Octubre ha sido designado por la Comisión Europea como el Mes Europeo de Ciberseguridad. El objetivo de asociar este período con la seguridad online no es otro que concienciar y sensibilizar sobre la protección digital y la ciberhigiene en un momento en el que los ciberataques siguen multiplicándose no solo en un contexto comunitario, sino también a nivel nacional. 

De hecho, en 2022 estos incidentes aumentaron un 9% respecto al año anterior hasta sumar 118.820, según los datos a conocer por el Instituto Nacional de Ciberseguridad (INCIBE) en su Balance de Ciberseguridad. 

Al frente de este organismo español, que trabaja para afianzar la confianza digital en este país e impulsar un uso seguro del ciberespacio, se encuentra Félix Barrio que, aunque lleva formando parte de él desde 2007, hace poco más de un año, en junio de 2022, fue nombrado director general de dicha institución.  

[Félix Barrio (Incibe): "España está muy bien preparada a nivel de ciberseguridad"]

En este período, que él mismo define como "muy intenso", ha tenido que hacer frente a dos retos principales: por un lado, cumplir con los compromisos adquiridos en la agenda España Digital, donde la ciberseguridad obtuvo una financiación "muy importante" que permitió acelerar el lanzamiento de convocatorias públicas y, por otro, reestructurar la organización con la ampliación de la plantilla, que ha sumado 32 personas en este período para cumplir con las demandas de las directivas comunitarias. 

Sin embargo, más allá del trabajo interno, Barrio también ha tenido que enfrentarse en este período a un contexto cambiante en lo que se refiere a las ciberamenazas. 

Los tres vectores principales del INCIBE

Según cuenta durante una entrevista exclusiva con D+I - EL ESPAÑOL, actualmente, desde el INCIBE están centrados en tres vectores principales, entre ellos, el crecimiento exponencial de los incidentes relacionados con la seguridad online, un ámbito en el que están incrementando los sistemas de detección proactiva para corregir los riesgos antes que se efectúe el posible ataque. 

A este se suma los ciberataques dirigidos, especialmente, contra los colectivos más vulnerables, donde se incluye el fraude online, pero también los que afectan a menores. "Los datos del último año reportados por el Ministerio del Interior alcanzan casi los 400.000 delitos de este tipo", apunta. "Por ello, hemos acelerado el despliegue de mecanismos de trabajo conjunto con las Fuerzas y Cuerpos de Seguridad del Estado". 

"Podemos atender hasta picos de 30.000 incidentes mensuales por parte de pymes o de ciudadanos en el 017". 

El último, que recoge el gran grueso de los ataques que se han detectado en los últimos años, es el que se enfoca a la cadena de suministro, es decir, a las pequeñas y medianas empresas (pymes). Barrio señala que este tipo de organizaciones no suelen tener la capacidad necesaria para invertir en ciberseguridad de la misma forma que lo hacen las firmas de gran tamaño, por lo que, desde INCIBE, han redoblado los sistemas que les permitan dar soporte a este tipo de compañías. 

"Podemos atender hasta picos de 30.000 incidentes mensuales de este tipo de compañías, así como ciudadanos, en el 017, el servicio estrella de nuestra institución", recuerda. Este teléfono gratuito, puesto en marcha hace unos meses, permite atender a todos los usuarios y profesionales que tengan consultas relacionadas con la ciberseguridad los 365 días del año. 

La ciberseguridad de las AAPP

Más allá de las pymes, otro de los ámbitos que también son sensibles de recibir ciberataques son las Administraciones Públicas, donde se está llevando a cabo una estrategia para reforzar la inversión directa con el objetivo de dotarlas de más recursos para que puedan hacer frente a la seguridad online. 

Barrio recuerda que el año pasado, con la aprobación del Real Decreto del Esquema Nacional de Seguridad, reforzaron la inversión para consolidar sistemas de certificación y auditoría para los proveedores de las AAPP. En este sentido, han destinado la inversión a que estos organismos puedan dotarse de servicios SOC (Centro de Operaciones de Seguridad) con los que monitoricen constantemente el surgimiento de cualquier anomalía.

"Por ejemplo, hay un SOC de la Administración General del Estado que se puso en marcha el año pasado y que ya está permitiendo multiplicar los servicios de detección rápida de ese tipo de intento de ataques", añade. "Por lo tanto, buena parte de los fondos del Next Generation se están invirtiendo en reforzar la protección de la Administración Pública".

Ciberseguridad e IA

Asimismo, el director general del INCIBE explica que también se están abordando las amenazas que tienen que ver con el uso de tecnologías como la inteligencia artificial a través de iniciativas como el sandbox de IA impulsado por España (y del que hace apenas unos días se abrió el prerregistro). 

"Este espacio de pruebas nos va a permitir evaluar los riesgos en estas nuevas aplicaciones, como el Chat GPT, o las herramientas empleadas en el caso dramático reciente de las menores (en el que se difundieron imágenes de falsos desnudos generados mediante la IA)", apunta. "En este caso específico (el de las menores de Almendralejo) estamos en coordinación muy estrecha, tanto con las autoridades judiciales como con la Fiscalía General del Estado". 

[NIS2: la directiva europea de ciberseguridad "prudente y de transición" antes de que llegue un reglamento definitivo]

Barrio insiste en la necesidad de establecer canales de colaboración entre las distintas entidades y señala que, por ejemplo, con la Fiscalía, llevan a cabo jornadas de formación en la que comparten información sobre cómo la inteligencia artificial se está utilizando por parte de los criminales para cometer ciberataques y delitos. 

En este sentido, el responsable de INCIBE menciona una iniciativa que impulsaron hace casi un año junto a la Fiscalía General del Estado: el canal de denuncia de páginas web que albergan contenido que podría ser sospechoso de pornografía o pedofilia. Este proyecto permite generar denuncias a través de la policía o la guardia civil que ayudan a intervenir de manera inmediata ante cualquier sospecha reportada por un ciudadano de forma anónima. 

"Estamos reforzando nuestra capacidad de interlocución ante Europa porque no solo vamos con voz propia, sino con unos equipos técnicos altamente cualificados". 

"Son servicios muy necesarios que han supuesto una innovación a nivel de España y se han convertido en casos de referencia a nivel europeo", explica. Así, añade que están promoviendo este canal y otras iniciativas como el 017 para que se materialicen en un proyecto comunitario al que puedan acceder todos los países miembros y que derive en una red europea coordinada relativa a temas de ciberseguridad. 

España tiene "voz propia"

En la línea europea, Barrio precisa que desde la presidencia española del Consejo de la Unión Europea han organizado diferentes encuentros para apuntalar esta colaboración y la definición de las prioridades en base a las próximas legislaciones que incluyen conceptos relacionados con la seguridad online. Por ejemplo, menciona la Cyber Resilience Act (CRA), "que ya está en una fase de término" o la regulación relativa al marcado CE para productos que tengan algún tipo de conexión digital. 

"Estamos reforzando nuestra capacidad de interlocución ante Europa porque no solo vamos con voz propia, sino con unos equipos técnicos altamente cualificados", afirma. "Estamos trasladando la importancia de trabajar en aquellos sectores donde España tiene más experiencia, como es el de la pyme". 

"Creo que esto (la ciberseguridad) está marcando la agenda de la presidencia española", afirma. "Todo ello se verá en la cumbre de ministros que tendrá lugar a finales de mes en León, donde se pondrán sobre la mesa todos los avances en estos campos". 

Concienciación orientada al talento

La apuesta por la mayor concienciación relativa a la ciberseguridad también se esgrime como otro de los focos a abordar, no solo en el plano de los usuarios, sino también de las empresas. En este sentido, Barrio destaca que las campañas de publicidad institucional que se han desplegado desde INCIBE relacionadas con esta temática son las que han tenido la segunda mayor dotación económica de todas las aprobadas por el Gobierno. 

"Eso da una demostración de hasta qué punto el tema de la concienciación, sobre todo a la ciudadanía, es prioritario para España", afirma. 

"El objetivo es que, gracias a los fondos Next Generation, hayamos conseguido en 2025 que 20.000 personas reciban entrenamiento profesional en seguridad online para cubrir las necesidades crecientes en el mercado laboral". 

En la misma línea, Barrio destaca la formación de los jóvenes como otro de los focos donde está trabajando el organismo para atraer talento y vocaciones en un sector en el que existe una "enorme brecha en las posiciones de ciberseguridad", tanto en el sector público como en el privado. 

"El objetivo es que, gracias a los fondos Next Generation, hayamos conseguido en 2025 que 20.000 personas reciban entrenamiento profesional en seguridad online para cubrir las necesidades crecientes en el mercado laboral", avanza. "Es decir, concienciación sí, pero orientada a que los usuarios tengan una base de conocimiento suficiente sobre los riesgos y, así, poder atraer vocaciones profesionales". 

Los próximos dos años

Con la vista puesta en el futuro, el director general del INCIBE apunta que los próximos 24 meses van a ser casi más intensos que los anteriores para este organismo. Según explica, el siguiente año se pondrán en marcha grandes acciones destinadas a promover el emprendimiento digital en línea con la necesidad de cubrir las necesidades de pymes o empresas relacionadas con la ciberseguridad que existe en Europa y también en España. 

"Para nosotros el programa de entrenamiento es vital porque vamos a poder cubrir las necesidades crecientes de los proveedores, pero también vamos a poder alcanzar un objetivo esencial: la soberanía tecnológica", precisa. "Esto nos servirá para disponer siempre de opciones de tecnología europea o española alternativa a la de terceros países fuera de la Unión Europa y evitar depender de que el proveedor la retire o haya algún tipo de bloqueo".

[La presidencia española del Consejo de la UE: seis meses para reescribir las leyes de la era digital]

También, Barrio señala que los próximos años serán claves para el ámbito académico de la seguridad online. Tal y como recuerda, acaban de lanzar una primera tanda de 15 cátedras centradas en la ciberseguridad en universidades españolas y más de 50 proyectos estratégicos con los que se espera generar una nueva generación de investigadores que cubran las necesidades existentes. 

A la par, cuenta que ya han empezado la ejecución de más de 120 proyectos de I+D+i con empresas a través del programa de compra pública innovadora, lo que va a permitir que las pymes puedan adentrarse en este ecosistema, desarrollando nuevas soluciones. 

"Y estos son solo algunos de los proyectos que van a consumir nuestros mayores esfuerzos en los próximos 24 meses", concluye.