El Estado no conoce cuántos ciberataques recibe España cada día, según la Comisión Mixta de Seguridad Nacional

“Más allá del incremento cuantitativo y cualitativo de las amenazas en el ciberespacio, persisten brechas estructurales que limitan la capacidad de respuesta del Estado, del sector privado y del conjunto de la sociedad”, diagnostican los diputados y senadores de la Comisión Mixta de Seguridad Nacional.

Esa brecha es tal que “actualmente no existe un sistema que permita conocer con precisión el número total de ciberincidentes que se producen diariamente en España”, aseveran, reiterano que no hay en España "un registro centralizado de ciberincidentes".

En el informe de la Ponencia de Análisis de las Amenazas en el Ciberespacio, al que ha tenido acceso este diario, los miembros de esa comisión mixta señalan la dispersión de organismos dedicados a la ciberseguridad de España, a su vez dependientes de ministerios diversos, como un flanco débil precisamente en el que Defensa identifica como periodo muy intenso de ciberataques en Europa.

Es, de hecho, una de las principales advertencias que hace el borrador de la ponencia, sobre el que este martes se ha debatido en la Comisión. Sus integrantes llegan a esa conclusión tras escuchar la opinión de 22 expertos de alto nivel que han ido compareciendo desde noviembre de 2024 en sesiones, algunas de ellas, a puerta cerrada. Entre ellos, el vicealmirante Javier Roca, jefe del Mando Conjunto del Ciberespacio de las Fuerzas Armadas, la general Loreto Gutiérrez, directora del Departamento de Seguridad Nacional, o la fiscal coordinadora contra la Criminalidad Informática María Elvira Tejada.

Algunos comparecientes ante la Comisión Mixta también han advertido de lo contrario: querer solucionar el problema de la dispersión recentralizando en exceso podría “ralentizar la acción operativa”, o sea, la respuesta española ante los ciberataques.

Vulnerables

La “fragmentación institucional” es, según el informe, “una de las debilidades más recurrentes identificadas”. Se recoge así después de que varios comparecientes hayan señalado que el “ecosistema español de ciberseguridad” cuenta con una variedad de organismos “con competencias concurrentes”. En la lista incluyen al Centro Criptológico Nacional (dependiente del CNI) coexistiencon con INCIBE, y unidades de ciberdefensa de las Fuerzas Armadas, la Policía, la Guardia Civil y policías autonómicas. Eso “dificulta una visión integrada del riesgo”.

La dispersión de la lucha contra los ataques informáticos es tal que la información sobre cibertataques y su gravedad “sigue siendo parcial y dispersa”, dice el informe en su capítulo dedicado a “Brechas y vulnerabilidades estructurales”.

Entre esas brechas, el informe recoge un posible agravante para la dispersión de esfuerzos: la “creciente fragmentación tecnológica derivada de la incorporación acelerada y poco integrada de nuevos sistemas”. Y, empeorando aún más la “brecha”, “un déficit significativo de soberanía tecnológica”. En la dependencia española en materia de “tecnologías críticas”, los autores del informe señalan por este orden a Estados Unidos, Israel y China.

Debilidades

Depender tanto de la tecnología de esos países es “un factor de vulnerabilidad estratégica” cuando el ciberespacio es utilizado “como dominio de confrontación” por los distintos Estados.

Los parlamentarios han sido advertidos por algunos de los comparecientes de que la “dependencia de proveedores considerados de alto riesgo puede generar vulnerabilidades relevantes desde el punto de vista de la seguridad nacional”. Cuáles de esos proveedores son de alto riesgo y cuáles no es motivo de discrepancia entre los partidos. Esos riesgos pendulan, según el informe, sobre el control de datos de ciudadanos, instituciones y empresas, y en el control de infraestructuras esenciales de España.

En parte, la dependencia se explica por falta (cuantitativa) de talento. O sea, no abundan los expertos en España; no operan en número suficiente como para llegar a cubrir la demanda. El informe recoge un dato llamativo aportado por la multinacional Cisco: el 74% de las empresas señala la escasez de profesionales como su principal problema de ciberseguridad.

En este sentido, el informe diagnostica para España un problema en la debilidad de las empresas pequeñas y medianas. Son “el eslabón más frágil del ecosistema digital español”, dice el informe, pese a que “representan la base del tejido productivo”. La causa: “Carecen en muchos casos de recursos técnicos, económicos y humanos para cumplir adecuadamente con las exigencias de ciberseguridad”.

Contraste a la vasca

En la misma jornada en que se debatía y votaba el informe, el Gobierno Vasco anunciaba una iniciativa para actuar por su parte ante cibertaques: activar el sistema de Protección Civil de Euskadi, el LABI. “Euskadi es pionera en disponer de un procedimiento específico con el que poder afrontar una emergencia relacionada con esta problemática”, ha anunciado el ejecutivo de Vitoria en una nota hecha pública este martes.

A partir de esta medida, el Gobierno Vasco puede poner en marcha su propio sistema de ciberdefensa si considera grave que el ataque recibido a sistemas de su administración o de entidades radicadas en suelo vasco, o bien porque así lo solicite la Cybertzaintza, o Agencia Vasca de Ciberseguridad.

La medida vasca, defendida por el consejero de Seguridad, Bingen Zupiria, va contra la recomendación del informe elaborado en las Cortes: no dispersar la cibervigilancia. Fuentes consultadas en la Ertzaintza niegan que se trate de dispersar, más bien es “contar con más nodos de vigilancia y un sistema propio de alerta y reacción”. Zupiria ha defendido la medida considerando que “nos enfrentamos a posibles ciberincidentes de gran magnitud” contra “sistemas sanitarios, energéticos, logísticos, de seguridad, financieros o de comunicación”.

Suscríbete para seguir leyendo