web de CSIRT.es. Quienes sí están dedicados por definición a monitorizar y proteger la ciberseguridad de la Administración pública española son los miembros de la Red Nacional de SOC, “una plataforma que integra los SOC de todos los organismos públicos de la Administración Española, junto con las entidades proveedoras que les prestan servicios y las entidades públicas que se benefician de los mismos”, explica la web.
De acuerdo con la información facilitada por Candau, la Red SOC actualmente está compuesta por 95 entidades públicas y 55 empresas proveedoras (aunque en el buscador aparecen 160). Los proveedores privados están ahí para dar servicio a las entidades públicas, pero algunas de ellas, especialmente las más grandes o delicadas, disponen de su propio SOC, mientras que otras son meras receptoras de labores de ciberseguridad. El CCN-CERT, por ejemplo, aparece como entidad pública, a pesar de claramente es capaz de protegerse a sí mismo. Al mismo tiempo, los SOC privados de la red también pueden prestar sus servicios a otras empresas, como pasa con los miembros de la red CSIRT.
Es decir, que existen CERT y SOC públicos y privados, que pueden trabajar tanto para entidades públicas como privadas. Así que la siguiente gran pregunta llega a la hora de entender la diferencia entre un SOC y un CERT/CSIRT. Gómez responde: “La gran diferencia es que el CERT ayuda en la respuesta a un incidente, pero no monitoriza ni accede al equipo afectado, eso solo lo hace un SOC”. Vamos, que son los centros de operaciones los que están conectados a los equipos a los que prestan servicio para poder monitorizarlos y actuar sobre ellos en tiempo real, mientras que los CERT, “no pueden meterse en tu ordenador”, añade.
UNA NUEVA ERA HORIZONTAL Y COORDINADA
Para reducir el caos organizativo, así como las disparidades entre organismos del mismo nivel y la falta de recursos de los actores más pequeños, “el CCN-CERT considera necesario el desarrollo de servicios horizontales de seguridad gestionados a través de SOC en diferentes ámbitos: Administración General del Estado, comunidades autónomas, entidades locales y sectoriales”, detalla la web del organismo. El objetivo no es que cada ayuntamiento o cada empresa tenga su propio SOC, sino que haya uno especializado y disponible para prestar servicio a cada consistorio en función de su tamaño, cada empresa en función de su sector, y cada organismo en función de su naturaleza.
“Se pretende que no todas las entidades tengan que invertir la misma cantidad de dinero dedicado a la ciberseguridad, generando duplicidades en el gasto e infraestructura, sino que se hará atendiendo a los criterios anteriormente mencionados (tamaño, capacidad y posición de la entidad) siendo, en la mayoría de los casos y según las particularidades de la Administración, las Comunidades Autónomas las que harán la mayor inversión en ciberseguridad, posteriormente las Diputaciones/Cabildos/Consejos insulares, para finalizar por las entidades locales”, detalla un documento técnico del CCN-CERT sobre los SOC nacionales.
Otra de las cosas que están mejorando en materia de ciberseguridad es la comunicación. Hace bastantes años, probablemente antes de WannaCry, las organizaciones tendían a mantener en secreto los ataques que sufrían por miedo a consecuencias sobre su reputación. Afortunadamente, todo el ecosistema es cada vez más consciente de la importancia de comunicarse y coordinarse. Candau detalla: “De los 55.000 incidentes que gestionamos en 2022, el 29% nos llegó desde los organismos. De los cerca de 107.000 que tuvimos en 2023, nos han comunicado el 52%, o sea que la comunicación está mejorando”.
Ahora podría decirse que todavía queda mucho camino para llegar a una España 100% cibersegura, pero lo cierto es que ese horizonte no llegará jamás, porque el enemigo nunca descansa. Así que al menos podemos alegrarnos de que las ciberdefensas del país cada vez tengan más recursos y experiencia, y que tanto nuestra Administración Pública como nuestras empresas y nosotros mismos seamos cada vez más conscientes de mantener una buena higiene cibernética. Puede que nunca estemos a salvo de los ciberdelincuentes, pero sí podemos ponérselo lo más difícil posible para evitar que desgracias como WannaCry nos pillen con los deberes sin hacer.
Sobre la firma
Periodista tecnológica con base en ciencias. Coordinadora editorial de 'Retina'. Más de 12 años de experiencia en medios nacionales e internacionales como la edición en español de 'MIT Technology Review', 'Público', 'Muy Interesante' y 'El Español'.
