Félix Barrio sustituía este junio a Rosa Díaz al frente del Instituto Nacional de Ciberseguridad. Un nombramiento que no cogía a nadie por sorpresa, ya que este berciano es uno de los históricos de la casa: lleva en el Incibe desde 2007, cuando se incorporó a este organismo como gerente y fue progresando hasta ser su subdirector de Ciberseguridad para la Sociedad y la Empresa.

Ingeniero de Software y Sistemas, experto universitario en Dirección y Gestión de la Información y sus Tecnologías por la Universidad de Alcalá y doctor por la Universidad de Salamanca. Su perfil es extraordinariamente prolífico y, ahora, lo pondrá al servicio de una institución que debe comandar no sólo la protección de empresas y particulares ante las ciberamenazas pero, también, de elevar el ecosistema de innovación en estas lides con que cuenta la capital leonesa.

[Así es el plan de Incibe para fortalecer las capacidades de ciberseguridad e impulsar el sector en España hasta 2025]

Hablamos con Félix Barrio para comentar estos temas, los proyectos concretos en que está inmerso el Incibe o las interrelaciones con los fondos europeos:

Pregunta: Como veterano de la casa, querría empezar preguntándote tu balance de los últimos años, esos tres cursos de Rosa Díaz al frente del Incibe y qué supone este cambio de liderazgo al frente del instituto.

Respuesta: Rosa, en su etapa en el Incibe antes de irse a dirigir el ONTSI, consiguió un hito importantísimo en la gestión de los fondos e inversiones, tanto nacionales como europeas, para conformar el nuevo escenario de la ciberseguridad española en la próxima década. Consiguió demostrar que se puede liderar una serie de acciones con gran impacto en la transformación digital de muchos sectores de la sociedad y la economía. Pero ahora entramos en otra etapa, que es la de duplicar el paso para acometer todos los compromisos que tenemos con Europa. Y en ello estamos.

P: Sobre esos compromisos con Bruselas, Incibe es uno de los organismos que se están viendo notablemente beneficiados de los fondos europeos de recuperación, con casi 600 millones de euros de inversión hasta 2026. ¿Cómo se van a materializar y cuál es el estado del arte?

R: Estamos hablando de 560 millones del mecanismo de recuperación y resiliencia que se unen a los más de cien millones de presupuesto ordinario para ese período. Es una inversión sin precedentes, multiplicando casi por cinco la capacidad de ejecución del Incibe. 

Por un lado, queremos ampliar el servicio público que se presta a través del instituto a los ciudadanos, empresas y sectores estratégicos de la economía. Por otro, generar nuevas capacidades de ciberseguridad a nivel de I+D+I; también desarrollar talento que es esencial para tener una economía digital a la altura de lo que necesita hoy en día cualquier país, que ya supone un 22% del PIB español en estos momentos.

P: En concreto, ¿qué áreas se van a priorizar -teléfono de asistencia, ampliación de plantilla, SOC, etc,- y dónde se va a invertir ese dinero de forma específica?

R: Ahora mismo ya estamos en un proceso de refuerzo de la plantilla directa, pero también la indirecta, vinculada al servicio público que prestamos de respuesta a incidentes las 24 horas del día, todos los días del año. Nuestro objetivo es, de aquí a un año, superar los 200 empleos directos en el centro de ciberseguridad y que, además, podamos incrementar nuestra capacidad de atención al usuario.

"Estamos reforzando nuestra plantilla directa y superaremos los 200 empleos directos en nuestro centro de ciberseguridad antes de final de año"

El teléfono 017 se activaba hace ya tres años, justo al inicio del confinamiento, y cerramos el pasado 2021 con casi 70.000 usuarios atendidos, víctimas de problemas de ciberseguridad y ataques de diferente tipología. Hemos crecido también en personal de soporte y, este diciembre, estaremos ya por encima de las 60 personas empleadas en esta línea, con capacidad para atender hasta 20.000 llamadas mensuales. Con ello, el objetivo es que el año que viene podamos atender hasta 200.000 llamadas de víctimas o de quienes sospechen que pueden padecer algún tipo de problema para que ninguna empresa española, autónomo o ciudadano se pueda quedar atrás por carecer de soporte profesional y servicios de ciberseguridad.

P: Eso en lo que atañe a la atención reactiva, pero también es esencial la divulgación que ayude a prevenir los ciberataques en la medida de lo posible...

R: Sin duda es fundamental. De hecho, dentro de los planes de publicidad institucional del Gobierno de España, las partidas destinadas a nuestras campañas de ciberseguridad encabezan la inversión. Y no es casualidad: evidentemente hay una gran preocupación por los casi 30 millones de internautas que tenemos, de los cuales la mayoría dedican más de dos horas y media a navegar por la red. Y debemos procurar que tengan un nivel de concienciación sobre el uso responsable y seguro de la tecnología y de los riesgos asociados.

No sólo eso, también estamos reforzando nuestras campañas a los colectivos más vulnerables. Por ejemplo, más de mil centros escolares y 45.000 alumnos han participado en programas de concienciación en ciberseguridad. Tuvimos una campaña en abril dirigida a los más mayores, en colaboración con la Jefatura de Información de la Policía Nacional.

P: Una de las grandes ambiciones de España en materia de ciberseguridad fue aspirar al Centro Europeo de Competencia, que finalmente recayó en Rumanía. Ahora León, y el Incibe, conformarán el Centro de Coordinación Nacional, el centro espejo a escala local. ¿Cuál es ahora mismo la situación de este proyecto, cuáles son los plazos y cómo servirá esta designación para captar más fondos y proyectos comunitarios?

R: Lo que ha sucedido en este tiempo es que la Unión Europea creó una agencia de competencias en ciberseguridad que complementa a la Agencia Europea de Ciberseguridad y que persigue, fundamentalmente, aglutinar todas las inversiones que tradicionalmente se venían desarrollando en este ámbito a nivel europeo, anteriormente dentro del programa Horizonte. Se decidió extraer esa inversión estratégica y crear esa agencia central que tuvo varias candidaturas, entre ellas la de León.

"Nos hubiera encantado que el Centro de Competencias en Ciberseguridad de la UE estuviera en León, pero también nos alegramos de que Rumanía tenga su primera agencia europea"

Finalmente fue la elegida fue Bucarest. Y aunque evidentemente nos hubiera encantado que esta agencia estuviera en España, por supuesto en León, también nos alegramos porque es la primera agencia europea que tiene Rumanía y creemos que lo van a hacer muy bien.

Dicho eso, sí hemos sifo designados por parte de la UE y a propuesta del Gobierno de España para ser el Centro de Coordinación Nacional con esa agencia europea. Como no podía ser de otra manera, por la experiencia y las competencias que tenemos en el Incibe, ahora estamos inmersos en una convocatoria de financiación que se hará pública el próximo quince de noviembre para seguir ayudando a empresas, centros tecnológicos y universidades a seguir liderando la atracción de fondos en ciberseguridad a nivel europeo. Queremos que no se pierda ni un solo euro de Europa que se pueda invertir en el ecosistema de ciberseguridad de España.

P: Hablando de invertir en el ecosistema, Incibe ha anunciado recientemente la segunda convocatoria de compra pública innovadora de este curso, orientada en este caso al segmento de pymes con 137 millones que se unen a los 86 millones de la primera. ¿Cómo se articulan ambas y cuáles son los propósitos finales?

R: Estamos calculando que, de tener éxito esta convocatoria, podremos tener a lo largo de 2023 unos 250-300 contratos de investigación, desarrollo e innovación con empresas, fundamentalmente con pymes, para ayudarles a crear productos y soluciones que nos permitan conseguir ese objetivo tan anhelado de la soberanía tecnológica. Hemos aprendido a la fuerza la importancia de tener proveedores nacionales alternativos a los de otros países, que por supuesto van a continuar existiendo. Creemos que esta inversión va a ser un revulsivo para impulsar la innovación y la inversión privada en ciberseguridad. 

P: Cambiando de tercio, te quería preguntar también por la gran heterogeneidad de regulación que se avecina en materia de ciberseguridad, en España y Europa: NIS2, DORA... ¿Cómo de preparado está el tejido español para encarar estos cambios normativos y cuál será el rol del Incibe?

R: España tiene un nivel de preparación en regulación muy importante. Solo a nivel de CERT, los centros de respuesta ante ciberincidentes, somos de los países del mundo con más centros de este tipo, tanto públicos como privados. Además, tenemos una gran presencia en todas las iniciativas regulatorias en el ámbito de la Unión Europea. Hay que mencionar la ley de Ciberresiliencia, la Directiva de Radiofrecuencia o la Directiva del Marcado CE.

Nuestro país está haciendo una labor muy intensa para mantener la importancia de un mercado, el nuestro, que es el quinto en volumen de facturación dentro de la industria de ciberseguridad en Europa, muy por delante del siguiente que es Holanda. Es algo estratégico, y por eso hemos tenido este año la Ley de Ciberseguridad con cien millones de acompañamiento presupuestario para poner una red de supervisión en este campo. También tuvimos en mayo pasado el Real Decreto del Esquema Nacional de Seguridad y nos ha designado como centro de referencia al Incibe.

En definitiva, nos hemos encontrado con un marco regulatorio extraordinario y muy importante a nivel de impacto, de alcance, de cobertura con nuevos sectores regulados que estaban menos anteriormente, pero que también representa una oportunidad para posicionar a nuestras empresas nacionales, con un gran nivel de competencia y de calidad a escala internacional.