Garantizar la seguridad en el mundo digital es un elemento básico para el éxito de la transformación en la que está inmersa la sociedad gracias al desarrollo tecnológico. De nada servirán todos los avances que se han logrado y los que están por venir si no conseguimos que las amenazas y los riesgos en materia de seguridad que inevitablemente traen aparejados se reduzcan al mínimo posible.
Es común escuchar que en materia de ciberseguridad, como en otros muchos aspectos de la vida, el riesgo cero no existe. Pero también es cierto que si no se toman medidas, tanto preventivas como correctivas, ante las ciberamenazas o los ciberataques, el nivel de riesgo crecerá exponencialmente y las consecuencias pueden ser muy graves para empresas, ciudadanos y gobiernos.
La guerra iniciada por Vladimir Putin contra Ucrania no se limita únicamente a la invasión del país por parte de las tropas rusas, sino que, como ya han contado mis compañeros de D+I, se trata de la primera guerra híbrida de la historia, con un campo de batalla físico y otro digital.
En las últimas semanas, Rusia, un país que cuenta con un elevado nivel de inteligencia cibernética, ha incrementado de forma considerable sus ataques contra servicios digitales esenciales de Ucrania, así contra sus infraestructuras críticas y los recursos públicos del país.
Unos ataques dirigidos muchas veces por el Kremlin que también se han extendido a otros países a los que el Gobierno ruso considera enemigos, como han reconocido, por ejemplo, los Gobiernos de Estados Unidos, Reino Unido o, incluso, España.
Y no solo eso, el cibercrimen también está sirviendo como medio para financiar la guerra, mediante ataques dirigidos a bancos, plataformas de criptomonedas o empresas. Una práctica que no es nueva, ya que también la han empleado en el pasado países que han sufrido sanciones internacionales, como Corea del Norte o Irán.
La guerra ha puesto de relieve hasta tal punto la importancia que tiene que un país cuente con un alto nivel de ciberseguridad que el Gobierno español lo ha convertido esta semana en uno de los cinco ejes de su Plan Nacional de Respuesta a las Consecuencias Económicas y Sociales de la Guerra de Ucrania.
Un reconocimiento que quizás viene más cargado de intenciones y de voluntad de reconocer la relevancia de la ciberseguridad que de medidas concretas. E incluso quizás se ha echado en falta que se haya dedicado algo más de tiempo a detallar estos planes en las comparecencias realizadas por el Ejecutivo.
Sin desmerecer la urgencia y la relevancia del resto de medidas incluidas en este amplio plan de choque, en materia de ciberseguridad se ha aprobado la ley para garantizar la seguridad de las redes 5G. Una medida que ya estaba en la agenda desde hace tiempo (la consulta pública del texto se llevó a cabo en diciembre de 2020) y cuya mayor sorpresa ha radicado en que se ha decidido aprobar mediante Real Decreto-ley para que entre en vigor lo antes posible.
La gran estrella de este anuncio ha sido el Plan Nacional de Ciberseguridad, dotado con la nada desdeñable cifra de 1.200 millones de euros. Pero, más allá de las líneas generales, poco detalle se ha dado de las cerca de 150 iniciativas, entre actuaciones y proyectos, que se prevén llevar a cabo durante los próximos tres años.
Confiemos en que estas lleguen más pronto que tarde y ayuden a impulsar la gran labor que desde hace años realizan en España entidades públicas especializadas en ciberseguridad como Incibe o el CNN-CERT. Y es que por todos es conocido que los malos aprenden rápido y es imprescindible intentar serlo tanto como ellos.
Pero la importancia de la ciberseguridad va más allá del impacto que está teniendo en la misma la guerra en Ucrania. Y es que los ciberataques y las ciberamenazas continuarán sin duda alguna una vez que concluya el conflicto, lo que ojalá se produzca cuanto antes.
Así, las empresas sufren desde hace décadas constantes ataques cibernéticos, de los que de vez en cuando algunos tienen éxito y, en ocasiones, salen a luz pública. El último, por ejemplo, esta misma semana, en la que una gran compañía energética reconocía que habría sufrido un acceso indebido a la base de datos de sus clientes.
Pero este caso también sirve de ejemplo de la apuesta y la inversión que han hecho las grandes compañías en ciberseguridad para minimizar el impacto de los ciberataques. Esta amenaza se resolvió en el mismo día y ninguno de los datos a los tuvieron acceso los ciberdelincuentes eran críticos. Sólo básicos como nombre, apellidos y DNI. En ningún momento datos bancarios, fiscales o de consumo eléctrico.
En este contexto, y aunque seguro que todavía quedan grandes empresas que tienen margen de mejora en sus medidas de ciberseguridad, el reto vuelve a estar en concienciar a las pequeñas y medianas (pymes) de este país de la necesidad de invertir en ciberseguridad, como ocurre con otros muchos aspectos de la digitalización.
Pero no solo los gobiernos y las empresas deben actuar para ser más seguros en el mundo digital. Las personas en el ámbito individual también tienen que ser más conscientes de que las amenazas en el entorno digital son numerosas y de que un descuido a la hora de proteger sus datos o sus dispositivos puede tener consecuencias nefastas.
El avance tecnológico hace que cualquier transacción por Internet sea cada vez más segura, pero al igual que el riesgo cero no existe, tampoco es posible garantizar la seguridad al 100%. En última instancia, casi siempre entra en juego el factor humano.
La seguridad en el mundo digital depende en gran medida de la responsabilidad de cada uno y no siempre somos conscientes de la importancia de tomar medidas para evitar las ciberamenazas, quizás porque son más difíciles de ver que las físicas. Y es que no tenemos problema en asumir la necesidad de, por ejemplo, poner una alarma en nuestra casa, pero nos cuesta más instalar un antivirus en nuestro móvil.
La ciberseguridad merece una mayor atención por parte de todos, gobiernos, empresas y ciudadanos, y no sólo en tiempos de conflicto. Invertir en ciberseguridad puede que no ofrezca unos beneficios visibles de forma inmediata. Pero las consecuencias de no hacerlo pueden ser, sin duda alguna, mucho más graves.