En lo que llevamos de año, la ciberseguridad ha ocupado grandes titulares y, generalmente, debido a ataques con mucha repercusión. Pero, aunque menos mediáticos, también se han sucedido grandes hitos en el sector que convierten al 2021, por ahora, en un buen año.
Y por ello, pasado el ecuador de 2021, quizá sea un buen momento para hacer un pequeño ejercicio de reflexión y ver si los actores del sector nos habíamos equivocado o no en nuestros vaticinios a finales de 2020. Por mi parte, concretamente, afirmé lo siguiente en cuanto a las principales amenazas de ciberseguridad:
- Aumento de ataques a proveedores, que concentren gran cantidad de riesgo (como ha sido el caso de Kaseya, del que se puede decir proveedor de proveedores).
- Ataques de ransomware, aumentando la presión vía amenaza de filtrado de la información.
- Ataques de phishing crecientes.
Pero ahora ¿qué ha pasado en estos meses? Casi nada. Podemos enumerar algunos de los ataques que han protagonizado estos primeros meses de 2021, como: Kaseya, JBS, Colonial Pipeline, NSO Group - Pegasus, Urbaser, Facebook, Quanta, The Phone House, Glovo, Diputación de Segovia, SEPE, Ministerio de Educación... Estos son un claro ejemplo de que no íbamos muy desencaminados.
Pero, lo que se cuenta menos es que, a pesar de estos incidentes, el sector también ha experimentado grandes hitos, en la parte positiva, como: el Plan Estratégico Nacional de Ciberseguridad, el Reglamento NIS y el lanzamiento de la plataforma Pinakes por parte de CCI (Centro de Cooperación Interbancario), para reforzar la seguridad de la banca.
Es decir, seguimos viendo cómo los ataques de ransomware continúan creciendo tanto en España, como a nivel internacional. Algunos de estos ataques han tenido mucha repercusión, entre otras cosas, por el importe abonado a los atacantes (como fue el caso de JBS) o por el impacto que han tenido en la vida cotidiana (como el caso de Colonial Pipeline).
Por esto, la reciente aprobación del Reglamento de la Ley NIS, que aborda la seguridad de las redes y de los sistemas de información, tiene especial trascendencia, ya que da un paso más en la necesidad de protección de los operadores de servicios esenciales.
Como sostiene la economista Mariana Mazzucato, la labor de los estados no es sólo tratar de solucionar los problemas del mercado, sino aspirar a mejorar la vida de los ciudadanos con misiones "moon shoot". O, en otras palabras, con proyectos que hagan que el sector privado se involucre e innove de una manera que, sin ese proyecto, no haría. Y, afortunadamente, este nuevo reglamento avanza en esa línea. Lo que supone un gran avance para la ciberseguridad, aunque, por supuesto, todavía quede mucho por hacer.
Porque no es sólo necesario que se fomente la demanda con legislaciones como estas, o la oferta, con el reciente programa de compra pública innovadora, que ha liderado INCIBE. Sino que también la propia Administración debe actuar como un agente tractor, sobre todo porque, a la vista de los sucesos acaecidos en los últimos meses, todavía hay mucho margen de mejora en el nivel de seguridad de muchas administraciones.
Proteger nuestros servicios esenciales
Muchos de los ataques de estos últimos seis meses se han dirigido a servicios esenciales, no tanto por motivación política, (que también), sino, sobre todo, por motivos económicos. Está claro que la protección de los servicios esenciales es una prioridad y, por eso, esperamos ver pronto que, para conseguir cubrir esta acuciante necesidad, la Administración española se decida a aprobar el marco de protección de infraestructuras críticas 2.0, basado en un marco de construcción de capacidades que ayudará a todas las partes a mejorar el nivel de seguridad de todo el ecosistema.
Esta motivación también ha dado lugar a otra de las buenas noticias de este año: El nacimiento de PINAKES, por parte del CCI. Este servicio, promovido por la necesidad de cumplir con los reglamentos de la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) en materia de supervisión de terceros, ha unido a la mayor parte del sector financiero español para fomentar el uso de un mecanismo común para evaluar la seguridad del ecosistema de empresas que les da servicio.
Este mecanismo permite lograr grandes eficiencias a todas las partes (entidades y proveedores), pero lo más importante es que, gracias a la transparencia que permite, va a hacer que se eleve el nivel de seguridad general del sector, ya que tener un mejor nivel de seguridad tendrá premio al poder acceder a un mayor número de clientes.
En resumen, parece que las tendencias que veíamos a principios de año, se consolidan. Pero también vemos algunos chispazos de luz que nos permiten ser optimistas de cara al futuro. Porque, aunque los ataques persisten, parece que se van dando pasos para que estemos mejor preparados para afrontarlos. Nos leemos a final de año.
***Antonio Ramos es CEO de LEET Security y miembro del Stakeholder Cybersecurity Certification Group (SCCG) de la Comisión Europea.