La Agència de Ciberseguretat de Catalunya garantiza la protección, prevención y gobernanza en materia de ciberseguridad y establece un servicio público para aumentar el nivel de seguridad de las redes y los sistemas de información en la comunidad, así como la confianza digital de los empresas y ciudadanos. Ante la subida de la ciberdelincuencia en el país, conversamos con el director general de la Agència de Ciberseguretat de Catalunya, Tomàs Roy, para saber cómo hacer frente a todos los retos de un sector que crece a un ritmo desorbitado en pocos años.
En diferentes informes se dice que el sector de la ciberseguridad irá en crecimiento. ¿Qué posición tiene Catalunya en este sector?
El crecimiento va de la mano de la digitalización, no de la desprotección. Cuanto más nos digitalizamos, más ciberataques se dan, porque nosotros mismos valorizamos la digitalización, exponemos ahí nuestra vida, nuestros negocios y, por tanto, los criminales se adaptan a aquello que nosotros valoramos. Además, el sector ha crecido un 15% en Catalunya, donde hemos llegado ya a una cuota de casi 500 empresas, tal como establece el informe que hemos presentado junto con Acció. Estas empresas emplean a unas 10.000 personas y facturan 1.000 millones de euros aproximadamente. Por tanto, es un mercado muy potente que, en Catalunya, por volumen, es muy significativo y por atracción de inversión extranjera también.
El reto es aportar el talento necesario. Por una parte, se puede buscar la automatización y, por lo tanto, que haya máquinas que tomen decisiones y, en base a la inteligencia artificial, se haga más rápido, pero el talento de personas es realmente una demanda. Se habla de que hacen falta 3,5 millones de profesionales en el mundo, de los cuales 40.000, según un estudio de INCIBE, estarían en España. Este tema nos preocupa. También el talento femenino, pues existe el reto de incorporar de una forma normal a las mujeres en el entorno de la ciberseguridad, y en puestos de responsabilidad. Hay que destacar que entre un 25 y 26% de las personas que trabajan en ciberseguridad son mujeres y, en cambio, un 22% son directivas, y tenemos posibilidad de crecimiento en los dos entornos.
No existe un grado o formación específica en ciberseguridad, ¿cómo educar a los futuros profesionales de esta área si va a crecer?
Existe la titulación de ciberseguridad en Bolonia, como universidad, que prevé en los planes de estudio el Grado. Es cierto que ninguna universidad en Catalunya lo está ejerciendo, quizás alguna universidad privada lo esté contemplando para el año próximo (en España hay una universidad privada que lo ofrece). Hemos visto que se están dando cursos de máster de posgrado. Tenemos hasta 11 en Catalunya, pero, en cambio, Europa está potenciando no tanto esta formación posterior a la universidad y de especialización amplia, sino 12 skills de ciberseguridad entre las que hay unas muy específicas, como el CISO, que sería el responsable de gestión; un incident handler, que sería un gestor de incidentes o un análisis forense, entre otros.
Hay perfiles profesionales diferentes y lo que se busca es intentar proveer este talento de una forma más directa o breve que teniendo que hacer toda una carrera, un máster, o un posgrado. En Catalunya tenemos 37 centros de estudio donde hay 44 cursos de formación profesional en ciberseguridad. Ahora también ha aparecido en FP3 el máster de Ciclo Formativo para ciberseguridad específico. Para entendernos, tenemos máster universitario, máster en formación profesional, pero no aún un grado, que llegará pronto.
Nosotros también aportamos aquí el concepto de cyber range, que consiste en encontrar espacios donde se pueda hacer simulación y pruebas como laboratorio, para que el alumno adquiera capacidades en entornos controlados y pueda testar sus capacidades en entornos lo más parecido posibles a la realidad.
Según las cifras que tenemos de 2022, el número de profesionales de la ciberseguridad crece un 23%, y la brecha un 57%, de manera que la necesidad de profesionales no cubierta llega hasta los 10.000. Es decir, actualmente hay unos 10.000 empleados, pero faltan 10.000 más.
El informe de final de año de la Agencia pone de manifiesto que la guerra cibernética entre Rusia y Ucrania impacta en la ciberseguridad de todo el mundo, ¿cuáles pueden ser las consecuencias?
Ucrania y Rusia eran grandes aliados en el cibercrimen. Eran países consumidores y generadores de artefactos para poder hacer ataques. Por lo tanto, se han puesto a pelear entre ellos, y en cierta manera, ha distraído un poco el foco sobre los ataques que podíamos recibir. Si los ciberataques antes estaban orientados a estafas o robos de capitales, ahora se han politizado y se han dirigido más a infraestructuras críticas. Hace unas semanas hubo un ataque coordinado por Rusia a todos los países de la OTAN en sus sistemas sanitarios. Empezaron por Portugal, y después hubo ataques entrando por Galicia y a nosotros nos atacaron en cuatro hospitales, que teníamos protegidos.
Conviene aclarar que una cosa es un ataque y otra un incidente. Nosotros recibimos miles de millones de ataques, pero solo tenemos un incidente cada tres horas. Es decir, que no todos los ataques culminan en un incidente. Cada vez tenemos más capacidades de rechazarlos y de diferenciar el tráfico que es legítimo del que es artificialmente generado, así podemos ser más selectivos a la hora de defendernos.
¿Hay diferentes tipos de ataques?
Los hay de dos tipos. Unos por oportunidad: “¿por qué no? Si me lo pones tan fácil, si no has tomado ninguna medida…”. Son ataques no muy sofisticados que usan herramientas de automatización y cuyas víctimas son empresas que tienen bajos niveles de protección. Y después hay otros más complejos, de grupos organizados que tienen unas técnicas y procedimientos conocidos, y que son contra objetivos concretos… Y se especializan: hay un grupo que ataca al sector financiero, otro ataca al sector sanitario, otro a las administraciones públicas, etc. Se ataca utilizando malas configuraciones, servicios dejados abiertos, obsolescencia, vulnerabilidades, reutilización de credenciales.
Estamos viendo estas dos maneras de atacar, utilizando ataques al CEO o a su reputación, robando credenciales, o bien desde los proveedores. A menudo se dice que el eslabón más débil de una cadena es el usuario, pero el eslabón más peligroso, que más daño puede hacer, es el del súper usuario, el administrador. Hay que tener siempre muy protegidas y capacitadas a las personas con responsabilidad en la administración de sistemas, porque son las credenciales más buscadas. Consiguiendo una credencial de administrador consigues hundir a toda una empresa y a todos sus clientes o proveedores. Por eso se busca a usuarios de mucha capacidad dentro de la empresa, sobre todo a altos directivos o administradores.
¿Qué deben hacer las empresas para protegerse y prevenir?
A parte de la prevención, que nunca está de más, sobre todo orientada a la capacitación y la formación de todos los usuarios y los administradores, es muy importante también que den por hecho que van a tener incidentes. Vamos a normalizar la victimización. Detectarlo lo antes posible para poder tomar una respuesta lo más eficaz posible para que el efecto sea el mínimo posible. No nos dedicamos a no tener incidentes si no a tener el efecto menor posible sobre el incidente.
¿Cuál es el papel de la Agencia Catalana de Ciberseguridad ante las empresas?
La agencia es responsable de tener una sociedad digital segura. Promovemos que se capacite al sector y que en el entorno privado se pueda dar respuesta y acompañamiento a las empresas en estas capacidades de prevención, de detección y de respuesta. Donde tenemos otro rol, por nuestra función de Catalonia-Cert, es en el caso de que se dé un incidente, porque tenemos capacidades al vivir incidentes continuamente y acompañamos en la recuperación. Priorizamos la recuperación para que el negocio siga trabajando, pero preservamos las evidencias para poder entender qué capacidades ha tenido el atacante, porque si solo recuperamos, el atacante va a volver a entrar. En el mundo digital es muy importante salir más fuerte de un incidente, porque es muy probable la reincidencia en los ataques.
¿Qué retos tiene la Agencia?
En primer lugar, tener una operación excelente. Cuantas más medidas protectoras y más eficaces haya, mejor. Cuanta más capacidad de monitorización y detección tengamos, mejor, y cuanta más capacidad de dar respuesta a un incidente, mejor. Una operación excelente y avanzada a los cambios que hace el adversario es necesaria. Este es un reto imprescindible, acompañado del talento necesario para ello.
El segundo es la innovación. Nos encontramos con que la enorme adaptabilidad y el sacar provecho de las oportunidades que tienen los adversarios a menudo nos genera el reto de hacer las cosas de manera diferente. Tenemos que ser transformadores y disruptivos en nuestra propia operación para no quedar obsoletos.
Hay que tener muy protegidas y capacitadas a las personas con responsabilidad en la administración de sistemas, porque son las credenciales que más buscan los ciberdelincuentes,
También lo que tiene que ver con los entornos verticales. Es decir, hay entornos en los que hacer todo lo que hacemos es imprescindible, pero hay que especializarlo en la amenaza sectorial, es decir, no se ataca a todo el mundo por igual ni de la misma manera. Hay que entender qué amenazas específicas tiene cada entorno y cómo darles respuesta.
Y después, el reto, de difícil solución, serían las pymes o ayuntamientos pequeños, donde no es rentable ni para ellos ni para las empresas prestarles servicios, porque a veces no tienen personal dedicado o lo tienen externalizado, o tienen servicios compartidos o en la nube, y se les hace difícil. Más del 90% de las empresas de nuestro país son pymes, con lo que es un reto que nosotros como agencia de ciberseguridad de un servicio público y universal no podemos obviar. Trabajamos en proyectos de capacitación y de concienciación a las pymes y estamos desarrollando soluciones para que las puedan tener. Y aquí de nuevo trabajar con el ecosistema, porque existen entidades como Fomento, PIMEC, las cámaras de comercio, que tienen esa misma preocupación cada día sobre cómo ayudar a las pymes a salir adelante.
Todo ello dentro de un cumplimiento regulatorio…
Claro, toda la regulación europea en menos de tres años va a converger en la relevancia de la ciberseguridad, es decir, las empresas que se estén digitalizando, en tres años deberán cuidar mucho la ciberseguridad. Hoy sería una inversión competitiva, porque serían de los primeros, pero de aquí a tres años va a ser imprescindible para poder estar cumpliendo con las normativas de los elementos digitales que Europa va a lanzar a través de diferentes leyes, por tanto, aquí hay una oportunidad también de negocio.
¿Hay ayudas de los fondos europeos Next Generation para este fin?
Otra de las funciones que tenemos es ayudar a trasladar fondos europeos y fondos nacionales hacia el sector de las empresas, de los ayuntamientos y de las empresas de ciberseguridad para capacitarlas. Por ejemplo, los Next Generation son un programa muy amplio, pero el Kit Digital tiene una partida de ciberseguridad, hasta 12.000 euros en dos servicios de 6.000 euros cada uno. Pero también tengo que decir que las empresas deberían ser conscientes de que por cada euro que inviertan en digitalización, deberían invertir otro en ciberseguridad, y a menudo lo que hacen es priorizar solo la digitalización.
En una conferencia comentó usted que el cibercrimen es cada vez más “de proximidad”. ¿Cómo hay que actuar?
Hay un tipo de ataques de muy baja complejidad, realizados fruto de la crisis económica. La actual coyuntura puede llevar a personas no capacitadas a formar parte de estas cadenas de cibercrimen, bien como mulas de blanqueo de dinero, que pueden ser jóvenes contactados a través de redes sociales, o bien gente que simplemente haga ataques sencillos en entornos poco protegidos, tipo phishing o ransomware, para capitalizar de alguna manera, engañar o robar credenciales. Es ciberdelincuencia de proximidad porque el atacante tiene un conocimiento previo de tu organización, de tus intereses, de tu idioma. Sabiendo quienes son tus familiares o cuáles son tus aficiones o dónde vives, el atacante hacerse pasar por alguien y, de esta manera, conseguir resultados más efectivos. Por eso digo que vamos a encontrar más proximidad y más localización en los ataques. Primero, por la propia evolución necesaria del negocio y luego por la desesperación de personas que se acercan y ofrecen su persona para el beneficio y la explotación del crimen.