El Gobierno hará planes de contingencia ante ciberataques

La posibilidad de que un ciberataque altere el funcionamiento de servicios esenciales para la sociedad (energía, transportes, bancos) ha dejado de ser ciencia ficción. En 2006, un malware (programa malicioso) provocó la interrupción de una línea del metro de Madrid durante dos horas y media. Y eso que hace siete años este tipo de ataques eran mucho menos frecuentes. Según datos del Centro Criptológico Nacional (CCN), referidos a las administraciones públicas españolas, los incidentes cibernéticos clasificados como “muy altos” —ataque dirigido, denegación de servicio, código dañino específico— han pasado de 85 a 213 entre 2011 y 2012; mientras que los “críticos” —amenaza persistente y avanzada con robo de información, denegación de servicio distribuido— han aumentado de 8 a 20. Un incremento del 250%. Este año se espera que entre ambos rocen el millar.

Para hacer frente a la amenaza que supone la vulnerabilidad de las redes y sistemas de comunicación ante ataques procedentes de grupos terroristas, delincuencia organizada, Estados hostiles o simples hackers, el Consejo de Seguridad Nacional, presidido por Mariano Rajoy, dio el jueves luz verde a la primera Estrategia de Ciberseguridad Nacional.

Como si de prepararse para una guerra se tratara, el documento prevé la realización de “ejercicios de simulación” y “planes de contingencia ante incidentes de ciberseguridad de ámbito nacional”. El primer reto es implantar “un marco nacional, coherente e integrado de políticas, procedimientos y normas técnicas que ayuden a garantizar la protección de la información pública, sus sistemas y servicios, así como las redes que los soportan”. El segundo, “asegurar la cooperación de los organismos de la Administración del Estado con responsabilidades en ciberseguridad”: el CCN —encuadrado en el Centro Nacional de Inteligencia (CNI)—; el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas; y el Centro de Respuesta a Incidentes de Seguridad TIC (CERT) de León, dependiente de Industria, con el que ha llegado a un acuerdo el Ministerio del Interior. A ellos hay que sumar comunidades autónomas, entidades locales, empresas y universidades.

El documento reconoce que buena parte de las redes y sistemas que proporcionan servicios esenciales está en manos de compañías privadas, por lo que sus medidas de ciberseguridad “deberán estar alineadas con los requisitos expresados en la normativa reguladora de protección de infraestructuras críticas”. No hay, sin embargo, ningún compromiso financiero para facilitar la implantación de sistemas de ciberseguridad certificados, potenciar la investigación en este campo o promover la formación de expertos.

Rajoy promete respetar los derechos de los ciudadanos en la Red

Actualmente no existe obligación de comunicar los incidentes de ciberseguridad (muchas empresas se resisten para no dejar en evidencia sus vulnerabilidades), por lo que la Estrategia plantea la implantación de un Sistema de Intercambio de Información y Comunicación de Incidentes que “garantice la coordinación” de todos los sectores implicados. Ante la desconfianza generada por el espionaje masivo de la NSA estadounidense, el Gobierno “se compromete a desarrollar políticas que, mejorando la seguridad de los Sistemas de Información y Comunicaciones que emplean los ciudadanos, profesionales y empresas, preserven los derechos fundamentales de todos ellos”.

El Consejo de Ciberseguridad tendrá una presidencia rotatoria y su primer responsable, durante un año, será el director del servicio secreto, el general Félix Sanz. Al mismo podrán ser convocados representantes de autonomías e incluso de empresas

Además de garantizar la seguridad de la navegación por Internet, el Consejo de Seguridad Nacional se ocupó de la navegación tradicional y dio luz verde a la Estrategia de Seguridad Marítima, cuyo consejo será presidido en su primer año por el jefe del Estado Mayor de la Defensa (Jemad), el almirante Fernando García Sánchez. La aprobación de los dos documentos fue consultada por La Moncloa con el PSOE.