Si hablamos del Centro Criptológico Nacional (CCN) parece que nos referimos a alguna entidad de la típica película norteamericana en la que Tom Cruise sería el protagonista y tendría que salvar al país de un peligroso hacker que amenaza con desvelar los mayores secretos del Gobierno, pero no. No nos referimos a ninguna película y es que la ficción está basada en la realidad y el CCN tiene un papel fundamental en España. La protección de la información, especialmente de la información clasificada, es uno de los cometidos más importantes que tienen, aunque no el único. Para divulgar su labor, el jefe del área de Normativa y Servicios de Ciberseguridad del CCN, el teniente coronel Pablo López, ha participado este jueves en las I Jornadas Aragonesas de Protección de Datos, Transparencia y Ciberseguridad que se desarrollan también durante este 27 de mayo en Andorra.
Pregunta.- Visita Aragón esta semana con motivo de las jornadas de protección de datos, ¿qué aporta el Centro Criptológico Nacional respecto a ese mismo tema?
Respuesta.- La protección de la información, en general, y muy especialmente de la información clasificada, es uno de los cometidos más importantes del Centro Criptológico Nacional, que siempre aporta su experiencia, la forma de hacer las cosas y una aproximación pragmática a la ciberseguridad y protección de datos basada en más de 18 años gestionando incidentes.
En concreto, y con respecto a la protección de datos personales, el Esquema Nacional de Seguridad, cuya última actualización es del pasado 3 de mayo, y en cuya redacción participó activamente el CCN, recoge las exigencias de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que ordena que dichas medidas de seguridad se implanten en el caso de los sistemas de información del sector público que trate datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en las distintas directivas europeas.
[caption id="attachment_341946" align="alignnone" width="770"]
La ciberseguridad va de la mano del progreso de la sociedad de la información como garante de los derechos y libertades de los ciudadanos[/caption]
Además, mantenemos una estrecha colaboración con la Agencia Española de Protección de Datos con quien hemos desarrollado una guía para la gestión y notificación de brechas de seguridad.
Por último, una de nuestras herramientas más utilizadas, PILAR, orientada al análisis de riesgos, incluye un módulo de cumplimento que permite a los organismos del sector público verificar los requisitos establecidos en el Reglamento Europeo de Protección de Datos (RGPD), facilitando la gestión normativa tanto del Reglamento como del Esquema Nacional de Seguridad (ENS).
P.- Participa en el panel de Ciberseguridad y Esquema Nacional de Seguridad, ¿cuáles son los principales retos a los que se enfrenta hoy en día la sociedad?
R.- Nos enfrentamos a un volumen creciente de ciberamenazas, con un nivel de sofisticación, peligrosidad y capacidad de ofuscación de su código malicioso cada vez más elevado y que en su mayoría están dirigidas a objetivos concretos para desestabilizar Estados, amenazando la cadena de suministro, las infraestructuras críticas o determinados servicios.
La ciberseguridad va de la mano del progreso de la sociedad de la información como garante de los derechos y libertades de los ciudadanos y, por tanto, no podemos renunciar a ella.
En este sentido, el principal reto es consumir tecnología de una manera segura y confiable ante las amenazas que nos acechan, gestionando la incertidumbre asociada.
P.-¿Qué importancia tiene realizar este tipo de jornadas?
R.- La labor de concienciación y divulgación de la cultura de la ciberseguridad es uno de los pilares más importantes que lleva a cabo el Centro Criptológico Nacional. Aunque se ha avanzado muchísimo en los últimos años, todavía queda un largo camino por recorrer.
En nuestro caso, mantenemos un portal web de formación, capacitación y talento en ciberseguridad, ÁNGELES, que cuenta ya con más de 10.000 usuarios registrados, en el que damos cabida a todas las iniciativas que permiten concienciar sobre la importancia de la ciberseguridad.
[caption id="attachment_341947" align="alignnone" width="770"]
Los ciudadanos cada vez son más conscientes de que el uso de la tecnología conlleva unos riesgos[/caption]
Estamos convencidos de que la concienciación, el sentido común y las buenas prácticas son las mejores defensas para prevenir y detectar contratiempos en la utilización de sistemas de las Tecnologías de la Información y la Comunicación (TIC). Por ello, es necesario que los usuarios incorporen buenas prácticas en su día a día que protejan la información que manejan en cualquier dispositivo y en todo tipo de aplicaciones o servicios.
Este tipo de jornadas son por tanto fundamentales, ya que sirven para trasladar confianza en el ecosistema de ciberseguridad nacional. No se trata solamente de concienciar o sensibilizar, sino también de trasladar experiencias de buen hacer y desempeño, a la vez que aproximaciones de un nivel de madurez que generan sinergias en los sectores público y privado.
P.- ¿Cree que la sociedad está suficientemente concienciada sobre la importancia de la protección de datos y ciberseguridad?
R.- Los ciudadanos cada vez son más conscientes de que el uso de la tecnología conlleva unos riesgos, aunque queda mucho trabajo por hacer en este sentido. La hiperconectividad de los usuarios en todos los aspectos de su vida diaria, para informarse, trabajar, realizar compras, ocio, etc., ha aumentado la superficie de exposición a estos riesgos y, por tanto, la posibilidad de sufrir un ciberataque.
Queda mucho camino por recorrer en términos de educación, para que se logren interiorizar procedimientos que generen actuaciones basadas en el instinto de una manera inconsciente.
P.- Y hablando de ciberseguridad, ¿cuántas denuncias y delitos se cometen relacionados con este tema? ¿Algunos se repiten más que otros?
R.- Respecto a las cifras, desde el CCN-CERT manejamos incidentes de ciberseguridad, pero más importante que los números son las tendencias, y eso siempre nos preocupa. Sigue quedando mucho trabajo por hacer, pero cada vez somos un objetivo menos atractivo debido a que se adoptan medidas y posturas de ciberseguridad que dificultan que la a amenaza pueda llegar a materializarse en nuestros sistemas de información.
Del total de ciberincidentes que gestiona el CCN, podemos decir que alrededor de un 8% están relacionados con brechas de seguridad y fraude online (alrededor de 1.800 en lo que llevamos de año).
P.- ¿Cuáles son los principales riesgos que podría correr un ciudadano corriente?
R.- Principalmente la estafa, el ánimo de lucro es un motivo para el atacante, siempre hay un interés económico en las actividades de los delincuentes. Además, el intenso uso del smartphone hace que los ciudadanos tengan más posibilidades de caer en las numerosas campañas masivas de spear phishing (suplantación de identidad), a través de mensajes de texto o correos electrónicos que tienen el objetivo de robar nuestros datos, o que nos instalemos aplicaciones maliciosas.
Además, el uso creciente del ordenador para acceder al ocio, compras online o teletrabajar puede poner en riesgo la información contenida en el mismo si se sufre una infección por ransomware.
Paralelamente, la enorme popularización de las redes sociales ha propiciado la aparición de casos de sextorsión, amenazas, apropiación de identidad u otros riesgos para los que la formación y concienciación son fundamentales.
[caption id="attachment_341952" align="alignnone" width="770"]
El intenso uso del smartphone hace que los ciudadanos tengan más posibilidades de caer en las numerosas campañas masivas de spear phishing[/caption]
P.- ¿Cómo se gestionan los incidentes que llegan al CCN? ¿Llegan muchos relacionados con la protección de datos?
R.- En términos generales, la implantación de la solución LUCÍA ha supuesto un enorme espaldarazo a la gestión y notificación de incidentes de seguridad. Esta solución hace que el proceso de gestión sea mucho más ágil y también facilita el intercambio de información técnica para limitar su impacto y alcance.
En cuanto a las brechas de seguridad debidas a protección de datos, es la Agencia Española de Protección de Datos la que tiene la competencia sobre ello. Quizás esta pregunta se les pueda trasladar a ellos para tener una respuesta más correcta y aproximada a la realidad.
P.- ¿Cómo han influido las redes sociales y la digitalización en el CCN? Intuyo que habrá aumentado la carga de trabajo respecto a cuando no estaban tan desarrolladas.
R.- Las redes sociales son un instrumento muy eficaz de socialización e interacción entre sus usuarios, pero su uso con fines maliciosos ha supuesto una nueva vía de acceso para los actores maliciosos. Esto provoca que aumenten los riesgos, como son la suplantación de identidad, el phishing para acceder a cuentas bancarias o robar nuestros datos, el ciberbullying o acoso cibernético, entre otros.
Además, el incremento en el uso y consumo de la tecnología en los nuevos modelos de trabajo remoto, ha incrementado también la superficie de exposición, con todo lo que ello lleva aparejado. Ha habido que adaptarse e implementar actividades cada vez más avanzadas de ciberinteligencia que permitan hacer prospectiva para adelantarse a la amenaza. Se trata de dejar de ser reactivo para ser proactivo.
El punto clave en todo esto pasa por la concienciación de los usuarios, en especial los menores, porque son los más vulnerables y cuentan con menor madurez para enfrentarse o detectar a los actores maliciosos.
P.- ¿Hay una estrategia nacional de ciberseguridad?
R.- Sí, la última revisión es de abril de 2019 cuando se publicó la Estrategia Nacional de Ciberseguridad, en la que se proporciona una visión de conjunto de la ciberseguridad, los avances realizados en la materia, las razones que afianzan su elaboración, así como las características que impulsan su desarrollo.
Asimismo, la propia Estrategia de Seguridad Nacional, publicada en 2021, también identifica que se requiere garantizar el uso seguro y fiable del ciberespacio, para proteger los derechos y libertades de los ciudadanos y promover el progreso económico. Este documento señala que es importante incrementar las capacidades de la ciberseguridad nacional dirigidas a la prevención, detección, respuesta, recuperación, investigación y defensa activa.
