La ciberseguridad es una materia que, temporalmente, ha quedado relegada a un segundo plano por culpa de la irrupción de la inteligencia artificial. Sin embargo, el legislador europeo sabe perfectamente que es un aspecto de la que no puede prescindirse en los desarrollos tecnológicos que siguen surgiendo. Así las cosas, lejos de tender hacia una estabilidad regulatoria, desde Bruselas siguen aprobando normativa en la que se introducen cada vez mayores obligaciones para disponer de productos y servicios seguros y certificados, haciendo recaer la responsabilidad de su vulnerabilidad a las empresas responsables de su fabricación, distribución y uso.
Sobre todo ello conversamos con Francisco Pérez Bes, posiblemente el abogado que más ha impulsado el derecho de la ciberseguridad en España, y referencia absoluta en esta materia.
P: ¿Puede ofrecernos una visión general del estado actual de la ciberseguridad en España?
R: En España, al igual que en el resto de los países industrializados, la ciberseguridad se ha vuelto cada vez más crítica y estratégica. Las amenazas cibernéticas no dejan de crecer, evolucionar y diversificarse; y las organizaciones, tanto públicas como privadas, se enfrentan diariamente a un alto número de ciberataques que, aún a pesar de las medidas técnicas implementadas, no siempre pueden prevenir y evitar. En particular, estas últimas semanas hemos sido testigos de cómo numerosas entidades y administraciones públicas españolas han sufrido incidentes de gravedad. La situación se ha vuelto más compleja debido a la digitalización de la economía y la sociedad en general, lo que ha provocado el incremento de la ciberdelincuencia. Pero también observamos cómo el ciberespacio se ha convertido en un dominio donde se desarrollan los conflictos bélicos que -desgraciadamente- también han aumentado.
Por su parte, desde la óptica de gobernanza, van surgiendo nuevos organismos con competencias en esta materia. Y desde la visión regulatoria, el volumen de normativa es cada vez mayor y más difícil de asimilar por parte de las organizaciones afectadas.
P: ¿Cuáles son las principales amenazas cibernéticas a las que se enfrentan las empresas y los ciudadanos en España?
R: La taxonomía de las amenazas cibernéticas es muy amplia, aunque las más habituales entre el sector empresarial siguen siendo los ataques de ransomware, y los ataques de ingeniería social, en particular los dirigidos al ciudadano con fines fraudulentos. Aunque los más temidos siguen siendo los ataques de día cero o zero-days, que explotan vulnerabilidades no conocidas todavía, y cuyo uso por delincuentes puede provocar daños de extrema relevancia. Con carácter general, vemos cómo detrás de estas prácticas suele estar detrás la ciberdelincuencia, que se ha ido especializando en el robo de datos personales, de propiedad intelectual e industrial, y fraudes financieros. En resumen, estamos hablando de un panorama de amenazas muy amplio, que probablemente siga evolucionando con el uso masivo y generalizado de la inteligencia artificial y otras tecnologías, como las neurotech o las tecnologías cuánticas, que cada vez están más cerca de su implementación generalizada.
Todavía queda trabajo por hacer, especialmente en el sector público y en las pequeñas y medianas empresas, que a menudo carecen de recursos
P: En este contexto, ¿cómo se encuentra España en términos de preparación y resiliencia ante estos desafíos?
R: En los últimos años, y muy en particular desde 2014 hasta 2019, España ha avanzado mucho en la concienciación de la sociedad y las empresas, y la inversión en ciberseguridad ha crecido mucho. También las infraestructuras han mejorado considerablemente, especialmente con las redes 5G, y la gobernanza se ha convertido en un aspecto clave para el posicionamiento de España en el panorama internacional. En particular, en el caso de España, contamos con muchos organismos y entidades con competencias en ciberseguridad, y con CERT que trabajan coordinadamente en la identificación y gestión de ciberincidentes, así como con organismos autonómicos que también disponen de recursos centrados en la protección y seguridad. Además, desde el punto de vista regulatorio, España ha ido trabajando seriamente en avanzarse en la aprobación de estrategias de ciberseguridad, y ha elaborado normativas específicas de referencia a nivel internacional. Sin embargo, todavía queda trabajo por hacer, especialmente en el sector público y en las pequeñas y medianas empresas, que a menudo carecen de recursos para implementar medidas de ciberseguridad suficientes peor que, sin embargo, son el objetivo más habitual por parte de los ciberatacantes. En este escenario cobra especial importancia la cadena de suministro, donde los proveedores se han convertido en un vector de ataque que pone en peligro la continuidad de muchas empresas.
P: Hablando de regulaciones, ¿puede contarnos sobre la nueva legislación de ciberseguridad que se espera desde Europa y cómo afectará a España?
R: Europa está en proceso de implementar la segunda Directiva de Seguridad de las Redes y Sistemas de Información (NIS2) y la de resiliencia de las entidades críticas, Normas que convivirán con el Reglamento DORA, con la futura ley de ciberresiliencia y cibersolidaridad, y con otra normativa sectorial, como el Reglamento de inteligencia artificial o el de criptoactivos, por citar algunos. Toda esta normativa tiene como objetivo establecer un marco legal y de seguridad común en toda la Unión Europea y reforzar el mercado único europeo, especialmente a través del desarrollo de marcos de certificación de productos y servicios, pero también de empresas y profesionales.
El rasgo común a todas ellas es el de la gestión del riesgo, y la implementación diligente de medidas preventivas y reactivas frente a las amenazas cibernéticas y, en ocasiones, también físicas. Un régimen sancionador relevante, y una exposición a la responsabilidad legal mucho más intensa que anteriormente, ha elevado tal responsabilidad a nivel de los órganos de gobierno de las entidades afectadas, a los que se les va a exigir formación y conocimientos específicos en esta materia.
P: ¿Qué consejos puede ofrecer a las empresas y a los individuos para mejorar su ciberseguridad en este entorno cambiante?
R: Para las empresas, es esencial realizar evaluaciones de riesgos y establecer planes de respuesta a incidentes y de continuidad de negocio. Deben invertir en la capacitación de su personal y en tecnologías de seguridad actualizadas. Para los individuos, es importante ser consciente de las amenazas y seguir buenas prácticas, como la elección de contraseñas fuertes y la precaución y desconfianza ante correos electrónicos o enlaces sospechosos. En este sentido, el concepto de cultura empresarial es acertado.
P: A nivel profesional, ha recibido varios reconocimientos a su labor en el fomento del derecho digital y el legaltech. En lo personal también ha sido modélico en el impulso de iniciativas que han contribuido al crecimiento de la ciberseguridad en el sector profesional, especialmente entre la abogacía, y en la concienciación a los más pequeños. ¿Cómo han sido estas experiencias?
R: La publicación del código electrónico de derecho de la ciberseguridad, gracias a la colaboración del BOE, ha sido muy positiva para los profesionales del sector, por cuanto se ha conseguido poner a su disposición, de manera permanente y gratuita, de un compendio actualizado de toda la normativa española vigente en esta compleja materia, por defecto muy dispersa. Por ejemplo, me ha sorprendido la buena acogida que ha tenido entre los participantes de la National Cyberleague que organiza la Guardia Civil, donde los equipos finalistas siempre me felicitan por dicha obra, ya que es una herramienta que les ha facilitado enormemente el aprendizaje de la regulación. Pero me consta que también sirve mucho a otros profesionales de la ciberseguridad, lo que me enorgullece enormemente.
Por otro lado, el libro infantil de “Cuentos de ciberseguridad”, donde se enseña a los niños a conocer, identificar y gestionar riesgos que se van a encontrar cuando se inicien en el uso de tecnologías, ha sido muy gratificante en lo personal por cuanto ha ayudado a muchos padres a crear un entorno educativo con sus hijos sobre un tema tan trascendente para ambos, y educarlos en la prevención, el conocimiento y en la prudencia. Además, los derechos de autor se ceden a causas sociales relacionadas con la protección del menor en internet, así que la satisfacción es doble.
En cuanto a los galardones, es un incentivo muy grande poder recibir el reconocimiento de entidades oficiales y de tus propios compañeros, ya que los esfuerzos y la dedicación que inviertes sólo esperan poder visualizar mejoras en el sector o en la sociedad. Pero me siento muy afortunado y agradecido por ellos.
P: ¿Qué otras iniciativas tiene previsto abordar, a corto plazo, a las que debamos estar atentos?
R: Acabo de terminar otro libro infantil de cuentos, esta vez para educar sobre los riesgos que trae consigo la inteligencia artificial, y que creo que es importante explicar a los niños, que serán los grandes usuarios de esta tecnología. Está previsto que se publique durante el primer trimestre del próximo año.
La IA va a ser un recurso de gran potencial para los ciberdelincuentes, pero también de gran ayuda para los que velan por nuestra seguridad cibernética.
P: En cuanto a la llegada de la tan temida inteligencia artificial, ¿qué debemos esperar?
R: En mi trabajo llevamos tiempo analizando el impacto de los riesgos de su adaptación a la empresa, y la estamos utilizando para mejorar la eficiencia de los abogados. Estoy seguro de que será una herramienta altamente disruptiva en cualquier profesión, y que deberemos aprender a utilizar con responsabilidad. También en el sector de la ciberseguridad va a ser un recurso de gran potencial para los ciberdelincuentes, pero también de gran ayuda para los que velan por nuestra seguridad cibernética.
Del lado normativo, estamos siendo testigos de numerosas normas, códigos de conducta, recomendaciones, documentos con principios y valores, que tratan de diseñar el marco regulatorio de esta tecnología. Pero creo que todavía no hemos visto el potencial transformador real de la inteligencia artificial, aunque estamos cada vez más cerca de ello.
P: ¿Con qué reflexión podríamos cerrar esta entrevista?
R: Quizás con la de que la ciberseguridad es una preocupación global que requiere la colaboración de todos para mantenernos seguros en un mundo cada vez más digital.