El mundo tecnológico siempre se ha movido en olas de tendencias, algunas con más o menos éxito y recorrido: la era del e-business, el grid y el green computing, la era del dato, de la inteligencia empresarial, la nube o la inteligencia artificial… Algunas de estas denominaciones no dejan de ser términos de marketing variables (o buzzword, que dicen los anglosajones) para referirse a unas tecnologías similares y en constante evolución.
Pero si hay una rama que siempre está en boga, que parece no tener techo y que siempre tiene la consideración de relevante es la de la seguridad. Sea ciber, física y/o lógica, todo lo relacionado con la seguridad tiene un negocio asegurado.
Hay quien defiende que, en este caso, se aplica la cultura del miedo: siempre hay que tener un enemigo contra el que luchar, contra el que estar alerta, y eso es lo que acaba moviendo el negocio.
En los primeros años de la informática eran los virus, aunque por aquel entonces la propagación estaba limitada a disquetes o memorias USB que se conectaban de un ordenador a otro. El virus 'I love you' fue el primero que consiguió una infección masiva (que podríamos denominar pandémica) en el año 2000: entre 45 y 50 millones de ordenadores personales se vieron infectados tras recibir, los usuarios, una supuesta carta de amor por correo electrónico en forma de documento adjunto que, al ser ejecutado, se reenviaba a sí mismo a todas las direcciones de correo electrónico almacenadas.
Desde entonces, más de 20 años después, la seguridad informática y tecnológica se ha vuelto mucho más compleja y sofisticada. Los virus y troyanos parecen ser el más pequeño de los males, frente a ataques ransomware, de denegación de servicio, suplantación de identidad o pérdida y no recuperación de datos, tanto de carácter personal como de negocio o industrial.
El panorama ha cambiado tanto que este tipo de incidentes han pasado a considerarse un delito penal y, por tanto, a tener penas de prisión, aunque no hace demasiado tiempo de este cambio. Por hacernos una idea, el Convenio sobre la Ciberdelincuencia (o convenido de Budapest, ciudad en la que fue firmado) es de 2001 y es el primer gran tratado internacional con el que se tipifican como delitos los realizados a través o contra los sistemas tecnológicos. En nuestro país no se ratificó hasta 2010.
Una década después, y según las estadísticas oficiales que analizamos hoy en este otro reportaje, se produjeron en España 305.477 delitos informáticos el pasado año (de los que algo más de 46.000 han sido resueltos), lo que supone un incremento del 6,1%.
Equipo de ciberdelincuencia de la Policía Nacional.
Es recurrente la frase de que hay dos tipos de empresas: las que han sido atacadas y las que aún no saben que lo han sido. La legislación también obliga a que las organizaciones sean más transparentes en este sentido y cuando sufren un ataque que pueda poner en peligro los datos personales de las personas, deben comunicarlo abiertamente.
Este cambio normativo es responsable, en parte, del crecimiento exponencial que ha tenido el número de denuncias de cibercrímenes en nuestro país: si en 2011 no llegaba a 30.000 denuncias, en 2020 hubo más de 215.000, superándose por primera vez las seis cifras en 2018, con más de 120.000 denuncias.
En búsqueda de expertos
Si en el sector tecnológico siempre se echan en falta más profesionales, en el de la seguridad la realidad es aún más acuciante. Según el Análisis y Diagnóstico del Talento en Ciberseguridad en España de Incibe, frente a los 39.000 profesionales que buscaban empleo en este nicho en 2021, había una demanda de 63.000 empleos. Para 2024 se calcula que serán necesarios 83.000 profesionales.
Casi la mitad de las empresas recurre a la formación de su propio personal para intentar suplir esta carencia de talento, pero la alta rotación es otro de los retos a los que se enfrentan.
Como bien pone de manifiesto el RGPD (Reglamento General de Protección de Datos), la seguridad, por muy tecnológica que sea, también tiene implicaciones y ramificaciones en otras áreas de negocio, por lo que una adecuada política de seguridad debe contemplar las esferas más legales y éticas, así como comunicativas. Es decir, una visión 360.
Uno de los objetivos de la National CyberLeague que todos los años pone en marcha la Guardia Civil es, precisamente, atraer a los más jóvenes y mejorar su empleabilidad en el sector de la ciberseguridad (varias empresas actúan como espónsor y suelen recular talento entre los participantes), teniendo que responder a cuestiones técnicas, jurídicas y comunicativas sobre cuestiones relacionadas con la materia. Una competición por fases en la que cuentan con mentores (como la que firma estas líneas) que les ayudan a prepararse para cada una de las etapas de esta competición.
Cabe señalar que, en la final, los jóvenes que viven este reto están rodeados de los profesionales de los cuerpos y fuerzas de seguridad, tanto nacionales como internacionales, que participan en la modalidad profesional de esta cibercompetición.
