Lleva usted un año y medio como director del Instituto Nacional de Ciberseguridad de España (Incibe), pero acumula una mucho más larga trayectoria profesional en el mismo. ¿Cómo ha sido la evolución de la institución en este periodo?

En este periodo al frente de Incibe hemos tenido que hacer frente a dos retos principales: por un lado, cumplir con los compromisos adquiridos en la Agenda España Digital 2026, donde la ciberseguridad obtuvo una financiación «muy importante» que permitió acelerar el lanzamiento de convocatorias públicas y, por otro, reestructurar la organización con la ampliación de la plantilla, que ha sumado 32 personas en este período para cumplir con las demandas de las directivas comunitarias.

Actualmente, desde Incibe estamos centrados en tres vectores principales, entre ellos, el crecimiento exponencial de los incidentes relacionados con la seguridad online, un ámbito en el que están incrementando los sistemas de detección proactiva para corregir los riesgos antes que se efectúe el posible ataque.

A este se suma los ciberataques dirigidos, especialmente, contra los colectivos más vulnerables, donde se incluye el fraude online, pero también los que afectan a menores. Los datos del último año alcanzan casi los 400.000 delitos de este tipo. Por ello, hemos acelerado el despliegue de mecanismos de trabajo conjunto con las Fuerzas y Cuerpos de Seguridad del Estado.

“EN LOS ÚLTIMOS AÑOS, LOS CIBERDELINCUENTES HAN ACAPARADO PROTAGONISMO, CON UN INCREMENTO EN EL NÚMERO DE ESTAFAS, FRAUDES Y DELITOS”

¿Y de cara al futuro?

Los próximos años serán claves para el ámbito académico de la seguridad online. Acabamos de lanzar una primera tanda de 15 cátedras centradas en la ciberseguridad en universidades españolas y más de 50 proyectos estratégicos con los que se espera formar una nueva generación de investigadores que cubran las necesidades existentes.

A la par hemos empezado la ejecución de más de 120 proyectos de I+D+i con empresas mediante el programa de Compra Pública Innovadora, lo que va a permitir que las pymes puedan adentrarse en este ecosistema, desarrollando nuevas soluciones.

“QUE UNA EMPRESA ESTÉ PROTEGIDA EN INTERNET NO ES UNA VENTAJA, ES IMPRESCINDIBLE”

Recientemente hemos conocido que España es el tercer país del mundo que más ciberataques recibe. ¿A qué cree que se debe?

Efectivamente, España ha alcanzado el tercer país a nivel mundial en materia de ciberataques, después de haber sufrido más de 375.000 delitos a través de internet o mediante herramientas digitales. Así se advierte en un reciente estudio publicado por Deloitte donde casi el 90% fueron fraudes o estafas informáticas durante 2022. El número de ciberdelitos del pasado año supuso un incremento de un 72% respecto a los datos de 2019, el último año de normalidad antes de la pandemia y sus restricciones.

El cibercrimen ha alcanzado niveles inéditos: 90 millones de ataques anuales que cuestan 10,5 billones de euros, una cifra muy superior a los 3.000 millones de dólares de hace una década o a los 6.000 millones de 2021.

En los últimos años, los ciberdelincuentes han acaparado protagonismo, con un incremento en el número de estafas, fraudes y delitos. La cibercriminalidad en España no hace más que crecer mientras baja la delincuencia convencional. Uno de cada cinco delitos en España se comete en la red, y todo indica que generará 150.000 denuncias en 2025.

Incibe gestionó en 2022 más de 118.000 incidentes de ciberseguridad, de los cuales 110.100 afectaron a ciudadanos y empresas. Cabe destacar que 1 de cada 3 fueron una filtración de datos (sensibles, protegidos o confidenciales que son robados por una persona no autorizada); y 2 de cada 5 fueron vulnerabilidades de sistemas tecnológicos (debilidad de un sistema que puede poner en riesgo su seguridad).

Asimismo, el servicio ‘Tu Ayuda en Ciberseguridad’ atendió más de 67.000 consultas en 2022. Entre las más frecuentes, relativas a empresas, destacan el phishing, smishing o extorsión (20,8%), el business email compromise, BEC, o del fraude del CEO (15,3%).

¿Son las empresas españolas conscientes de la importancia de la ciberseguridad?

La ciberseguridad es vital, ahora más que nunca. Todos utilizamos software a diario y la conectividad de datos e información es gigante y universal. Por eso, que una empresa esté protegida en internet no es una ventaja, sino que es imprescindible. Si la información que recoge una compañía se ve atacada, afectará a su funcionamiento, su estabilidad económica y a los empleados. El ciberdelito existe, y no siempre el tejido empresarial es consciente de lo que supondría ser víctima de un ciberataque.

Una organización debe realizar una evaluación de riesgos, desarrollar planes de seguridad y respuesta a incidentes, capacitar a los empleados, implementar medidas de seguridad, realizar pruebas y simulaciones, y considerar la colaboración con expertos externos.

Incibe-CERT es uno de los equipos de respuesta de referencia ante incidentes que se coordina con el resto de los equipos nacionales e internacionales para mejorar la eficacia en la lucha contra los delitos que involucran a las redes y sistemas de información, reduciendo sus efectos en la seguridad pública.

Durante el año 2022, los equipos de Incibe-CERT han gestionado casi 119.00 incidentes, concretamente 118.820. Es decir, un 9% más que en el año previo. Del total de esta cifra, más de 110.100 de los incidentes afectaron a ciudadanos y empresas, 546 a operadores estratégicos (desglosados por porcentajes en cada sector: energía 30,4%; sistema financiero y tributario 25,3%; agua 17,2%; transporte 17,2%) y casi 8.000 a la Red Académica y de Investigación Española (RedIRIS).

«LA ‘CIBERSEGURIDAD’ NO DEBE NUNCA ENTENDERSE COMO UN COSTE, SINO COMO UNA INVERSIÓN EMPRESARIAL INELUDIBLE»

¿Cuáles son los retos que se plantean en política de ciberseguridad en la protección de los sectores estratégicos?

La demanda de profesionales cualificados en ciberseguridad es una realidad. Según el ‘Análisis y Diagnóstico del Talento en Ciberseguridad’, realizado desde Incibe y ONTSI, la cifra de profesionales que buscaban empleo en ciberseguridad en 2021 ascendía a 39.072 y la previsión es que se incrementen hasta los 42.283 en 2024. Del mismo modo, el número de profesionales necesarios en ciberseguridad se elevaba a 63.191 empleos, mientras que en 2024 superará los 83.000.

Estas cifras reflejan la urgente necesidad de contar con personas formadas en este sector, y nos hacen ver que hemos de recorrer aún un largo camino en el que no solo hemos de seguir mejorando, sino también debemos lograr que se incorporen a esta senda aquellas empresas que aún no han dado este paso tan importante. Estamos hablando de un cambio prioritario si queremos garantizar la viabilidad y el correcto funcionamiento de todas las empresas, independientemente de su tamaño y su sector.

Por estas razones, la ciberseguridad no debe nunca entenderse como un coste, sino como una inversión empresarial ineludible, basada en la prevención.

¿El actual marco regulatorio de la ciberseguridad es suficiente o necesita alguna ampliación o reforma?

En España el marco regulatorio de la ciberseguridad se ha desarrollado en los últimos años. El Real Decreto 43/2021, que desarrolla numerosos aspectos del Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información, es la principal norma referida a cuestiones de ciberseguridad en España. Además, también contamos con la Ley NIS (Ley 8/2011), que establece medidas para garantizar un nivel adecuado y homogéneo de seguridad de las redes y sistemas de información en toda la Unión Europea.

Por otro lado, el pasado 15 de septiembre de 2022, la Comisión Europea presentó una propuesta innovadora a nivel mundial para mejorar la seguridad de los dispositivos a nivel de hardware y software, frente al masivo ataque que está sucediendo sin precedentes, tanto a nivel corporativo como doméstico, con los dispositivos digitales.

Esto ha sido fomentado por el aumento del teletrabajo, del número de dispositivos conectados, de la consolidación tecnológica y la mayor digitalización en sectores más tradicionales. Factores que suponen un avance, tanto a nivel social, como económico, pero que generan un aumento de riesgo ciber muy difícil de anticipar, mitigar y minimizar. La superficie de ataque aumenta y es necesario proteger los ecosistemas IoT emergentes, así como más casuísticas que se han identificado en los últimos dos años que están utilizando las organizaciones cibercriminales a raíz de esta nueva arquitectura que se genera con diferentes capas tecnológicas, en diferentes etapas del ciclo de vida del producto, nuevas vulnerabilidades y tipos de ataque.

La Ley de Ciberresiliencia europea (The Cyber Resilience Act – CRA), nace con el objetivo de proteger a usuarios y empresas de productos con características digitales (dispositivos del ecosistema del Internet de las Cosas, IoT) que no cumplan con los requisitos de ciberseguridad.

La ciberseguridad es un campo en constante evolución y los marcos regulatorios deben adaptarse a los cambios tecnológicos y a las nuevas amenazas.

El Notariado es una pieza clave en la seguridad jurídica. ¿Cree que tiene un papel relevante en la protección de las empresas?

El Notariado desempeña un papel esencial en la seguridad jurídica de las empresas al garantizar que los actos y documentos legales se ajusten a la ley y sean válidos. Su labor ayuda a prevenir fraudes, facilita la resolución de disputas y brinda confianza a las empresas en sus transacciones legales.

El Notariado siempre se ha mostrado muy preocupado y comprometido con la ciberseguridad, siento el cuarto organismo de la Organización General del Estado en alcanzar la certificación que reconoce el nivel alto de seguridad de sus sistemas, servicios, bases de datos, plataformas, portales…

Aunque la implementación de la tecnología en el ámbito jurídico notarial presenta muchas oportunidades, también plantea desafíos importantes en términos de ciberseguridad. La seguridad y la privacidad de los datos son una preocupación importante, ya que los documentos notariales contienen información confidencial y privada. Por eso, el notariado ha mostrado su compromiso total.

En este sentido, hay que asegurarse de que la tecnología utilizada para autenticar y procesar los documentos sea segura y esté protegida contra posibles ciberataques, ya que estos podrían comprometer la privacidad y la seguridad de los datos.