·       Hugh Elliott, embajador del Reino Unido en España y Andorra; José Muñiz, rector de la Universidad Nebrija, y Miguel Ángel Ballesteros, director del Departamento de Seguridad Nacional (DSN), inauguran la Conferencia de Ciberseguridad Reino Unido-España 2023.

·       Miguel Ángel Ballesteros: “En Europa para el próximo quinquenio se necesitarán más de 30 000 especialistas en ciberseguridad”.

·       Representantes de instituciones españolas y británicas relacionadas con la ciberseguridad hacen hincapié en la colaboración internacional ante un horizonte de tecnologías disruptivas.

La Universidad Nebrija acogió la tercera edición de la Conferencia de Ciberseguridad entre Reino Unido y España, bajo el auspicio de la Embajada Británica en Madrid y la colaboración del Departamento de Seguridad Nacional (DSN) de España. Diplomáticos y expertos constataron la relevancia estratégica del ciberespacio y los retos a los que hay que hace frente: el incremento en número y peligrosidad de los ciberataques, el uso ilícito y malicioso del ciberespacio, la dependencia tecnológica y la creciente tensión geopolítica.

En las palabras de bienvenida a la conferencia internacional, el embajador del Reino Unido en España y Andorra, Hugh Elliott, aseguró que “en las manos equivocadas, la tecnología puede ser empleada por actores maliciosos para inutilizar infraestructuras y servicios críticos y para socavar democracias”. A su juicio, los gobiernos, la industria y la sociedad civil “debemos trabajar juntos para construir defensas colectivas”. Elliott agradeció la organización de este tipo de encuentros y “en especial al Departamento de Seguridad Nacional por su estrecha colaboración en estos últimos años”.

El embajador detalló que, en este ámbito, las estrategias de Reino Unido se dirigen a “fortalecer nuestras capacidades en todas las tecnologías clave y limitar nuestras dependencias sobre proveedores y tecnologías desarrolladas bajo Estados que no comparten nuestros valores”.

Sobre la guerra de Ucrania, el embajador reiteró que el gobierno de Reino Unido sigue comprometido con el programa de apoyo con el gobierno ucraniano. “Lo que ha conseguido crear Putin es una unidad fantástica de los aliados, aunque nunca nos tenemos que acostumbrar a la guerra”, dijo.

En esta línea, el general Miguel Ángel Ballesteros, director del Departamento de Seguridad Nacional (DSN), afirmó que España “está con los aliados en esta guerra ilegal y tan injusta que se mueve en tres niveles: militar, económico y tecnológico”. En este último apartado, aparece la ciberseguridad como un elemento “clave” que requiere más profesionales. “En Europa para el próximo quinquenio -reseñó- se necesitarán más de 30 000 especialistas en ciberseguridad; la carencia es tal, que las empresas se roban esos expertos y la Administración sale perdiendo porque es la que peor paga”.

“Preocupación para la seguridad nacional”

La ciberseguridad, “una preocupación para la seguridad nacional y para garantizar el correcto funcionamiento de las instituciones democráticas”, se traduce en datos como los recopilados por el Centro Criptológico Nacional. En España en 2022 se contabilizaron más de 55 000 ciberataques contra las administraciones públicas, lo que supone un descenso respecto al año pasado, pero un aumento de la gravedad de los mismos. 74 ciberincidentes fueron catalogados como críticos, de los que 9 fueron dirigidos a la Administración del Estado; 24, a las administraciones autonómicas; y 41 a las administraciones locales. El DSN revela que en 2023 esa gravedad en los ataques se incrementará y que la invasión rusa seguirá condicionando la movilización de activistas y criminales asociados a los Estados.

El ciberespionaje “silencioso”, donde las intrusiones durante meses en redes con información importante y la venta después de esos accesos a grupos criminales que encriptan ficheros y obtienen un rédito económico, es otra de las tendencias en auge que apuntó Ballesteros. En el actual panorama internacional, el control de los datos “es un aspecto más importante que el control del petróleo porque controlando el dato se puede llegar a controlar la actividad de un país”.

Además, el director del DSN contextualizó que en 2023 “tenemos dos elecciones a la vista, lo que supone una oportunidad para la ciberseguridad y las injerencias”.

Debates de expertos

Tras las palabras del rector José Muñiz, que estimó que la celebración de esta jornada sobre ciberseguridad y la instauración de un grado y un posgrado ad hoc confirman que la Universidad Nebrija es “muy sensible” en este tema, la Conferencia congregó dos debates sobre las tendencias más recientes de los ciberataques, las prioridades en defensa del gobierno británico y del gobierno español y las oportunidades de seguridad digital asociadas a los nuevos avances tecnológicos. Jordi Regi, director del Máster Universitario de Acceso a la Abogacía (a distancia) y coordinador de Derecho Internacional y de la UE en la Universidad Nebrija; y Luis García, director del Máster Universitario en Protección de Datos y Seguridad de la Universidad Nebrija, moderaron los paneles.

Según el Informe Anual de Seguridad Nacional de 2021, en España el ransomware (secuestro de datos) sigue siendo la mayor amenaza contra los sistemas y la información mientras que los delitos relacionados con los fraudes informáticos aumentan de manera significativa y constante. Además, las administraciones deben avanzar en la utilización de la inteligencia artificial para mejorar los mecanismos de prevención, detección, defensa e investigación. España figura en el cuarto puesto en el Índice Global de Ciberseguridad publicado por la Unión Internacional de Telecomunicaciones, situándose sólo por detrás de EE. UU., Reino Unido, Arabia Saudí y Estonia, y al mismo nivel que Corea del Sur y Singapur.

Normativas europeas y resiliencia

En la primera mesa redonda, Carla Redondo, secretaria general del Instituto Nacional de Ciberseguridad (INCIBE), recordó que “lo digital invade nuestras vidas”. Para garantizar la ciberseguridad ante riesgos cada vez mayores y generar la confianza de los ciudadanos resulta “imprescindible” la asunción de normativas europeas como la Directiva 2022/2555, conocida como NIS2, o la Ley de Resiliencia de Operaciones Digitales (DORA). Redondo enumeró los puntos esenciales de la estrategia de la ciberseguridad en España: fomentar la seguridad y resiliencia de los sistemas de comunicación y de información esenciales, crear un entorno y un uso seguro y fiable del ciberspacio, proteger el ecosistema empresarial y social, potenciar la industria española en ciberseguridad y confluir en la ciberseguridad en el ámbito internacional.

El INCIBE, que sacará a la luz en los próximos días los datos de 2022, dio respuesta en 2021 a más de 110 000 incidentes, de los que 90 000 afectaron a la ciudadanía y a las empresas. Entre las líneas de actuación de este organismo, Carla Redondo citó el programa Protege tu empresa, la Oficina de Seguridad del Internauta (OSI) y el proyecto Safer Internet Center Spain para concienciar a niños, padres, profesores y otros profesionales. Asimismo, INCIBE quiere que la experiencia del 017, teléfono gratuito de ayuda en ciberseguridad, pueda extrapolarse a toda Europa.

Por su parte, Álvaro de Lossada, jefe de la Oficina de Coordinación de Ciberseguridad (OCC), avanzó que las estrategias en ciberseguridad deben tener en cuenta tecnologías disruptivas como la inteligencia artificial o el 5G que “multiplican la vulnerabilidad” de los sistemas. En este sentido, la OCC trabaja en tres ámbitos interrelacionados: la lucha contra los ataques al corazón de la seguridad nacional, el uso seguro de internet y la coordinación técnica entre los Fuerzas y Cuerpos de Seguridad del Estado, la Fiscalía del Estado y los centros de ciberseguridad de referencia.

Según los datos de la OCC, desde 2016 a 2022 se ha multiplicado por cuatro la cibercriminalidad, que en 2022 acaparó el 16 % del volumen de los crímenes. El 90 % de esta cibercriminalidad gira en torno al fraude, lo que prueba el “elevado” nivel de ciberactivismo.

El caso británico

De acuerdo con los datos del Centro Nacional de Ciberseguridad del Reino Unido, este país es el tercero con más ataques cibernéticos, solo detrás de EE. UU. y Ucrania. El ransomware sigue siendo la amenaza más grave a la que se enfrentan las empresas y organizaciones del Reino Unido. Las cifras oficiales revelaron que hubo 2,7 millones de fraudes cibernéticos entre marzo de 2021 y marzo de 2022.

El cambio más profundo en el panorama de la seguridad cibernética en los últimos 12 meses se produjo con la invasión de Ucrania por parte de Rusia. El Reino Unido trata de garantizar que las organizaciones del Reino Unido, la infraestructura crítica y toda la sociedad sean lo más resistentes posible. Nick Bridal, responsable del departamento de ciberataques desde Rusia, dependiente del Ministerio de Asuntos Exteriores y de la Mancomunidad de Naciones de Reino Unido (Foreign, Commonwealth & Development Office -FCDO-), fijó la resiliencia doméstica como “clave” para disuadir de los ciberataques. Desde el ataque en 2017 al Servicio Nacional de Salud (NHS, en sus siglas en inglés), el enfoque para repeler los ciberataques, en su opinión, debe orientarse al largo plazo. “En estos cinco años hemos avanzado; los servicios de inteligencia y la comunidad política estamos colaborando con nuestros socios internacionales”, aclaró.

Aunque las amenazas son “menos claras y la atribución de las mismas son cada vez más difusas, queremos que Rusia y otros Estados sepan que si atacan a Reino Unido o a otros países aliados tenemos herramientas y capacidades para dar respuesta”.

Bridal, ante este incierto horizonte, también quiso dar “buenas noticias”. Las operaciones rusas “no han conseguido el efecto previsto porque se han mitigados sus consecuencias y la población de Ucrania ha sido resiliente a esos ataques gracias a que hemos movilizado apoyo para repeler los ciberataques”.

Consciencia de los ciberataques

Durante la segunda mesa redonda, Emily Alexander, responsable de amenazas tecnológicas del FCDO británico, instó a los ciudadanos y a los centros educativos a entender las amenazas del mundo virtual, y preparase ante ellas: “El Reino Unido trata de mitigar esas amenazas con la coordinación de los equipos nacionales e internacionales en un tiempo en el que cada vez somos más conscientes de las amenazas y los riesgos”.

Su homólogo español, Carlos Abad, jefe del Área de Sistemas de Alerta y Gestión de Incidentes del Centro Criptológico Nacional (CCN), ligó la amenaza a la evolución de la transformación digital, que “no tiene sentido sin la ciberseguridad”.

Mónica Mateos, jefa de Tecnología del Mando Conjunto del Ciberespacio (MCCE), incidió en el carácter de ciberdefensa de su organismo en un “entorno cada vez más complejo con tecnologías emergentes cada vez más disruptivas”. Incidiendo en el capital humano, Mateos recordó que el MCCE ha creado recientemente la Escuela Militar de Ciberoperaciones.

Alfonso López de la Osa, decano de la Facultad de Derecho y de Relaciones Internacionales, cerró la Conferencia de Ciberseguridad Reino Unido-España 2023 con una exposición de motivos y un resumen de las líneas generales expuestas en la jornada