Si te preguntaran si España es (o no) una potencia en ciberseguridad, ¿qué responderías? La respuesta puede depender de muchos factores y de quién la responda. Pero esa es la pregunta que nos hemos hecho en el primer capítulo de El Enemigo Anónimo: ¿está España preparada (de verdad) para luchar contra el cibercrimen y proteger su ciberseguridad?
Para contestar a la pregunta hemos hablado con todas las personas entrevistadas en esta serie documental, cuyos testimonios hemos complementado con una pequeña investigación basada en datos, noticias e informaciones que nos van a ayudar a establecer el statu quo de España en el sector de la ciberseguridad. Spoiler: tenemos una noticia buena, dos noticias malas… y otra muy mala.
Una noticia buena: en la parte alta de los rankings
Una forma objetiva de responder es acudir a los diversos estudios que catalogan a todos los países del mundo en función de su capacidad de protección de la ciberseguridad. El más conocido (y quizá el más aceptado) es el Global Cybersecurity Index, elaborado por la Unión Internacional de Telecomunicaciones de Naciones Unidas (UIT), que establece una clasificación mundial partiendo de 25 indicadores como las capacidades técnicas de cada país, la industria que ha creado o las leyes en materia de ciberseguridad.
En su edición de 2018, la última, este informe deja en una buena posición a España, colocándola como el séptimo país que más y mejor protege su ciberseguridad. Esta posición supone un avance para nuestro país, ya que en 2017 estaba en el puesto 21 y en 2014 en el 28.
¿Son todos los análisis tan optimistas? En realidad no. Otro informe elaborado este mismo 2020 por Comparitech lleva a España más abajo: concretamente al puesto 22. En el siguiente mapa, los países en amarillos son los menos preparados y los que están en morado los que cuentan con unas capacidades mucho mayores.
Si el mapa no te ha ayudado mucho a hacerte una idea de por qué Comparitech nos otorga el puesto 22 a nivel mundial, vayamos al detalle. En el siguiente cuadro podemos ver algunos de los parámetros analizados y la puntuación de cada país en ellos: ahí observamos que Comparitech nos da una buena nota en nuestras capacidades para evitar ciberataques, por ejemplo, pero nos tira de las orejas a la hora de analizar la actualización de nuestras leyes para combatir el cibercrimen. En cualquier caso, el vigesimosegundo puesto de España no podría considerarse necesariamente un fracaso, ya que en la preparación a la hora de prevenir, evitar o mitigar ciberataques sacamos una nota de sobra positiva.
Dos noticias malas: entre los más atacados… y los más atacantes
Pero no todo pueden ser buenas noticias. A la hora de hablar de la ciberseguridad en España todo el mundo menciona la séptima posición del Global Cybersecurity Index, pero poca es la gente que habla de la situación de nuestro país en otros ránkings en los que nadie debería querer estar.
Y es que España ocupa, por (de)mérito propio, un lugar destacado en la lista de países más ciberatacados del mundo. Hay dos informes interesantes en este sentido: por un lado, el Imperva 2019 Cyberthreat Defense Report, que nos sitúa como el primer país del mundo en el que más empresas han recibido ciberataques en el último año; por otro, el CyberEdge 2020 Cyberthreat Defense Report, que tampoco nos lleva mucho más abajo: coloca a España en la segunda posición del mismo ránking.
Estas cifras tan negativas se relajan un poco más si acudimos a una tercera fuente: el mapa de ciberamenazas en tiempo real de Kaspersky, cuya versión interactiva puede verse bajo estas líneas, que sitúa a España como noveno país más atacado del mundo en la mayoría de registros. Un alivio a medias.
Por desgracia, las noticias en este sentido abundan. Bitdefender ha revelado que España está entre los seis países más atacados por ciberamenazas relacionadas con el coronavirus. Además, nuestro país es uno de los más afectados por malware bancario en Android, por mencionar solo algunos ejemplos.
Ahora bien, aquí conviene ser cautos. ¿El hecho de que España sea uno de los países más atacados del mundo implica que nuestro país está en el centro de la diana o que cada vez es más fácil atacarnos? No necesariamente. Como nos cuenta la abogada Elena Gil, «quizás pueda influir el hecho de que cada vez destinemos más medios a detectar ataques. Eso puede hacer que tengamos la sensación de recibir más… y en realidad es solo una labor de detección».
«España es uno de los países más atacados, pero también cada vez destinamos más medios a detectar ataques. Podemos tener la sensación de recibir más… y en realidad es solo detección»
Elena Gil González
En cualquier caso, si estar entre los países más atacados no es precisamente una buena noticia, menos lo resulta estar entre los más atacantes. Y aquí, por desgracia, volvemos a ‘destacar’.
Hace poco Kaspersky presentó los resultados de su investigación sobre la proliferación de spam y phishing en el segundo trimestre de 2020. Al clasificar este tipo de ataques, España quedó como el noveno país más receptor de estos correos.
Pero lo peor de todo no es eso. Lo peor es que, si vamos más allá, descubrimos que nuestro país es el primero de todo el mundo en el envío de archivos maliciosos adjuntos como parte de las campañas de phishing. Campeones en una competición que nadie estar orgulloso de ganar.
Una noticia pésima: la gestión pública
Hay algo en lo que España sigue teniendo una asignatura pendiente en lo que se refiere a ciberseguridad: la gestión pública. Así lo demuestran tanto la visión de algunos de nuestros entrevistados como las noticias e informaciones que hemos ido viendo durante los últimos años.
Para Luis Fernández, editor de la revista SIC, «un síntoma de madurez viene indicado por si se sabe si se tiene dinero, en qué se gasta y si se gasta bien». Sin embargo, «en España ni siquiera sabemos qué dinero tenemos. Hay estadísticas que arrojan, por ejemplo, cuál es la evolución en Inglaterra o en Francia, qué presupuestos tienen, ministerialmente cómo se dividen… Pero en España todavía no existe una información que diga qué dinero se tiene, si es mucho, poco o regular«.
«En España hay muy buenos profesionales en la administración pública, que tienen imaginación, pero la falta de recursos es alarmante»
Luis Fernández
Un ejemplo de ello son las prisas con las que el Gobierno español actúa a veces en materia de ciberseguridad. El Ejecutivo ha hecho recientemente diversas inversiones importantes, como el hecho de destinar 15 millones de euros en detectar y prevenir ciberamenazas internas y externas en agosto de 2019, pero no hay que olvidar lo que pasó apenas cuatro meses antes: el Ministerio del Interior, ante la evidente falta de manos, se vio obligado a aprobar, con carácter de urgencia, la contratación de 12 especialistas en ciberdelitos para la Policía Nacional. La inversión fue de 386.000 euros, lo que equivale a 32.166 euros brutos al año por persona, un sueldo que, además de improvisado, es claramente inferior al que cualquier experto en ciberseguridad puede cobrar en la empresa privada.
Hay más ejemplos de gestión errónea o, como poco, polémica. El 27 de julio de 2018, un fallo en Lexnet, el sistema telemático del Ministerio de Justicia, provocó una brecha que dejó más de 11.000 documentos internos al descubierto y a golpe de click: bastaba con cambiar los IDs que identifican a cada usuario en la URL para acceder a la bandeja de entrada privada de otra persona y a los documentos de cada uno de los procesos judiciales que tenía en marcha. Todo ello en una plataforma que costó más de 7 millones de euros, que desde entonces no ha parado de fallar y que hizo que España fuese condenada por incumplir la Ley Orgánica de Protección de Datos (LOPD). Y para colmo, el Ministerio de Justicia decidió denunciar al informático que desveló el fallo y lo comunicó.
Los Mossos d’Esquadra, el juez que lleva el Procès, políticos catalanes e incluso varios ministros y altos cargos del actual Gobierno han sufrido la intervención ilegal de sus dispositivos
Entre tanto, los ataques de ingeniería social, robo de datos y suplantación de personalidades en el ámbito público han sido una constante: los Mossos d’Esquadra, el juez que lleva el caso del Procès, políticos catalanes e incluso varios ministros y altos cargos del actual Gobierno han sufrido las consecuencias de la intervención ilegal de sus dispositivos. A ello podemos sumar los ciberataques al hospital de Torrejón de Ardoz, a los ayuntamientos de Zaragoza y de Jerez de la Frontera, a la Empresa Municipal de Transportes de Valencia o incluso más recientemente a Adif. Y los ciberataques a menudo pueden ser inevitables, pero la mayoría de los casos mencionados tienen una cosa en común: la falta de transparencia a la hora de reconocer los hechos, de reaccionar, de actuar en consecuencia y de poner los medios necesarios para minimizar el riesgo de que todo esto vuelva a pasar.
Por tanto, ¿está España preparada (de verdad) para combatir el crimen y proteger su ciberseguridad? La respuesta dependerá de quien la lance, pero lo cierto es que, aunque los avances sean rápidos y casi siempre certeros, a España aún le queda mucho por hacer. La salvedad es que quizá nuestro país no sea el único: como nos cuenta Daniel González, de Osane Consulting, «ningún país en el mundo está preparado para lo que nos espera a nivel tecnológico en los próximos años». Quizá sea cierto.
