Viaje al centro de formación de ciberseguridad de la Policía Nacional

Una mañana fría en Ávila es mucho más que eso, es una sensación de la que solo se tiene plena conciencia cuando uno aparca el coche en la llanura que alberga la Escuela Nacional de Policía y se dirige a la garita de entrada a presentar su documentación. Es entonces cuando los cinco grados que marcan el termómetro del coche adquieren significado pleno y hacen que inmediatamente uno trate de buscar en el cielo, además de indicios de que al menos no vaya a llover -o nevar-, una ayuda divina para que la visita que vamos a realizar al lugar donde la policía nacional realiza su formación en materia de ciberseguridad no sea a la intemperie.

Y no, afortunadamente no lo es. Casimiro Nevado y Silvia Barrera, inspector jefe e inspectora de la Policía Nacional, coordinador y subcoordinadora, respectivamente, de C1b3rWall, el proyecto del cuerpo policial enfocado a formación en ciberseguridad, nos aguardan a la entrada del edificio principal de este centro, perteneciente a la División de Formación y Perfeccionamiento de Policía Nacional, que dispone de unas instalaciones excepcionales para desarrollar los estudios, incluso universitarios, de los agentes de este cuerpo y de otras policías tanto locales como internacionales. Y, lo mejor de todo: nuestros anfitriones nos invitan a entrar, disipando nuestros temores iniciales.

Tras un interesante paseo por unas inmensas y bien cuidadas dependencias en las que conviven a diario una media de 4.000 personas, entre estudiantes, cuerpos docentes y todo el personal necesario para que funcione esta pequeña ciudad -sería la tercera de la provincia, por población-, acompañamos a estos dos expertos en seguridad digital hasta una amplia sala, donde nos explicarán qué es C1b3rWall, qué unidades de la Policía luchan contra los ciberdelincuentes o cómo se relacionan las distintas fuerzas de seguridad y otros organismos en esta materia, aunque también abordamos otros asuntos de actualidad, como, por ejemplo, cuáles son las principales amenazas a las que se enfrentan ciudadanos, empresas, organismos públicos y países, o cómo se combaten.

“La formación en ciberseguridad tiene que ser constante y continua, no podemos dejarla nunca de lado. No podemos hacer una acción formativa y pensar que ya hemos cumplido con el expediente. El problema de la seguridad digital es que te tienes que estar actualizando constantemente, lo que te sirve por la mañana a lo mejor por la tarde ya no te sirve, los cibercriminales han cambiado su modus operandi. Nunca puedes darte por satisfecho con lo que estás haciendo, y tienes que ser consciente de que tienes que estar renovando ese conocimiento”, nos introduce Casimiro en la necesidad de estar preparados ante unos tipos de delitos que, en el caso de España, ya suponen uno de cada seis cometidos, según datos del Ministerio del Interior.

Para que las fuerzas de seguridad, pero también los ciudadanos, dispongan de una formación continua en ciberseguridad la Policía Nacional creó en 2018 el mencionado proyecto C1b3rWall en la Escuela Nacional de Policía, y lo hizo, tal y como se explica en su página web, “con el objetivo de generar acciones formativas en relación con la materia de ciberseguridad, buscando desarrollar las capacidades y habilidades necesarias y de mayor calidad para aquellos profesionales que se desempeñen en ese ámbito así como para todo ciudadano preocupado por su propia seguridad digital y la de los suyos”.

Después de prácticamente cinco años, el balance, como explica Nevado, es muy positivo: “El proyecto surgió con la idea de hacer un pequeño evento para reunirnos policías y profesionales, y ese pequeño evento se convirtió en un congreso de 4.000 asistentes en la primera edición, y de 5.000 en la segunda, y con la vertiente online, que es el C1b3rWall Academy, que en las dos primeras ediciones hemos tenido más de 100.000 alumnos de 82 países. Creo que ninguno de nosotros esperábamos una difusión y una repercusión del proyecto de esta envergadura, y por lo tanto estamos muy contentos porque estamos cumpliendo los objetivos que nos habíamos propuesto”.

El Congreso C1b3rwall ofrece una convivencia total abierta a cualquier persona interesada, “sea profesional o ciudadano”, quienes durante cuatro días viven una experiencia “muy cercana a los ponentes, a los que pueden consultar cualquier duda durante el tiempo que dura el congreso, porque los ponentes se alojan aquí, en la Escuela, y si no puedes preguntarle esa duda durante su intervención lo vas a hacer cuando le veas como público en otra actividad, o en una comida... Y eso es lo que realmente se valora del congreso. Más que un congreso es una experiencia”.

Y en relación con el C1b3rWall Academy, el curso online también abierta a cualquier interesado, nos aclara que “ofrece esa información más extendida en el tiempo, como un curso académico normal y corriente, y lo hacemos con la Universidad de Salamanca. Es un curso que tiene 20 módulos formativos que vamos abriendo cada 15 o 21 días y la idea es que se prolongue durante todo un curso académico. Cada uno puede componerse la ruta formativa dentro del curso eligiendo los módulos que quiera y haciéndolos cuando quiera”.

La sala en la que nos encontramos está presidida por una amplia fila de mesas sobre las cuales descansan equipos informáticos y en la que cuesta encontrar un trozo de papel. Muy cerca se encuentra el inmenso auditorio que alberga los grandes eventos -tiene disponibilidad para 1.000 personas, sala de traducción simultánea y una enorme pantalla de última generación-, y un segundo algo más pequeño pero igualmente dotado de todos los recursos necesarios para la celebración de todo tipo de actos. Al otro extremo del edificio, tras atravesar el hall principal por el que accedimos, se abre un inmenso pasillo, rodeado de aulas, de una impresionante biblioteca, de laboratorios donde se enseña a la futura policía científica a hallar pruebas bajo un simple botón, o en las patas de una polilla; o de un museo de la policía cuyo tiempo de visita se estima en dos horas.

Uno se pregunta cómo son posibles unas instalaciones de estas características en nuestro país. Máxime cuando las infraestructuras deportivas que rodean el edificio principal son más propias de una villa olímpica que de un centro de formación: piscina olímpica cubierta, polideportivo, pistas de tenis, fútbol, pista de atletismo y un sinfín de jóvenes entrando y saliendo por los distintos espacios en una actividad frenética tras la que debe existir un sorprendente orden.

¿El ciudadano medio sabe de ciberseguridad?, seguimos preguntando, pero ahora a la inspectora Silvia Barrera, quien tiene sus reservas al respecto: “La persona que al final está detrás de un dispositivo no es consciente de la ciberseguridad, sí de la usabilidad, es decir, estamos muy preparados para enfrentarnos a cualquier herramienta, y sabemos logarnos, descargarla, utilizarla, bajar recursos cuando los necesitamos… esa navegación innata que antes no teníamos ahora la tienen los jóvenes. La cuestión es que una cosa es saberse mover por un medio y otra saber qué riesgos te esperan en ese medio si no adoptas una serie de pautas recomendadas, y en la concienciación de eso es algo en lo que se está trabajando y en lo que debemos seguir trabajando todos, no solo la policía, pues es algo que nos corresponde a todos, a las empresas con sus empleados, y a las propias familias, que tienen que ser responsables en el entorno de los menores. Nosotros no podemos meternos en la casa de nadie, eso es una responsabilidad de todos, y creo que eso es lo que falta por entender”. 

Y las empresas, ¿cómo debería actuar una empresa que es ciberatacada?

Responde Casimiro Nevado:

- Lo primero que tiene que hacer una empresa es ser consciente de que puede sufrir ciberataques. Y, consecuentemente, tiene que planificar su plan de seguridad de acuerdo con los posibles escenarios con los que se puede encontrar en un futuro. Esa materia la tenemos bastante avanzada a nivel de grandes empresas y empresas medianas, y falta un poco en el caso de pequeñas empresas que no cuentan con un presupuesto que puedan invertir para tener su propio equipo de seguridad digital. Pero para esos casos hay grandes empresas que te pueden dar ese servicio, y tienes que ser consciente de que tienes que contratarlas. Así que lo primero, el paso fundamental, es saber cuál es la amenaza y cuál es tu superficie expuesta en internet, porque hay mucha gente que ni siquiera sabe qué tiene expuesto; tienes que ser consciente de esa amenaza y de los medios que tienes. ¿Lo vas a evitar? La seguridad 100% no existe, pero tienes avanzado bastante. Una vez que sufras el ciberataque vas a tener reglados esos pasos y todo va a ser mucho más fácil.

- ¿Crees que estas empresas deben pagar si se les pide un rescate por la información robada?

- Se recomienda no pagar por parte de las empresas -contesta Silvia Barrera-, y lo que se recomienda es que tengan un plan de ciberseguridad, que hayan hecho copias de seguridad para poder restaurar los sistemas, que contraten servicios informáticos que securicen bien a nivel interno y a nivel perimetral las empresas, o bien peritos forenses que intenten recuperar los archivos dañados y que tengan ese plan de respuesta que no sea alimentar a estas bandas organizadas.

¿Y qué opinas de los nuevos seguros que cubren estas contingencias de ciberseguridad?

- Las pólizas de seguro cubren los ataques, los fraudes, hasta cierto límite y teniendo en cuenta que la empresa tenga un plan de ciberseguridad y no haya cometido determinadas negligencias. Es decir, antes de establecer una cobertura por riesgo de seguro lo que tienen que hacer las empresas es una auditoría de los sistemas y verificar que lo mínimo que debe exigirse a la empresa sea lo que la empresa está llevando a cabo. Si luego no se cumplen esas medidas de seguridad, o no se mantienen, el seguro cubrirá hasta lo que sea razonable cubrir. Luego, cuesta mucho cobrarlo, esto dicho por empresas del sector, que no se cubre el 100% de todo el daño que se produce, porque no solo es el fraude, sino que también está la restauración de sistemas, el daño reputacional, pérdida de clientes... Hay unos gastos asociados que tampoco los cubre el seguro. Esto no es un cheque en blanco -matiza la subcoordinadora de C1b3rWall.

Abordamos muchos más asuntos en nuestra conversación con estos dos expertos, tales como el estado de nuestra legislación cara a estos delitos, la forma de trabajar de las unidades policiales que combaten el cibercrimen o qué debe hacer un menor o un adulto ciberacosados (difiere el modo de actuación, según el caso). Estas y otras cuestiones, y sus respuestas, están recogidas en los videos adjuntos cuya íntegra visualización recomendamos.

Podríamos estar muchas más horas hablando sobre ciberseguridad con estos dos especialistas policiales. Pero la mañana se ha echado encima y el cielo, cada vez más gris, nos lanza una última advertencia sobre cómo ser Ávila en un día de nieve. Tenemos que apresurarnos, pero no nos iremos sin abordar una última cuestión fundamental en la lucha contra la ciberdelincuencia:

¿Es fluida la relación entre fuerzas de seguridad en materia de ciberseguridad?, preguntamos al inspector jefe Nevado, quien asegura que “es fluida y es absolutamente necesario que sea así, porque solamente con tu escudo, con tu marca, no vas a conseguir nada. En ciberinvestigación necesariamente debes tener esa relación fluida y coordinarte y cooperar no solamente con otros cuerpos de seguridad, sino también con otras instituciones públicas como puede ser INCIBE o el CCN, y con empresas privadas y con la parte académica. Ese es precisamente el objetivo de este proyecto: fomentar y reforzar esa cooperación a nivel policial, con otros cuerpos nacionales e internacionales, y también con expertos del sector académico y del sector privado”.

Casimiro y Silvia aguardan pacientes mientras recogemos la cámara, los focos, el trípode, y, a continuación, nos acompañan a la zona de aparcamiento donde se encuentra nuestro vehículo. En las inmediaciones llama la atención los restos del narcosubmarino que en noviembre de 2019 fue localizado con tres toneladas de cocaína, tras cruzar el Atlántico, en una operación desarrollada en las costas gallegas y que inspiró “Operación Marea Negra”, la serie de televisión protagonizada por Álex González. Estas instalaciones, con sus laboratorios sacados de cualquier capítulo de CSI, museos inabarcables y expertos en seguridad por los cuatro costados, deberían ser parte esencial de los muchos reclamos que esta ciudad tiene para los turistas, quienes de paso aprenderían unos conceptos básicos de seguridad y ciberseguridad que les ayudaría a enfrentarse a unos riesgos que siguen creciendo y de los que ninguno estamos a salvo.