El director de la Oficina Nacional de Seguridad (ONS), José de Blas, lo tiene claro: "Nuestro mayor enemigo no son los hackers, es el usuario" que desdeña los protocolos de seguridad e incumple las condiciones de uso y seguridad de material o información sensible.

En una entrevista con Efe, este experto en seguridad que dirige la oficina dependiente del Centro Nacional de Inteligencia (CNI) encargada de garantizar el secreto de los secretos de Estado y la información sensible, confidencial o reservada, tanto española como extranjera, explica que el "eslabón más débil" de cualquier sistema de seguridad es siempre una persona.

"Alguien que se aburre de seguir los procedimientos, que se quiere llevar el trabajo a casa o que es vulnerable a las presiones externas, ese es siempre el escalón más frágil", explica en un aparte durante la Feria de Defensa y Seguridad (FEINDEF) celebrada esta semana en Madrid y en la que, por primera vez, su oficina ha montado un estand.

Anécdotas hay muchas, pero no las puede contar. Salvo la de una mujer (que no identifica) que, furiosa por no poder llevarse el ordenador de su oficina (que tampoco identifica) para trabajar en otro lugar, acabó por arrancarlo de la mesa en la que estaba anclado. "Fue interceptada en la puerta", dice sin más precisiones.

En España hay unas 400 empresas "habilitadas", desde las grandes constructoras de material militar como Navantia, hasta las más pequeñas como la de instaladores eléctricos, fontanería o pintura que den los últimos toques, a, por ejemplo, la construcción de la nueva sede de la OTAN o el mantenimiento de edificios sensibles, como las centrales nucleares o las embajadas.

En España hay unas cien mil personas "habilitadas" tras pasar un riguroso examen de "condiciones, relaciones y vulnerabilidades" que debe renovarse, al menos, cada diez años si la información que van a manejar es reservada y cada cinco si es secreta.

Preguntado por el eterno debate sobre la necesaria modificación de la Ley de Secretos Oficiales, De Blas explica que la ONS preparó un informe con propuestas para modificar la ley de 1964 y adaptarla a las necesidades actuales y a los requisitos internacionales.

Así, detalla que su oficina propuso fijar la vigencia de la clasificación en un número de años (25 para el secreto, 15 para el reservado, 10 para el confidencial y cinco para la difusión limitada), que podía ser prorrogada por otro tanto si fuera necesario.

"La información clasificada no se oculta, se protege", asegura De Blas, quien considera que la ley de Secretos Oficiales "debería complementar la ley de Transparencia", aunque rehúsa entrar a valorar qué información o qué archivos deberían hacerse públicos y cuándo.

"Yo me encargo de asegurar que la información clasificada está protegida, pero no entro en si se desclasifica o no", dice con firmeza pero con una sonrisa.

En cuanto a la comisión de "secretos oficiales" del Congreso, cuyo nombre exacto es Comisión de los Créditos destinados a Gastos Reservados, De Blas asegura que no se acredita ni investiga a sus miembros.

¿Por qué nada de lo que se dice ahí dentro es información sensible o clasificada?

Sonríe, mira a la asesora que le acompaña en la entrevista y se limita a responder que "la comisión nunca ve información clasificada extranjera", que es otra de las responsabilidades de su oficina, garantizar ante otros Estados la seguridad de la información que comparten con España o con sus empresas.

Así, entre las responsabilidades de la ONS también está la de apoyar a las empresas españolas que buscan conseguir licitaciones internacionales garantizando sus niveles de seguridad y fiabilidad, como por ejemplo apoyando a Navantia para conseguir un contrato del Gobierno de Australia.

"Les ayudamos a cumplir los requisitos de seguridad de otros Estados y luchamos en foros internacionales para que se reconozcan nuestro requisitos de seguridad, que es una de las estrategias que a veces se utilizan para quitar de enmedio a los competidores por un gran contrato", explica sin querer entrar en más detalles.

Y no. Tampoco puede opinar sobre el ciberataque detectado el pasado mes de marzo contra los sistemas de comunicación interna del Ministerio de Defensa porque "está bajo investigación", aunque no duda en subrayar que el sistema comprometido fue el de más baja sensibilidad y por el que no circula información clasificada.