El nuevo escenario tecnológico en el que nos encontramos ha llevado a un desarrollo sin precedentes en el intercambio de información pero, al mismo tiempo, implica consecuencias que pueden afectarnos como ciudadanos entre las que se encuentran los riesgos y las amenazas de seguridad informática nacional. Para evitarlos, desde 2013 el Gobierno impulsa la Estrategia de Ciberseguridad Nacional.
Esta, alineada con la Estrategia de Seguridad Nacional, es el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración con instituciones y empresas privadas, y con la participación de la ciudadanía. Como señala el Departamento de Seguridad Nacional del Gobierno, “la Estrategia crea una estructura orgánica que sirve para articular la acción única del Estado conforme a unos principios compartidos por los actores concernidos y en un marco institucional adecuado. La estrategia realiza un análisis acertado del actual panorama de amenazas en el ciberespacio y pone foco en el desarrollo de los principios rectores de la Seguridad Nacional: unidad de acción, anticipación, eficiencia y resiliencia. Además, define un detallado conjunto de objetivos y líneas de acción – muy alineadas con la mayoría de las estrategias nacionales de ciberseguridad de nuestros principales aliados y socios- que, paradójicamente, ponen de manifiesto los principales gaps y contradicciones de la actual ciberseguridad nacional. “La cibercriminalidad es un problema de seguridad ciudadana de primer orden, representando una de las amenazas más extendidas y generalizadas, que se materializa de forma continua y que victimiza cada vez de manera más importante a miles de instituciones, empresas y ciudadanos”, según la Estrategia Nacional de Ciberseguridad 2019 que hoy ha publicado el Boletín Oficial del Estado y que fue aprobada por el por el Consejo de Seguridad Nacional, en su reunión del 12 de abril pasado. Esta definición de cibercriminalidad, de gran importancia, según expertos consultados por LA RAZÓN y que ha sido acordada tras la consulta al Ministerio del Interior, Policía y Guardia Civil, hace referencia “al conjunto de actividades ilícitas cometidas en el ciberespacio que tienen por objeto los elementos, sistemas informáticos o cualesquiera otros bienes jurídicos, siempre que en su planificación, desarrollo y ejecución resulte determinante la utilización de herramientas tecnológicas; en función de la naturaleza del hecho punible en sí, de la autoría, de su motivación, o de los daños infligidos”. En estos casos, se podrá hablar así de “ciberterrorismo, de ciberdelito, o en su caso, de hacktivismo”. En el texto aprobado, se subraya que “el empleo de nuevas modalidades de transacción financiera y económica, como las criptomonedas, para el tráfico y el comercio de bienes y prestación de servicios ilícitos o la extorsión, el fraude y la falsificación de medios de pago no monetarios, constituyen un serio desafío a la seguridad por su sofisticación y complejidad. Estos pueden ser utilizados en el blanqueo de capitales y la evasión de impuestos y representan una fuente de ingresos para el crimen organizado y por lo tanto son facilitadores de otras actividades como la financiación del terrorismo”. De hecho, se aprovechan “de la dificultad de seguimiento que estas nuevas técnicas ofrecen”. “Los ciberdelincuentes operan bajo esquemas de crimen organizado y continúan explorando de manera incesante técnicas sobre las que construir modelos de negocio lucrativo y de bajo riesgo, amparados por la difícil trazabilidad de sus acciones”, agrega. Por lo que respecta a los grupos terroristas, se señala que “tratan de aprovechar las vulnerabilidades del ciberespacio para realizar ciberataques o para actividades de radicalización de individuos y colectivos, financiación, divulgación de técnicas y herramientas para la comisión de atentados, y de reclutamiento, adiestramiento o propaganda” La nueva Estrategia entiende que el ciudadano es “corresponsable” de la ciberseguridad nacional. Su parte de la responsabilidad obedece a que su comportamiento puede influir en la seguridad del ciberespacio, por lo que se le pide que tome conciencia de los riesgos que corre (cultura de ciberseguridad) y se comprometa en la tarea común de proteger a la sociedad, impulsando aquellas medidas que conduzcan a la “necesaria” cooperación para la seguridad común. La necesidad de esta cooperación impuesta puede ser excesiva si, por ejemplo, la carga de la ciberseguridad recae exclusiva o mayoritariamente sobre el sector privado. Incluso si fuera equitativa, la movilización de los ciudadanos ante un peligro colectivo no puede seguir el patrón del extinto servicio militar obligatorio, en el que los ciudadanos sólo tenían el deber de contribuir, sino en el moderno de corresponsabilidad de las sociedades avanzadas donde actores públicos y privados comparten decisiones, obligaciones y derechos. Si la responsabilidad es compartida, la cooperación no puede funcionar sólo en apoyo del sector público. El reparto de responsabilidades, lo que corresponde al sector público y al privado no puede ser igual sino asimétrico: mayor peso del sector público en las decisiones que afectan a la seguridad nacional y mayor peso del sector privado en las que afectan a su seguridad económica, la continuidad de sus negocios o la competitividad. La Estrategia apela reiteradamente a la colaboración público-privada para atender las obligaciones de la seguridad nacional, pero no recoge expresamente el derecho a participar -ser corresponsable– en aquellas decisiones que afecten sus intereses económicos e industriales especialmente de las empresas que son sujetos principales de las obligaciones regulatorias4. Sí que se reconoce la necesidad de incrementar la colaboración con el sector privado en relación con la gestión de crisis, una cooperación que desde el sector privado se entiende de doble vía, porque las crisis también afectan a la imagen y continuidad de su negocio.
Algunas de las propuestas pendientes se pueden subsanar cuando se regule el Foro. Su creación (Línea de actuación, L.A. 3.9), da satisfacción a una exigencia recogida en la Ley de Seguridad Nacional, atiende una demanda reiterada del sector privado y representa un avance respecto a la Estrategia anterior. Su regulación queda pendiente, pero puede ayudar a construir una corresponsabilidad más equitativa, si las sinergias que se pretenden crear se orientan al desarrollo de las oportunidades económicas de la digitalización y no sólo, como hasta ahora, a desarrollar medidas de seguridad. Por eso, nuestras propuestas reivindicaban no sólo su creación sino, también, su participación en el nivel estratégico de las decisiones que afecten al sector. Un Foro marginal, sin presencia y capacidad de influencia en los centros donde se deciden las cuestiones que afecten al sector privado y a la sociedad, no tendría sentido en una política como la de ciberseguridad cuyo objetivo último es asegurar la prosperidad y el disfrute de la economía digital. A modo de conclusión, en la nueva Estrategia Nacional de Ciberseguridad española 2019, se exponen una serie de consideraciones finales y se concretan los mecanismos para la actualización y evaluación de la propia Estrategia. La experiencia adquirida desde la Estrategia de Ciberseguridad Nacional de 2013, ha permitido plasmar en este nuevo documento una actualización de las amenazas y los desafíos a los que nos enfrentamos, siempre en continua evolución. Para adecuarse a este nuevo escenario cambiante, se propone un conjunto de Líneas de Acción y medidas más dinámicas, que permitan, si fuese necesario, una rápida adaptación del ecosistema de ciberseguridad nacional, basado en un modelo de gobernanza con una considerable madurez, donde debe participar activamente el sector privado y el resto de la sociedad civil. En este sentido, la Estrategia se concibe como un documento vivo que ha de irse ajustando a la evolución de la ciberseguridad, por lo que deberá ser objeto de revisión continua, como también los planes específicos y sectoriales que de ella se deriven. Se elaborará un informe anual de evaluación de la Estrategia donde figurará el grado de ejecución y cumplimiento de sus objetivos generales y particulares. Por otro lado, a la vista del incremento de las amenazas y desafíos a la ciberseguridad y cómo los afrontan países de nuestro entorno, resulta cada vez más urgente dotarse de recursos económicos, humanos y materiales para hacer frente a los mismos. Una de las acciones especialmente relevantes en este marco es que el Centro de Operaciones de Ciberseguridad de la Administración General del Estado se encuentre adecuadamente dotado. En resumen, la Estrategia Nacional de Ciberseguridad 2019 establece la posición de España ante una nueva concepción de la ciberseguridad en el marco de la Política de Seguridad Nacional. La nueva ciberseguridad se extiende más allá del campo meramente de la protección del patrimonio tecnológico para adentrarse en las esferas política, económica y social.
BIBLIOGRAFIA CONSULTADA:
Ciberseguridad. Retos y Amenazas a la Seguridad Nacional en el Ciberespacio: (Instituto Español de Estudios Estratégicos) / Instituto Universitario General Gutiérrez Mellado. Cuadernos de Estrategia 19.
14th Annual, CSI Computer Crime and Security Survey, diciembre de 2009
A human capital crisis in cybersecurity. Technical Proficiency Matters, Center for Strategic & International Studies, July 2010. [disponible en www.csis.org]
Ataques DDoS 2010. Últimas motivaciones y métodos utilizados, Informe de Amenazas CCN-CERT IA-05/10, 10.09.2010, [disponible en www.ccn-cert-cni.es (parte privada del portal)]
Ataques DDoS 2010. Últimas motivaciones y métodos utilizados, Informe de Amenazas CCN-CERT IA-05/10, 10.09.2010, [disponible en www.ccn-cert-cni.es (parte privada del portal)]
La inteligencia, factor clave frente al terrorismo internacional, Cuadernos de Estrategia nº 141, Ministerio de Defensa, 2009
David Odalric de Caixal i Mata: Historiador Militar, experto en Geoestrategia Internacional y Terrorismo Yihadista. Director del Área de Seguridad y Defensa de INISEG (Instituto Internacional de Estudios en Seguridad Nacional). Director del Observatorio contra la Amenaza Terrorista y la Radicalización Yihadista (OCATRY). Asesor en Seguridad y Defensa en HERTA SECURITY. Director de OSI INTELLIGENCE (Occidental Studies Institute-USA) Membership research projects in support of Veterans of the Armed Forces of the United Kindom. Membership in support of the AUSA (Association of the United States Army) Miembro asesor de la Sección de Derecho Militar y Seguridad del ICAM (Ilustre Colegio de Abogados de Madrid). Membership in support of the Friends of the Israel Defense Forces. Miembro del Consejo Asesor del LIKUD-SERBIA (Israel)