Ciberseguridad nacional, ¿quién está al mando?

 

La Unión Europea (UE) ha emprendido una carrera de rearme en la que Pedro Sánchez ha querido poner especial énfasis en la ciberseguridad. La Estrategia Nacional de Ciberseguridad de España data de abril 2019, motivo por el cual el Consejo Nacional de Ciberseguridad acordó en enero comenzar su revisión. El pasado 8 de abril, este mismo órgano acordó el texto a adoptar por el Consejo de Seguridad Nacional para la aprobación de una nueva Estrategia Nacional de Ciberseguridad en España, seis años después.

Aunque entre 2019 y 2025 no se ha estado de brazos cruzados, lo cierto es que los ritmos son lentos. Prueba de ello es que hasta marzo de 2022 no se aprobó un nuevo Plan Nacional de Ciberseguridad, dotado con un presupuesto de más de 1.000 millones de euros. Entre sus medidas destacaban algunas como la creación de la plataforma nacional de notificación y seguimiento de ciberincidentes y de amenazas o la puesta en marcha del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos, entre otros. Un año después, también se crearía la Escuela Militar de Ciberoperaciones.

El 14 de enero de 2025, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Otra prueba de la lentitud que se arrastra es que este anteproyecto se deriva de la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2) que buscaba garantizar un elevado nivel común de ciberseguridad en toda la UE y tenía que haber sido transpuesta antes del 17 de octubre de 2024.

En este anteproyecto se contempla la creación de un Centro Nacional de Ciberseguridad (CNC), que es algo que ya venía esperándose desde hace cerca de tres años. El objetivo del nuevo CNC es acabar con “la actual dispersión competencial en materia de ciberseguridad”, tal y como reconoce el anteproyecto de ley. Se requiere una autoridad nacional competente única que dirija, impulse y coordine todas las actividades previstas en esta ley. Además, es preciso contar con un punto de contacto único para garantizar la cooperación intersectorial y transfronteriza con otras autoridades competentes, sino olvidar que del CNC se espera que sea la autoridad nacional de gestión de crisis de ciberseguridad.

Estos son los ambiciosos objetivos con que nacerá el nuevo centro pero el camino no va a ser sencillo. Actualmente, España cuenta con numerosos organismos que, de un modo u otro, están ligados a la ciberseguridad del país. La realidad es que “no existe una agencia, centro nacional o autoridad única que impulse, dirija, coordine y asigne recursos en materia de ciberseguridad”, según alerta el Foro Nacional de Ciberseguridad en uno de sus últimos informes, precisando que “el modelo español contrasta con el modelo más centralizado que en la actualidad tienen la mayoría de países europeos”.

Comencemos por Policía Nacional y Guardia Civil. En el primero de los casos, la Brigada Central de Investigación Tecnológica (B.C.I.T.) aborda delitos como pornografía infantil, estafas y fraudes por internet, fraudes en el uso de las comunicaciones, ataques cibernéticos, piratería... Por su parte, la Guardia Civil cuenta con el Grupo de Delitos Telemáticos (GDT) y con los Equipos de Investigación Tecnológica (EDITE), desplegados a nivel provincial.

Adicionalmente, está el Centro Criptológico Nacional (CCN), que coordina la acción de los diferentes organismos de la Administración que utilizan medios o procedimientos de cifrado, garantiza la seguridad y la protección de la información clasificada e, incluso, forma al personal especializado en criptología. Asimismo y además de elaborar normas e instrucciones que garanticen la seguridad de los sistemas de información y comunicaciones o constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad, opera su propio CCN-CERT como Capacidad de Respuesta a Incidentes de Seguridad.

Este CCN-CERT es el centro de alerta y respuesta nacional para responder de forma rápida y eficiente a los ciberataques, siendo el responsable de la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes. No es un tema menor: España cuenta con 62 equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), sólo por detrás de EEUU (106) en todo el mundo, pertenecientes a Comunidades Autónomas, organismos públicos como el Banco de España, universidades y empresas públicas y privadas, algunas de ellas consideradas infraestructuras críticas, como Renfe, Telefónica, Iberdrola, Indra o las principales entidades bancarias.

Por otro lado, no podemos olvidar al Ejército y su Mando Conjunto del Ciberespacio (MCCE), que  persigue asegurar la libertad de acción de las Fuerzas Armadas en el ámbito ciberespacial. Asimismo, está el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC), que además acaba de ser reestructurado el pasado 8 de abril, creándose una nueva Subdirección General dedicada en exclusividad a la seguridad de la información y al uso de la Inteligencia Artificial (IA) en el Ministerio de Defensa.

Pero sin lugar a dudas, en este maremágnum de organismos, con el que es más complejo el encaje del CNC es con el Instituto Nacional de Ciberseguridad (INCIBE) que, por cierto, lleva operando en León desde 2006 (inicialmente como Instituto Nacional de Tecnologías de la Comunicación, INTECO), por lo que Málaga quizás no sea tan buena opción para albergar el CNC como están intentando su alcalde y el presidente de la Junta de Andalucía.

El INCIBE presta servicio a la ciudadanía, las empresas y los profesionales que hacen uso de las TIC (Tecnologías de la Información y Comunicaciones) y a la industria de ciberseguridad, con el fin de extender la confianza digital y elevar los niveles de ciberseguridad y resiliencia, Además, cuenta con su propio centro de respuesta a incidentes de seguridad, el INCIBE-CERT, para ciudadanos y entidades de derecho privado en España. Cuando los incidentes afectan a operadores críticos del sector privado, este centro de respuesta está operado conjuntamente por INCIBE y la Oficina de Coordinación de Ciberseguridad (OCC) del Ministerio del Interior.

Con este escenario tan complejo parece evidente el trabajo duro que resta por hacer, especialmente en material de coordinación, y por ésta entendemos no sólo que no se produzcan redundancias que disparen tanto los costes como la eficiencia, sino que, además, se fomente la colaboración entre todos los actores implicados, eliminando silos de información que ensanchan la inoperancia y los riesgos. Ya en 2020, el Comité de Contacto de las Entidades Fiscalizadoras Superiores de la UE advirtió que el reparto de las competencias en materia de ciberseguridad entre numerosas entidades y los diferentes modelos entre países “pueden obstruir la cooperación necesaria para responder a incidentes transfronterizos de gran envergadura e intercambiar información sobre amenazas en el ámbito nacional, e incluso más a escala de la UE”.

A pesar de ello, en el último Global Cybersecurity Index 2024 elaborado por la Unión Internacional de Telecomunicaciones (UIT), España alcanzó la máxima puntuación tanto en las medidas legales, técnicas, organizativas y de cooperación, siendo solo las referidas a la capacidad de desarrollo las identificadas como el área de desarrollo potencial. 

(Artículo en Público)