AltoDirectivo
El año 2022 ha batido todos los records históricos de ciber incidentes en el sector público. Si nos fijamos en los datos, la cifra supera los 1.500 ciberataques a la semana por organización, lo que supone un incremento de un 20% respecto al año anterior. Entre los muchos que ha habido en España, destacan los ciberataques realizados contra la Agencia Tributaria o contra diferentes ayuntamientos, como el de Sevilla. Todo esto, pese a haberse realizado una inversión de más de mil millones de euros vía presupuestos del Estado. Aunque puede parecer una cantidad enorme, debemos conocer primero el impacto global del cibercrimen y tener una visión completa de las cifras manejadas a gran escala.
Las ganancias estimadas a raíz de ciberataques (principalmente vía ransomware, también conocido como secuestro de datos), según diferentes estudios, son cercanas a doce mil millones de dólares, si lo asemejáramos con una nación, estaríamos hablando de la tercera economía más importante del mundo, solo por detrás de Estados Unidos y China. A lo indicado anteriormente, debemos añadir el contexto de ciberguerra mundial que llevamos sufriendo el último año. Una situación que hizo que los presupuestos se quedaran ya obsoletos en febrero de 2022.
Si comparamos las cantidades, podemos observar que los cibercriminales disponen prácticamente de recursos financieros ilimitados frente a los recursos de los Estados en general, que son mucho más limitados. Pero es que hay más, en estas cifras no se cuantifica la financiación que ejercen países como Rusia, China o Corea del Norte, a grupos ciberterroristas y con motivaciones totalmente diferentes a los cibercriminales.
¿Qué estrategia debemos seguir como país? Desde un punto de vista objetivo, esta no puede estar únicamente basada en la compra de tecnología. Necesitamos formar a profesionales que sean capaces de diseñar y gestionar las soluciones de seguridad, concienciar a los usuarios públicos y establecer una colaboración público-privada en la estrategia de ciberdefensa. Y hablando de la estrategia, un punto muy importante sería el procedimiento por el cual se licitan los servicios de ciberseguridad. Actualmente el aspecto económico, salvo excepciones, es el único baremo que contabiliza para ganar los concursos públicos. Aunque suene extraño, no se está valorando la importancia de la calidad técnica de un servicio tan importante a día de hoy. Desgraciadamente con los incidentes que hemos sufrido, podríamos afirmar que ''lo barato sale caro''.
Por suerte, y gracias al Centro Criptológico Nacional (CCN-CERT), esta tendencia está empezando a modificarse. Se ha comenzado a exigir a las empresas candidatas a las licitaciones públicas una serie de requisitos. Uno de ellos es la certificación en el Esquema Nacional de Seguridad (ENS) en alguno de sus diferentes niveles, medio o alto. Esto garantiza que las empresas que prestan servicios de ciberseguridad a la administración cumplen unos requerimientos de seguridad adecuados. Otro requisito desde octubre de 2022 es pertenecer a la Red Nacional de SOC, que es una entidad creada para la colaboración público-privada que permite intercambiar información sobre ciber incidentes usando las herramientas del CCN-CERT.
Con estos requisitos, se está consiguiendo que de manera indirecta, las empresas privadas realicen mayor inversión en ciberseguridad y procesos y así poder ofrecer sus servicios a entidades públicas. Es un medio que tiene como objetivo el aumento de la inversión en ciberseguridad en el sector público utilizando recursos del sector privado. Dentro de esta misma estrategia, pero en materia de investigación en I+D+I, se incluyen los fabricantes de seguridad certificados. Las soluciones que se implanten en las Administraciones Públicas han de llevar el sello del ENS para entrar en el catálogo oficial, nuevamente, mediante inversión privada se consigue un beneficio público.
La estrategia debería de estar funcionando, sin embargo, cuando hablamos de entidades locales como pueden ser los ayuntamientos, parece que no está siendo suficiente la inversión. En la mayoría de las ocasiones, los responsables de IT deben escoger entre la compra de tecnología o la contratación de servicios que gestionen la seguridad. Para paliar este problema, el CCN ofrece de manera gratuita herramientas de ciberseguridad sin coste de licencias. Ahora, estas herramientas, deben ser operadas por profesionales, así que las empresas candidatas, deben de invertir en capacitación para poder operarlas. En este caso, la estrategia es la misma pero esta vez la inversión recae en el ámbito de la formación a profesionales.
La relación entre el sector privado y público es totalmente imprescindible para proteger a este último y es muy importante y decisivo fomentarlo aún más. La conclusión es que si no aumentamos la inversión al ritmo que marcan los cibercriminales, corremos el riesgo de sufrir un ciberataque que paralice por completo el país. Imaginemos un escenario dirigido contra sectores críticos y estratégicos que supondría pérdidas incuantificables para el Estado y los ciudadanos. Lo vivido durante el 2022 es un anticipo de lo que puede ocurrir en 2023 si no se toman las medidas adecuadas. En la estrategia militar, siempre se ha dicho que el que tiene mayor número de recursos suele ganar la guerra, en este sentido, con los datos que hemos expuesto, las conclusiones son bastante claras, estamos perdiendo la batalla frente al cibercrimen.
*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.
Alto Directivo