“A más sociedad digital, más ataques y, por tanto, más necesidad de ciberseguridad”
Entrevista a Tomàs Roy, director de la Agencia de Ciberseguridad de Cataluña
Tomàs Roy es el director de la Agencia de Ciberseguridad de Cataluña, organismo público creado por Ley con la responsabilidad de gestionar la ciberseguridad. Tal y como explica Tomàs Roy, el objetivo principal de la Agencia es que Cataluña esté ciberprotegida, garantizando los derechos de la ciudadanía, por un lado, y el crecimiento económico, por otro. "Vivimos en una sociedad digital y global, de ahí es fácilmente deducible que el desarrollo social y productivo del país depende, en gran medida, de contar con un nivel óptimo de confianza y resiliencia con las estructuras y canales de esta digitalización".
¿Cuáles son las principales funciones y actividades de la Agencia?
La Agencia enfoca su trabajo y responsabilidad bajo su estrategia y tres pilares que se consolidan como la base para afrontar los retos de la ciberprotección en Cataluña:
- La excelencia y la constante capacidad adaptativa en los servicios de la Agencia para anticipar los nuevos riesgos cibernéticos. Evolucionando con la naturaleza dinámica de la digitalización y la ciberseguridad. La agencia es nodo referente de proyectos de excelencia operativa con iniciativas de I+D+i, que van, por ejemplo, desde la predicción del comportamiento de ciberdelincuentes hasta la generación de servicios especializados en sectores prioritarios como es la salud (protección de dispositivos médicos IMoT, impulso de perfiles profesionales específicos de ciber salud o centros de incidencias especializados).
- La colaboración con todos los agentes y canales posibles para implementar medidas de ciberseguridad y dar herramientas de prevención y respuesta a los incidentes cibernéticos de forma adecuada. Más allá de las funciones llevadas a cabo estrictamente por la Agencia de Ciberseguridad de Cataluña, hay muchos actores públicos con los que la agencia colabora para garantizar unos servicios públicos ciberseguros. Esta colaboración engloba acciones tanto formativas y de sensibilización como iniciativas para garantizar productos y servicios que aseguren la ciberseguridad en colaboración con entidades de impacto en todo el territorio, universidades y centros de investigación, actores sociales, agrupaciones empresariales y empresas.
- La búsqueda del impacto en la ciudadanía y el impulso a la industria, desarrollando centros de innovación y competencia alineados con la Estrategia Europea y los programas de fondos europeos. El Centro de Innovación y Competencias de Ciberseguridad de Cataluña es catalizador de las oportunidades de financiación, incluyendo los NextGenerationEU y la colaboración público-privada.
Como ya hemos visto, a más sociedad digital, más ataques, y por tanto más necesidad de ciberseguridad. Y la afectación es a todo el mundo, indiferentemente de su tamaño, ubicación, campo de actividad, ya sea individual, colectivo, empresa o asociación.
- Hay que prevenir, tener mecanismos de prevención.
- Protegerse, tener mecanismos de protección.
- Formar y concienciar. Sobre todo, es necesario formar y concienciar para que nuestros colaboradores sean conscientes de los riesgos existentes y los minimicen.
La sociedad será digital si conseguimos que sea cibersegura. Hay que tener sensibilidad, es necesario tener una estrategia y hace falta inversión.
¿En qué consiste la estrategia de ciberseguridad de la Generalitat de Cataluña?
La Estrategia de Ciberseguridad que adoptará la Generalidad de Cataluña durante el período comprendido entre los años 2023 y 2026, para hacer frente a las amenazas actuales que se presentan en el ámbito de la Ciberseguridad, permitirá responder adecuadamente a los retos actuales derivados del contexto de ciberseguridad, garantizando la seguridad de sus ciudadanos y de su sector público, convirtiéndose en una referencia en la seguridad digital, y consecuentemente convertirse en una Cataluña cibersegura dentro de una Europa digital.
Se estructura en cinco pilares:
- Impulso de la protección de los servicios esenciales de los ámbitos de salud, la educación, el mundo local y las infraestructuras críticas y esenciales del país.
- Catalunya como referente de la ciberseguridad: liderar, diseñar y ejecutar las políticas públicas ciberseguras.
- Definición de modelos y capacitar a los ámbitos: dotarnos de las capacidades adecuadas para proteger los sistemas de información críticos y los datos frente a las ciberamenazas en todo su ciclo.
- Impulsar y fomentar la colaboración y cooperación con las entidades públicas y privadas, ya sean directas o indirectas.
- Financiación: Asegurar los recursos necesarios para desplegar la ciberseguridad en Cataluña.
¿Tienen un registro del número de ciberataques que se producen anualmente?
Los datos actuales que tenemos son los de cierre del año 2021. En las próximas semanas ya tendremos finalizado el cálculo del año 2022.
Por lo que se refiere a los últimos datos confirmados, los del año 2021, la Agencia de Ciberseguridad de Catalunya gestionó 971 millones de amenazas de ciberseguridad dando lugar a 220 millos de ataques.
De estos cientos de millones de ataques que recibimos, solo 2.819 se materializaron en forma de incidente, dando lugar a la necesidad de gestionar un incidente cada tres horas de media.
De este modo, en el tiempo de lectura de esta entrevista (calculando que pueda ser de 5 minutos) desde la Agència de Ciberseguretat de Catalunya detectó 10.000 ciberataques.
Muchos podemos sorprendernos de esta cantidad, pero debe saber que, de estos ciberataques detectados, el 99,98% son parados por los sistemas de protección de la Agencia. ¿Y qué ocurre con ese 0,02%?
Este 0,02% implica una cifra de 2.819 incidentes que requieren de la participación y gestión de los técnicos de la Agencia de Ciberseguridad y de toda la serie de colaboradores con los que contamos.
¿Cuáles son los ciberataques más comunes que se producen?
Las empresas, instituciones, particulares y en definitiva todo el mundo se enfrentan a riesgos de ciberseguridad no sólo de los ciberdelincuentes, sino también de sus propios empleados. Los seis principales riesgos de ciberseguridad a los que se enfrentan las empresas son:
- Ataques de ransomware. Los ataques de ransomware se encuentran entre las amenazas de ciberseguridad más frecuentes a las que se enfrentan las empresas hoy en día. Estos ataques funcionan cifrando los datos de una empresa y manteniéndolos como rehén hasta que se pague un rescate. Según los resultados de diversas investigaciones, en torno al 50% de los archivos adjuntos de correo electrónico maliciosos son archivos de Microsoft Office y las empresas a menudo pagan los rescates porque no tienen tiempo ni recursos para recuperarse de un ataque de ransomware.
- Phishing. El phishing es la mayor y más popular amenaza cibernética a la que se enfrentan las empresas. Estas estafas funcionan engañando a un usuario para que proporcione su información personal enviando un correo electrónico que parece provenir de una fuente o sitio web de confianza. Las empresas no son inmunes a estas estafas.
- Ataques de software malicioso. El software malicioso es un método de ataque relativamente sencillo, y las empresas deberían protegerse contra él. Los ataques de software malicioso funcionan infiltrándose en un ordenador a través de un archivo adjunto de correo electrónico o de otros agujeros de seguridad, y después ejecutándose sin el conocimiento del usuario. Una vez dentro, el software malicioso puede causar estragos en los archivos digitales cambiando la configuración y los permisos, bloqueando la ejecución de programas específicos y espiando la actividad de los usuarios. El malware también se encuentra habitualmente en las redes Wi-Fi públicas, donde los usuarios corren el riesgo de que sus dispositivos se vean comprometidos si visitan un sitio web infectado o simplemente navegan por la página equivocada.
- Ingeniería social. Los piratas informáticos engañan a la gente para que renuncie a información sensible a través de diversos medios, como hacerse pasar por otra persona o por un representante de la empresa. Con el aumento de la popularidad de las redes sociales, la ingeniería social se ha vuelto rampante y los mensajes enviados a través de estas plataformas pueden contener software malicioso que puede robar la información personal de un usuario.
- Robo de datos. Una de las principales preocupaciones de las empresas es el robo de datos. El robo de datos se produce cuando los piratas informáticos toman información personal de los empleados mediante engaños o prácticas deshonestas. Al obtener acceso a la cuenta de correo electrónico de un empleado, los piratas informáticos pueden extender fácilmente los ataques de ransomware, phishing y pharming (ataque a nuestro ordenador con la intención de redirigir el tráfico de un sitio web a otro malicioso) dentro de la red de una empresa.
- Amenazas internas. Los empleados internos representan una amenaza de seguridad importante para las empresas de todos los tamaños. Los empleados dejan los datos en las unidades USB, proporcionan un acceso fácil a los archivos de la empresa utilizando la misma contraseña tanto en las cuentas personales como laborales y los engañan para que proporcionen su información de inicio de sesión. Los estudios encontraron que el 95% de las infracciones de la ciberseguridad son causadas por errores humanos.
¿Qué sectores son los más afectados por el cibercrimen?
El grueso del mundo cibercriminal se focalizará en ataques de perfil bajo y rápida monetización. Más allá de su relativa sencillez, las campañas de fraudes, los ataques de BEC o el robo de datos bancarios se caracterizan por permitir una rápida monetización, y aunque se obtengan cantidades bajas en cada ataque, su frecuencia es tan elevada que terminan teniendo un impacto económico considerable.
Con el fin de aprovechar la ventana de oportunidad que ha generado la crisis económica, o bien conseguir dinero de forma rápida, es de esperar que aumenten el número de ciberataques que requieren poca preparación, necesitan pocos conocimientos o son sencillos de ejecutar. De hecho, se espera que entre 2023 y 2027 las pérdidas por fraudes en los pagos online superen los 330.000 millones de euros a nivel global, siendo los más comunes la compra de bienes digitales, la compra de bienes físicos, la transferencia de dinero y las gestiones bancarias.
Los cibercriminales expertos prepararán ataques de alto impacto en sectores de mayor valor o poco maduros. Hay algunos sectores que los más expertos cibercriminales suelen tener más en su punto de mira. Por ejemplo, el de los seguros o el financiero por el valor de sus datos, pero también existen aquellos que no pueden permitirse una interrupción de su operativa como el energético o el sanitario.
Recientemente, el gobierno español ha anunciado la España Digital 2025, que en materia de ciberseguridad recoge el objetivo de alcanzar 20.000 especialistas en 2025. En su opinión, ¿están los planes formativos preparados para atender la demanda de formación?
Según el International Information System Security Certification Consortium (ISC)2, el número de profesionales de la ciberseguridad ha crecido un 11% en el mundo, pero la demanda de profesionales todavía crece más: un 26%, hasta los 3,4 millones de vacantes en el mundo. La tendencia se acentúa más en Cataluña: el número de profesionales de la ciberseguridad crece un 23% y la demanda un 57%, por lo que la necesidad de profesionales no cubierta alcanza los 10.000.
El ecosistema formativo en ciberseguridad en Cataluña está formado por 11 másteres y postgrados y 44 cursos de formación profesional que permiten generar unos 700 nuevos profesionales anualmente. Pero no es suficiente.
El reto es evidente y el debate está servido. Debemos ser capaces de contribuir a generar y retener mayor talento.
Este año se ha publicado la Directiva relativa a medidas de ciberseguridad (NIS2). ¿Qué diferencias tiene respecto a la anterior? ¿Se ve mejorada la seguridad?
Desde la Agencia de Ciberseguridad hemos analizado la Directiva y vamos a publicar una nota exhaustiva con un informe de impacto de la medida. El análisis y novedades el impacto se centran en nueve ejes de novedades:
- Ampliación y mayor complexidad del ámbito de aplicación.
- Estrategias nacionales de ciberseguridad y marcos nacionales de gestión de crisis.
- Nuevas funciones de los CSIRT de referencia.
- Mayor cooperación por medio de nuevos mecanismos.
- Desarrollo de la obligación de adoptar medidas para la gestión de los riesgos de ciberseguridad en las organizaciones y el régimen de responsabilidad de los órganos de dirección.
- Refuerzo de las exigencias de protección de la cadena de suministro e impulso de la normalización y las certificaciones.
- Refuerzo de las obligaciones de notificación de incidentes.
- Bases de datos sobre el registro de dominios.
- Nuevo régimen de supervisión y sanción.
Por lo que a diferencias destacadas encontramos:
- La Ampliación del alcance/ámbito de aplicación: No sólo es una cuestión de añadir nuevos sectores, sino que la clasificación entre entidades esenciales e importantes abre la puerta a una evolución de las obligaciones de ciberseguridad en todas aquellas entidades y empresas que tienen un impacto relevante en el ámbito social y económico.
- Potenciación de la respuesta a incidentes transaccionales: No sólo se refuerza la capacidad que deben tener los CSIRTs sino que también se crea una nueva estructura de coordinación para responder a incidentes de alto impacto y de carácter paneuropeo (eu-Cyclone).
- La concreción de un régimen sancionador específico en la propia Directiva.
¿Qué implicaciones legales tiene la NIS2?
Las implicaciones legales que tiene la NIS2 supondrá una armonización que se conseguirá una vez cada Estado miembro la trasponga, a partir de la voluntad de la Comisión de avanzar hacia una mayor convergencia de los niveles de seguridad de los estados.
Para terminar, ¿qué consejos se dan desde la Agencia para evitar los ciberataques?
Las técnicas que utilizan los cibercriminales son cada vez más sofisticadas y personalizadas. Con el uso de ingeniería social y herramientas específicas son capaces de generar contenidos verosímiles para las personas y empresas y acabar siendo víctimas.
Los cibercriminales saben de nuestros hábitos y de nuestros comportamientos como inviduos y como empresas y por tanto, el impacto del cibercriminal cada vez será más local e individualizado. Irán desarrollando la capacidad de personalizar el mensaje y la apariencia de realidad.
Por eso volvemos al principio, formación y concienciación en el eslabón más débil de la cadena de la ciberseguridad: los usuarios, ya sean profesionales o ciudadanos. Aquí es donde debemos poner esfuerzo y atención.
En este sentido, liderado desde la Agencia de Ciberseguridad y en colaboración conjunta con más instituciones y organismos de la Generalitat de Cataluña impulsamos el proyecto 'Internet Segura', el cual tiene el objetivo de sensibilizar a la ciudadanía en general, dedicando una especial atención a niños y adolescentes, familias y profesionales de la enseñanza sobre la importancia de aplicar buenos hábitos a la hora de navegar por la Internet y utilizar las redes sociales.
De este modo, impulsa acciones como:
- La creación, desarrollo y puesta en marcha de líneas de ayuda profesionalizadas que permitan dar respuesta a las demandas de los menores, sus familias y/o sus centros educativos, en todo lo referente a la seguridad en el uso de las TIC.
- La implantación de acciones y campañas de formación y sensibilización, a través de acciones de formación en los centros educativos, asociaciones de padres y madres de los alumnos, el Cuerpo de Mossos d'Esquadra y profesionales de diferentes ámbitos que trabajan con los menores.
Asimismo, y específicamente para empresas, también generamos contenidos y formación en el entorno de planes de resiliencia y de buenas prácticas para reducir la exposición al riesgo y a los efectos de un ciberataque.
De este modo, contar con políticas de copias offline, segmentación de redes, filtrados de navegación, tecnologías de detección pronta de ciberamanazas como EDRs, o aquellas que protegen la integridad de los accesos ilegítimos usando credenciales robadas, como puede ser el despliegue de la autenticación multifactor (MFA), tienen un gran impacto de prevención y protección de los sistemas digitales de las empresas e instituciones.