La defensa en las redes españolas

¿Es el ciberespacio español seguro? ¿Las empresas y ciudadanos se encuentran a salvo en el medio digital? ¿Estamos preparados para hacer frente a los ciberataques? Como profesional de la ciberseguridad, estas son algunas de las preguntas recurrentes planteadas por clientes y compañeros.

Hace algo más de un año, el actual ministro de Asuntos Exteriores en funciones, José Manuel García-Margallo, dibujaba una situación del ciberespacio nacional preapocalíptica ya que elevó en más de 70.000 los ciberincidentes acaecidos en España en el plazo de un año, con una media de 4.000 ataques cibernéticos recibidos al día (no todos exitosos, por suerte) y con un crecimiento anual que ronda el 200%. Este dato nos situaba entre los tres países que más ciberataques reciben, sólo superados por Estados Unidos y Reino Unido. Aun siendo escépticos ante la veracidad de los datos presentados, la cifra asusta.

La digitalización de nuestra sociedad y nuestra economía parecen exponernos a las amenazas en un medio del que conocemos mejor sus beneficios que sus riesgos. Según las tendencias macroeconómicas, las megaciudades y smart cities jugarán un papel fundamental, catalizando e impulsando la adopción de la tecnología. Esto será un factor clave en la mejora de vida de las personas y el crecimiento de la economía, a través de la innovación y la generación masiva de datos (big data) que mantendrán hiperconectados a los ciudadanos.

Así pues, el auge de la tecnología y su poder para aumentar significativamente la calidad de vida de los ciudadanos marcará la nueva concepción de sociedad y, qué duda cabe, nos expondrá más a los riesgos digitales. Conceptos como el Internet de las cosas, smart grids (las redes de distribución eléctricas inteligentes), la nueva (re)evolución industrial (Industria 4.0) y el trabajo en la nube son y serán el pan nuestro de cada día, tanto para aquellos que se encarguen de implementarlo como para los que tengan que defenderlo.

Por otro lado, los ciberataques tienen orígenes diversos. Pero se aprecia una clara profesionalización tanto por la aparición de actores estatales con grandes capacidades cibernéticas como por la irrupción de grupos criminales organizados, en los que el componente tecnológico es una rueda más en el engranaje del ciclo de producción criminal. No se sabe a ciencia cierta cómo evolucionará el perfil del atacante, pero se está extendiendo el uso y comercialización de armas cibernéticas, creadas por organismos que antaño auspiciaban la producción de misiles e innovaban creando bombas atómicas.

Ante esta situación, ¿están pues las empresas españolas expuestas? El estado de madurez del tejido empresarial español es heterogéneo. Como cabe esperar, las grandes compañías financieras, aeroespaciales, de telecomunicaciones, de servicios relacionados con las tecnologías de la información, energéticas o de defensa muestran un mayor nivel de concienciación ante los riesgos del ciberespacio. Esto se refleja en una preparación y unos presupuestos destinados a ciberseguridad relevantes. En el sector industrial se percibe un nivel de madurez menor, con una gran diferencia entre aquellas compañías que ya han sufrido uno o más ciberincidentes y, por lo tanto, se han visto abocadas a mejorar su postura defensiva; y aquellas que no han sido atacadas o lo están siendo y no lo han detectado.

Donde el panorama resulta algo más desolador es en ese nutrido conjunto de pequeñas y medianas empresas, tan representativo de nuestra industria, que viven ajenas a los riesgos del ciberespacio, aun cuando sus consecuencias pueden ser imprevisibles para sus cuentas de resultados y su reputación.

Finalmente, para el ciudadano medio los ataques se extenderán a todos sus aparatos conectados, no solo a sus ordenadores. Por ejemplo, el ransomware (programa que secuestra la información de una red) afectará a toda una casa o a un coche. Uno de los principales problemas consiste precisamente en no entender la esencia de los mecanismos de seguridad en Internet y las consecuencias de su ausencia. Existe mucha información al respecto, pero es caótica. Así que el usuario queda perdido entre tantos datos, que debe procesar y ordenar.

Queda claro que la creación de un clima de confianza digital vinculado a una incipiente necesidad de protección y seguridad en el ciberespacio genera un sustancial impacto en la economía y la sociedad digital. Por esto en España tenemos cerca de 550 empresas especializadas en servicios y soluciones de ciberseguridad que emplean a más de 6.000 personas, un sector en crecimiento cuya cifra total de facturación en 2014 fue cercana a los 600 millones de euros, según datos del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información.

Poco a poco la necesidad de protegerse va calando en las empresas españolas, como demuestra la previsión de aumento del 22% del gasto en ciberseguridad en el periodo 2014-2017. En 2014 el gasto realizado se situaba en 744 millones de euros y la previsión es que en 2019 se alcancen los 1.014 millones.

Deberíamos dejar a un lado los complejos y realizar un sano ejercicio de asimilación: los ciberataques van a ocurrir. No sólo son posibles, son probables y, por lo tanto, sólo cabe estar preparados.

Adolfo Hernández es cofundador de Thiber, un centro de estudios español dedicado a la ciberseguridad.