"Debemos aproximarnos a la soberanía digital desde las instituciones europeas y con normas públicas y claras"

Audio de la entrevista

 

Mario Moreno/ Imagen: Juan Márquez

El Centro Criptológico Nacional (CCN) es el organismo español para la defensa de las administraciones públicas e infraestructuras críticas. Adscrito al Centro Nacional de Inteligencia (CNI), tiene también un fuerte componente formativo y de evaluación y certificación –es la autoridad del país para el cumplimiento de estándares–. De esta estrategia, de la nueva Red Nacional de SOC, y de cómo ha cambiado el ciberespacio a raíz de la guerra de Ucrania, charlamos con su jefe del departamento de ciberseguridad, Javier Candau. Cuenta con una trayectoria de más de 20 años en el sector y es coronel de artillería, experto en criptología e ingeniero industrial. “Tenemos una herramienta, como el Esquema Nacional de Seguridad, que nos indica el lugar en el que estamos, algo que otros países del entorno ni conocen”, indica.

 

Durante 2022 surge un gran conflicto que afecta al ciberespacio, como la guerra de Ucrania. ¿Cuál es la valoración del CCN?

Respecto a la guerra de Ucrania, lo que nos temíamos en febrero de 2022 no se materializó. Es decir, que hubiera efectos colaterales en el ciberespacio reflejo de ese conflicto entre Ucrania y Rusia. Esto no ha tenido un efecto importante. No obstante, y como fruto de nuestra visión del ciberespacio y de la gestión de incidentes en la administración pública, sí que ha habido un elevado número de incidentes; unos 55.000. También hemos notado que el impacto del ransomware, que en 2021 fue enorme, en 2022 ha tenido unas dimensiones más limitadas. Eso se debe a que las administraciones públicas han aplicado medidas de seguridad. También, a que los grupos de ransomware emplean unas técnicas muy estándar. Ante eso nos hemos protegido mejor.

 

Además de los 55.000 ataques del año pasado,  2021 fue el año con más incidentes críticos, derivados de la pandemia de la pandemia de la COVID-19. Y el Sistema Estadístico de Criminalidad de España (SEC) registró más de 305.000 delitos informáticos. Esto supone un aumento interanual del 6,1%. ¿Crece la ciberdelincuencia y, por otra parte, también se profesionaliza?

Sí, y hay que decir que lo que más afecta al sector público es ser objetivo de oportunidad. Esto significa que cuando no estamos aceptablemente protegidos tenemos más probabilidades de que se produzca un incidente de alto impacto. En un principio, el ataque a través de redes y su monetización es un fenómeno en alza, y tenemos que implementar medidas para salir del ámbito de organismos que sean fácilmente atacables.

 

En este contexto, ¿ha cambiado la estrategia del CCN?

Lo que ha cambiado es que hasta hace tres o cuatro años teníamos mucha detección propia y ahora la intentamos delegar en los organismos. Esto es así por el impulso que tratamos de dar a los Centros de Operaciones de Seguridad (SOC, de sus siglas inglesas). Los Fondos de Recuperación y Resiliencia nos han venido muy bien para que Comunidades Autónomas, Diputaciones, Ministerios y, sobre todo, el Centro de Operaciones de Ciberseguridad de la Administración General del Estado empiecen a funcionar. Nosotros aspiramos a quedarnos como último recurso, tendremos que actuar cuando un incidente grave sobrepase las capacidades de estos SOC. Por ello, ahora nosotros les tenemos que dar capacidades de detección y respuesta como una capa de seguridad adicional a sus servicios básicos.

 

Hace un año nace la estrategia de la Red Nacional de SOC y España ya cuenta con 137, siendo el país de Europa más aventajado. Su idiosincrasia es, además, compartir información con el resto de centros comunitarios.

Creo que hemos ido por el buen camino y nos hemos adelantado a la Unión Europea (UE) en el hecho de montar SOC con el espíritu de intercambio. Cuando hablamos de la Red Nacional de SOC, lo hacemos de que hay que responder a los incidentes. Pero hay que acompañar a esa respuesta con una capacidad de intercambio elevada. Es decir, vamos realimentando a la red con lo que va ocurriendo. Con lo cual, el trasvase de indicadores de compromiso es más fluido, más rápido y más fácil de incorporar al resto de organismos. Eso lo estamos constituyendo técnicamente en la Plataforma Nacional. Y, otra iniciativa de la UE pretende que las naciones montemos superSOC en los que nos vayamos asociando y podamos intercambiar toda la información. Estamos trabajando ya con Portugal, Italia, Luxemburgo, Rumanía, y próximamente con Francia y Austria. Vamos a montar esa plataforma.

 

¿Y la UE la llama superSOC?

Sí, hablan de ese concepto. Nosotros lo tenemos definido como Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. No es un nombre muy cool pero es el que está establecido en el Real Decreto.

 

"Lo bueno de la Unión Europea es que cuando entra en ciberseguridad lo hace con fondos"

 

 

¿El intercambio de información es tan vital ya como la detección y la respuesta, sobre todo en este contexto geopolítico?

Sobre todo el hecho de tener una plataforma a la que todos podamos acudir para coger la información que necesitamos. En 2017, con WannaCry vimos una situación muy desbordante, y de muchos nervios, en la que muchos CISO preguntaban. Ahí fue donde identificamos la necesidad de tener unos canales de coordinación, que son las plataformas de CSIRT.es. Esta Red Nacional de SOC es una evolución de CSIRT, en la que hay unos 70 organismos, privados y públicos, con el intercambio voluntario. Pero en la actual red no es voluntario, si estás es porque vas a compartir.

 

¿WannaCry fue el evento de seguridad que ha marcado un antes y un después en la industria?

Tenemos más eventos puestos en nuestro calendario, pero sí que es cierto que WannaCry puso la ciberseguridad en los medios de comunicación y en la conciencia de los ciudadanos. Y, sobre todo, en los consejos directivos.

 

Otra de las labores del CCN es la certificación de productos TIC. ¿Qué opina de la próxima Ley de Resiliencia Europea, que obliga a cumplir estándares en todos lo que se vaya a comercializar dentro del continente?

Se está trabajando en los primeros borradores y, lo que está claro es que se va a pedir condiciones de seguridad a cualquier cosa que se conecte a Internet, ya sea hardware o software. Nosotros estamos ahora mismo en el desarrollo de Cybersecurity Act, que establece también la necesidad de tener esquemas comunes de certificación. En este entorno, el CCN es la autoridad nacional de certificación y tiene que vigilar el cumplimiento de los estándares.

 

¿Siguen saliendo productos inseguros al mercado?

Los esquemas de certificación son muchas veces aproximaciones nacionales. Solo los productos internacionales, y en eso los americanos nos llevan un poco de ventaja, vienen todos con su certificación de Common Criteria. Nosotros solo sabemos la seguridad que clama el fabricante, pero no tenemos un organismo independiente.

 

Las normas más importantes de los últimos meses son la Ley de Mercados Digitales y la Ley de Servicios Digitales, que hacen un esfuerzo por ganar soberanía del dato respecto a los demás bloques geopolíticas.

Es una aproximación que hemos hecho tarde. Hemos llegado a la conciencia de que es fundamental tener la soberanía del dato. Y es una cosa que tenemos que desarrollar de forma común para que sea real. Para que el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) lo aplique. El problema es que cuando los datos están fuera aplican a otras legislaciones antes que a la nuestra. Yo apoyo completamente esta estrategia, y creo que los grandes proveedores de servicios están tomando conciencia y están haciendo ofertas de nube con residencia de datos en la UE.

 

¿Safe Harbour y Privacy Shield, los anteriores acuerdos entre Europa y Estados Unidos para el trasvase y la protección de datos entre bloques, son la historia de un gran fracaso?

Todos estos marcos voluntarios que tratan de exhibir un sello en una página web o dentro de una estrategia comercial no son suficientes. Por eso, nosotros debemos apostar por una aproximación a la soberanía digital desde las instituciones europeas y con normativas que sean públicas y claras.

 

"No ha habido efectos colaterales en el ciberespacio derivados de la guerra de Ucrania"

 

 

¿También es importante contar con empresas de ciberseguridad que sean fuertes?

Completamente, y de hecho, cuando empezamos a funcionar en ciberseguridad, todas nuestras estrategias y conceptos, lo que los militares llamamos doctrina, procedían de la OTAN, que era la que nos marcaba los principios básicos. A partir de 2014 eso lo empezó a marcar la UE, y lo bueno que tiene la UE es que cuando entra lo hace con fondos. Tiene muchas líneas de crédito ahora mismo. Es bueno que nuestras empresas, que normalmente no son grandes, crezcan. Tenemos muy buenos tecnologías, pero tenemos compañías que son pymes o no muy grandes, y son fácilmente adquiribles por grandes multinacionales. Hemos hecho el esfuerzo de crear tecnologías rompedoras en ciberseguridad, que luego se irán a otros países.

 

¿Qué madurez tienen las infraestructuras públicas españolas en ciberseguridad con respecto al resto de países europeos?

Tenemos un instrumento que muchas veces no lo tienen en otros países o que es voluntario. Y es el Esquema Nacional de Ciberseguridad. Lo acabamos de renovar y nos da una fuerza muy grande para, primero, saber dónde estamos. Cuando nos comparamos con otros países, muchas veces ellos no saben dónde están, su nivel de seguridad real.

 

¿Qué importancia tiene la estrategia de formación dentro del CCN?

Va dirigida al sector público, en su mayor parte. Y hemos crecido. De los 30 cursos que hacíamos hace cuatro años hemos pasado a más de 80. La pandemia nos hizo digitalizarnos y pasamos a modelos mixtos en nuestros cursos. Ya llegamos a entidades locales y Comunidades Autónomas.

 

Por último, es usted coronel de artillería y lleva más de 20 años dedicado a la ciberseguridad. ¿Cómo nace su pasión por el ámbito digital desde su carrera dedicada a la seguridad física?

Ya llevo 24 años en la ciberseguridad, y entré porque había unas necesidades, a nivel de OTAN, de protección de sistemas clasificados. Pero el mundo ha evolucionado muy rápido, de ahí pasamos a infraestructuras críticas. En ese ámbito vimos que se unían mucho las dos esferas –seguridad física y lógica–. Luego llegó el Esquema Nacional de Seguridad, la directiva NIS… Todo ha ido acelerándose y asentándose. Pasamos de la protección de la información a principios de este siglo a la de los servicios. Han sido años muy interesantes y ha merecido la pena.