Enrique Ávila Director del Centro de Análisis y ProspectivaGuardia Civil

"Hace falta revisar los modelos clásicos de generación de conocimiento en ciberseguridad"

Enrique Ávila, director del Centro de Análisis y Prospectiva de la Guardia Civil. Ciberseguridad en el sector público.

Basta escuchar las primeras reflexiones de Enrique Ávila antes de la entrevista para darse cuenta de que siempre trata de ir más allá de lo aparente. Es un profesional reflexivo, pero no deja de ser incisivo con aquellas cuestiones que desde su punto de vista deberían cambiar, como la formación, la generación de talento o los recursos del Estado destinados a la ciberseguridad. Desde abril, dirige el Centro de Análisis y Prospectiva de la Guardia Civil, donde todos esos aspectos quedan aglutinados.

Los ataques por parte de Estados están ganando peso en los últimos años. Espionaje, fake news, ataques a infraestructuras críticas… ¿Cómo cree que está cambiando el panorama de la seguridad teniendo en cuenta que la tecnología también tiene un impacto en el entorno físico?

El panorama es cada vez más híbrido. Cada vez es más difícil detectar ciberamenazas o delitos, incluso en los que no hay un componente tecnológico. Pero para eso están unidades tecnológicas como las de la Guardia Civil, a las que formamos en el Centro Nacional de Excelencia en Ciberseguridad precisamente en este tipo de escenarios cambiantes y caracterizados por el hecho de que cada vez somos menos conscientes e interactuamos menos con las ciberamenazas y las medidas mitigadoras.

En cuestión de infraestructuras críticas, por ejemplo, la tecnología ha permitido el modelo de crecimiento que tenemos. Por lo tanto, la parte tecnológica es irrenunciable y la tenemos que proteger. No obstante, aquí surgen problemas en torno a grandes escenarios, como son la protección de la cadena logística o de qué manera generamos una industria que no sea dependiente de terceros.

¿Qué factores son necesarios para poder crear una industria de la ciberseguridad española y así evitar la dependencia tecnológica de otros países?

No creo que podamos competir en un mercado global como país, la solución es la Unión Europea. Tenemos que empezar a pensar como uno solo. Con el Brexit se abre la oportunidad de concienciar sobre la necesidad de desarrollar capacidades propias. A escala europea contamos con tecnología, talento y, sobre todo, peso económico para poder desarrollar y desplegar tecnología propia. Sin embargo, ningún Estado tiene capacidad por sí mismo, y estamos compitiendo con países como China, Estados Unidos o India. Por tanto, la respuesta no es España sino Europa.

«La dotación económica necesaria para ciberseguridad vendrá, lamentablemente, tras un desastre»

Según los análisis del Centro de Análisis y Prospectiva, ¿cuáles son las principales ciberamenazas tecnológicas para España?

Las ciberamenazas clásicas forman parte de lo que ya tenemos esquematizado. Se supone que todos sabemos desplegar un perímetro de seguridad y que dotamos a nuestras organizaciones de medios suficientes; sabemos que el riesgo cero no existe, por lo que debemos trabajar en la resiliencia.

Tomando esto como base, desde mi punto de vista habrá varios riesgos a medio plazo a partir de despliegue del 5G. Uno estará en la automoción. Este sector no ha trabajado nada la ciberseguridad y vamos a tener en las carreteras no ya solo coches conectados sino autónomos.

Enrique Ávila, director del Centro de Análisis y Prospectiva de la Guardia Civil. Ciberseguridad en el sector público.

Otro gran riesgo estará en la biotecnología. Se está desarrollando un conjunto de capacidades para jugar a ser Dios, las cuales ya están al alcance de biohackers. Quizás estos grupos no tengan objetivos perversos, pero cuando hablamos de tocar ADN con productos que se fabrican con impresión 3D se abre un problema de control.

Por otro lado, dada la globalización y la manera en que se ha ido desarrollando la génesis de la Red, tenemos un mal diagnóstico a la hora de resolver un problema que nosotros mismos hemos creado: nuestro modelo opta habitualmente por la eficiencia, sin embargo, en ocasiones hay que apostar por la eficacia, al coste que sea. En el mundo ciber nos encontramos con un panorama en el que habitualmente se ponen en el mercado miles de millones de dispositivos al mínimo coste de desarrollo posible, lo que significa que directamente la seguridad ha sido despreciada. Cuando estamos generando estructuras complejas de información, con redes industriales compuestas por millones de dispositivos con capacidad de cómputo, de almacenamiento y de interconexión, y que han sido comprados al mínimo precio posible, fabricados en cualquier sitio, tenemos un problema.

En un panorama tan complejo como el actual, ¿cómo valora el papel que está haciendo España en materia de ciberseguridad?

Estamos haciendo bien casi todo. Nuestro país es puntero en cuanto a generar un organigrama bastante correcto para los procesos de toma de decisión. El CCN-CERT ha trabajado mucho en las administraciones públicas, ha desarrollado una labor absolutamente necesaria, congruente y de altísimo nivel. Incibe ha generado muchísima información y acciones de formación de cara a las pymes y al ciudadano, y ha puesto el problema sobre la mesa. Y de la misma manera han trabajado otras instituciones.

Quizás lo que nos falta siempre son recursos, porque son caros de mantener y el talento es difícil de obtener. Ahora mismo, los recursos orientados a la ciberseguridad son limitados, especialmente los económicos, sobre todo si los comparamos con las cifras de Reino Unido o Francia. La dotación necesaria vendrá, lamentablemente, después de un desastre.

Por su parte, la regulación sobre protección de infraestructuras críticas es muy acertada. Sin embargo, ¿dónde está el cuerpo de auditores del Estado que dé cumplimiento normativo en esta materia? Hay un sistema mediante al cual las empresas demuestran que están cumpliendo, pero no existe nada como, por ejemplo, el modelo del Consejo de Seguridad Nuclear.

¡Sigue Leyendo!

Aquí te hemos mostrado tan solo una parte de este contenido.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital