A finales del pasado mes de marzo, el Consejo de Ministros aprobó un Plan Nacional de Ciberseguridad, dotado con más de 1200 millones de euros. Casi todas las Administraciones Públicas están realizando también tímidos movimientos en cuyos titulares se habla de ciberseguridad. Es la palabra de moda.
No entraré en si es mucho o poco. Los riesgos son altos y cualquier medida ayuda.
El problema será si se gastará bien o mal. En demasiadas ocasiones, y esta parece una de ellas, la ciberseguridad se maquilla. Se dedican enormes recursos a que parezca que hacemos algo, a poner parches, porque los problemas de seguridad son más profundos, y nadie quiere ponerle el cascabel a ese gato.
Para empezar, parece que se confunde seguridad con oscuridad. Cualquiera que lleve en el sector más de un día sabe que es un muy mal enfoque. Anuncian a bombo y platillo que se ha aprobado un plan, nos dicen el dinero que se va a poner sobre la mesa, y nos explican los "aspectos más destacados". Poco más de 100 palabras para decir que son casi 150 iniciativas y el dinero que nos costarán a los contribuyentes. No llega a una palabra por iniciativa.
¿Y dónde está el estupendo plan que se ha aprobado? No se ha hecho público. Mal empezamos.
En esas pocas palabras nos dicen también que todo esto se hace en el marco del "Plan Nacional de Respuesta a las Consecuencias Económicas y Sociales de la Guerra en Ucrania". Es decir, que pase lo que pase van a seguir utilizando la excusa de que "el perro se comió mis deberes". Perdón, quería decir la de "un ciberataque ruso".
Lo peor es que nuevamente es una forma de confundir y mezclar temas. La necesidad viene de muy atrás, y lo poco que se sabe del plan, en realidad, también.
El primer intento importante vino en 2010 con los Esquemas Nacionales de Seguridad y de Interoperabilidad, junto con algún anuncio más de buenas intenciones. Pero todo se quedó ahí, en buenas intenciones. ¿Mejoró algo la situación?
Otro paso fue la creación, en 2013, del Consejo de Seguridad Nacional, cuyo fruto más "importante" fue el desarrollo de la "Estrategia Nacional de Ciberseguridad 2019". El plan que ahora se ha aprobado se supone que es, precisamente, el desarrollo de esta estrategia. El segundo, en realidad, pues ya en mayo de 2021 se aprobó otro, que entonces denominaron "Plan de choque de ciberseguridad", y que se quedó en nada. Bueno, no. Se recicló este año para presentarlo como nuevo.
Pero claro, la "Estrategia Nacional de Ciberseguridad 2019" no deja de ser otra declaración de intenciones. Desde ella se puede decidir tanto cortarnos las venas como dejárnoslas largas.
Así que aquí nos encontramos, 12 años después, en el mismo sitio. ¿El mismo? Realmente no. Nos hemos quedado quietos, pero el mundo ha avanzado. Las ciberamenazas, la exposición, y por tanto el riesgo, han aumentado exponencialmente. No hay más que ver los ciberataques a nuestra Administración Pública (y a las empresas privadas) que se publican en la prensa generalista... y son una pequeñísima parte de los que se producen.
¿Pero al menos las medidas anunciadas van por el buen camino?
La verdad es que las medidas no son malas. Podrían sacarse de cualquier manual de buenas prácticas. El problema es que, como en demasiadas ocasiones, no son realistas. Son medidas adecuadas para una organización ya madura en ciberseguridad. Da la sensación de que no hay un diagnóstico previo de la situación, y se ha optado por las medidas más estéticas y fáciles de implementar.
En todas las medidas que se han anunciado se habla de ciberseguridad. Puede parecer lógico, pero la seguridad no debería ser una capa por encima, sino que debería ser parte del diseño de los sistemas. Si queremos un país "ciberseguro" necesitamos profundizar en las vulnerabilidades reales y atacarlas de raíz.
Para empezar, no me canso de decir que la ciberseguridad no depende de tecnologías, sino de personas. Y por tanto las responsabilidades deben ser claras y definidas. Si en el próximo ciberataque que impacte en una Administración Pública se llega a publicar el informe forense del incidente, se depuran responsabilidades, se toman medidas, y todo ello se hace público con total transparencia habremos avanzado un paso importante. Dejaremos de ser el país en el que los ciberataques o los "fallos informáticos" son los culpables oportunistas de todo lo que pase.
También es fundamental reducir el nivel de entropía de los sistemas de la Administración Pública. A ver si cala de una vez el antiguo principio de diseño "KISS", tan importante en ciberseguridad (Keep It Simple, Stupid). Por algún motivo que no quiero entrar a valorar, casi todos los sistemas públicos parecen habérselo tomado al revés desde hace muchos años.
A poco que rasques la superficie, nos encontramos con un número enorme de aplicaciones, algunas "prehistóricas", incompatibles, y en muchos casos sin ningún tipo de soporte. Y por contagio, lo mismo ocurre con las redes, los dispositivos, etc. Y eso en una única entidad. Si abrimos el campo visual encontramos que no podemos hablar de la Administración Pública en España como un hormiguero donde todos sus integrantes van coordinados y con criterios y objetivos comunes. Aquí cada uno va por libre.
Debería ser evidente, y digo debería porque en la práctica parece que no lo es, que "a río revuelto, ganancia de pescadores". O acercando el refranero a la seguridad "casa con dos puertas mala es de guardar". Ojalá esta casa tuviera sólo dos puertas. Ojalá dedicásemos recursos a reducir el número de puertas, y no a poner medidas de seguridad carísimas en cada una de las que tenemos, incluso abriendo más.
No quiero terminar con pesimismo. Cualquier medida es un paso adelante, y aunque no sea el plan óptimo, al menos parece que la ciberseguridad está en los pensamientos de quienes deciden, y en algún momento le darán la importancia suficiente como para plantearse medidas de mayor calado.
Modesto Álvarez
Cibersecurity Technical Specialist en IPM a Ricoh Company
