En mayo tomó el relevo de Luis Jiménez como subdirector del CCN. ¿Cuáles van a ser las principales líneas estratégicas que guiarán al Centro durante los próximos años?
Realmente, el CCN no cambia de líneas estratégicas porque cambie el subdirector. Tenemos cuatro líneas estratégicas que no han cambiado.
La primera de ellas tiene una duración de, prácticamente, 15 años. Desde 2010, cuando se aprobó el Esquema Nacional de Seguridad (ENS), nuestra obsesión es que todos los organismos públicos –e invitamos al sector privado a que también lo haga– apliquen medidas de seguridad y demuestren el cumplimiento. Eso nos permitiría convertirnos en objetivos difíciles de atacar, y ese es el primer paso para que luego la detección y la respuesta vayan de la mano.
La segunda línea es utilizar productos de calidad. El Catálogo de Productos de Seguridad de las Tecnologías de Información y Comunicaciones, el CPSTIC, es fundamental para nosotros como herramienta de ayuda a las administraciones públicas en la contratación. Con él, las administraciones no tienen que pedir requisitos de un producto a un fabricante; mejor van al catálogo, que ya los ha verificado, para verlo.
La tercera línea consiste en mejorar las capacidades de detección y respuesta. Después de muchos años notificando incidentes y viendo que no respondía el organismo, creemos firmemente que las capacidades de detección y respuesta tienen que estar basadas en los centros de operaciones de seguridad (SOC). Cuando un organismo o una empresa son pequeños, deben subcontratar estas capacidades, y esos SOC tienen que integrarse en la Red Nacional de SOC, de tal manera que implantemos una comunicación automática de ciberincidentes e indicadores de ataque.
Finalmente, y esta sí que es una línea novedosa que llevamos trabajando desde hace prácticamente tres años, están las medidas de ciberdefensa activa, que, sobre todo, se focalizan en no ser solo reactivos ante los ciberincidentes, sino pasar a tener una visibilidad más global y a efectuar acciones que permitan prevenir el incidente antes de que ocurra.
Si conseguimos estas cuatro líneas estratégicas, España será un país más seguro.
En los últimos años, el CCN ha puesto en marcha importantes proyectos como la Red Nacional de SOC o la renovación del ENS. ¿Qué nuevos proyectos acometerá durante los próximos años?
En relación con el catálogo, el ENS y la Red Nacional de SOC, el objetivo es la potenciación de herramientas que mejoren el intercambio y mejora de capacidades y apoyo; por ejemplo, para que las comunidades autónomas se constituyan como órganos de la auditoría técnica.
En cuanto a las medidas de ciberdefensa activa, tenemos proyectos importantes. Por un lado, tenemos lo que llamamos DNS Soberano, es decir, un servidor de nombres de dominio para todas las administraciones y el sector público.
Otro proyecto es tener una plataforma que mida la superficie de exposición de manera automática e iterativa; en un principio para el sector público, pero que también sea extrapolable al privado.
Queremos tener más capacidad de detección y reacción ante ataques a los móviles, lo cual es muy difícil porque dependemos mucho de tecnologías no europeas.
Y, finalmente, queremos tener otras capacidades de detección; por ejemplo, la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, con la que intentamos que se entreguen de manera automática indicadores de compromiso y de ataque, y recibir los ciberincidentes de forma automática.
«Las capacidades de detección y respuesta tienen que estar basadas en los centros de operaciones de seguridad»
Estamos en un momento geopolítico muy complejo, que inevitablemente afecta también a la ciberseguridad. ¿Cómo está impactando esta reconfiguración del mundo en dicho ámbito y qué iniciativas está adoptando España, y en particular el CCN, ante tal situación?
Con respecto al contexto convulso, hay dos tecnologías disruptivas a las que tenemos que prestar especial atención. La primera es la computación cuántica. Estamos trabajando mucho en la renovación del parque criptográfico nacional en lo que se refiere a la cifra del Estado, a la cifra táctica y estratégica para el Ministerio de Defensa, el Ministerio de Asuntos Exteriores, Presidencia…; pero ahora también tenemos que dar estándares que indiquen cuáles son las longitudes de clave necesarias y qué algoritmos tenemos que empezar a descartar.
La segunda tecnología sobre la que tenemos que estar atentos es la inteligencia artificial. Nos hace falta saber cosas como cuán vulnerable es o cuáles son los tiempos de reacción cuando se declara un incidente, porque se van a acortar muchísimo.
Derivado del contexto actual, se van tejiendo alianzas y se está potenciando la colaboración entre países. En el caso concreto del CCN, trabajan en los foros europeos, pero también con otras regiones como América Latina. ¿Cuáles son los principales propósitos de este tipo de colaboraciones y por qué las consideran importantes?
Ahora mismo, la soberanía digital es un asunto que preocupa mucho en las altas esferas gubernamentales y en la sociedad en general. Estamos viendo que tenemos mucha dependencia de tecnología foránea.
Necesitamos proyectos país que nos permitan tener capacidades propias en tecnologías críticas y, además, proyectarnos como un actor importante y como el vector de entrada de la Unión Europea en Hispanoamérica. En esta región, hablan como nosotros, piensan como nosotros y la ciberseguridad, con «ñ», es importante para ellos.
¿Cuál es el panorama actual de ciberamenazas que pueden afectar tanto a la soberanía española como a sus infraestructuras críticas?
Aunque hay matices, el panorama no ha cambiado mucho desde hace cuatro o cinco años. Ya en 2008 empezamos a ver ataques de Estados en las redes gubernamentales. Para nosotros, la amenaza persistente avanzada, el ataque de ciberespionaje que puede evolucionar a un cibersabotaje de un Estado, es la amenaza principal. Estos ataques siempre van por debajo del radar, con lo cual no se ven en muchos casos, y cuando se ven, no es lo mismo perseguir a un cibercriminal que a un Estado. Por tanto, para nosotros esto siempre ha sido la primera prioridad.
Sí que es verdad que el cibercrimen ha cambiado, sobre todo tras la pandemia, porque la hiperconectividad que tenemos en las administraciones públicas se mezcló con el acceso remoto y eso ha permitido que, mediante la suplantación de usuarios, caigan organismos pequeños y se vean afectados organismos grandes. Entonces, aparte de intentar implementar el zero trust entre los organismos, hemos pasado a trabajar muy de cerca con la Policía Nacional y la Guardia Civil para intentar que estos delitos tengan castigo. En eso estamos ahora mismo y es nuestra segunda prioridad.
Además, tenemos ataques de todo tipo, lo que yo llamo la miscelánea: grupos activistas, fraudes del CEO… Es decir, otros modelos de cibercriminalidad, pero que no están concernidos en esta captura de datos y luego compraventa en la Dark Web.

El Consejo Nacional de Ciberseguridad acordó, en mayo, la elaboración de una nueva Estrategia Nacional de Ciberseguridad. ¿Cuáles serán los principales ejes que debe incluir dicha estrategia para orientar las políticas de ciberseguridad en los próximos años?
Primero hay que tener en cuenta que las estrategias sectoriales no han estado muy acompasadas con la Estrategia de Seguridad Nacional. Pero yo creo que ahora sí que se están desarrollando las dos en paralelo. Está la Estrategia de Seguridad Nacional y ahora empezaremos las reuniones para la Estrategia Nacional de Ciberseguridad.
Para mí, la clave sería no solo potenciar las capacidades tradicionales, como hacer frente a la amenaza, mejorar las administraciones públicas, mejorar las Fuerzas y Cuerpos de Seguridad del Estado, mejorar la capacidad industrial, mucha formación, mucha sensibilización y relaciones externas. El movimiento natural es ir hacia una mayor soberanía, a hablar de medidas de ciberdefensa activa y a hacer proyectos país. Es decir, centrarnos más en qué es lo que necesitamos para que España tenga la necesaria soberanía e independencia.
La Ley de Coordinación y Gobernanza de la Ciberseguridad está aún en fase de anteproyecto, pero ¿cuáles son los aspectos más destacados de la norma?
Lo que tenemos que aprovechar con la Directiva NIS2 es no ser tan lentos con las regulaciones que permitirán el grano fino de la transposición. La Directiva NIS2 establece cinco retos, de los cuales el primero, que la Directiva NIS1 no dejaba claro, es quiénes son las entidades esenciales e importantes. La NIS2 prácticamente autodesigna estas entidades, porque establece un nivel mínimo de empleados, de facturación y, si estás en ese sector, sabes que eres entidad esencial o importante. Con lo cual, ya dejamos de discutir; simplemente va a haber una notificación de la autoridad de control.
Por otro lado, algo que tampoco teníamos de manera clara en la NIS1 son las medidas de seguridad, de buenas prácticas, etcétera. La NIS2 te dice: aplicas medidas y demuestras cumplimiento si eres entidad esencial, y si eres entidad importante, como te pase algo, te van a preguntar si tenías las medidas de seguridad aplicadas. Esto es un refinamiento y un cambio importante: aplico medidas y demuestro cumplimiento. Estos son el reto dos y el reto tres.
El cuarto es la notificación de incidentes, donde España está bastante más avanzada que el resto de países, porque nosotros intercambiamos información con máquinas. Ya lo dijo el presidente del Gobierno: 275.000 incidentes, 100.000 de Incibe y 175.000 del CCN. Esa es la manera de intercambiar, mediante máquinas y extrayendo lecciones aprendidas de toda la vorágine de información.
Y el último reto, donde sí que tenemos que mejorar capacidades, es la gestión de crisis. Cuando un incidente escala, nos tenemos que organizar nacionalmente y a nivel europeo.
La norma contempla entre sus medidas principales la creación de un Centro Nacional de Ciberseguridad. ¿Qué supondrá este centro para la gobernanza de la ciberseguridad en España, que ya cuenta con varios organismos dedicados a esta materia?
El Centro Nacional de Ciberseguridad es la respuesta de España a la obligación de la Unión Europea de crear un organismo único que pueda absorber todas sus capacidades, por la naturaleza de los ministerios. Tenemos el Ministerio de Defensa, el del Interior y el de Transformación Digital, y es difícil unir sus capacidades. La apuesta de España ha sido este centro.
El Centro Nacional de Ciberseguridad es un centro estratégico, incluido en la estructura de Presidencia del Gobierno, y no va a tener mucho personal; van a ser unas 25 o 30 personas.
Su misión será hacer toda la interrelación a la que obliga la Directiva NIS2 –que es mucha– con Europa; pero, además, marcará las líneas estratégicas para armonizar las actividades de los ministerios encargados de gobernar a los distintos sectores y a las distintas entidades, como autoridades de control. En algún momento, también tendrá que marcar directrices con respecto a gestión de crisis. Y si ya conseguimos que ese centro tenga presupuesto para asignar a los demás, bueno, eso sería miel sobre hojuelas…
«Debemos tener la capacidad de desplegar equipos de respuesta de forma más habitual y con unos procedimientos muy maduros»
Las crisis de ciberseguridad son cada vez más frecuentes, tanto contra empresas estratégicas como contra instituciones u otras esferas sociales. ¿Qué aspectos sería necesario reforzar para mejorar la respuesta a los incidentes de gran envergadura?
Necesitamos capacidades de respuesta. La Ley de Cibersolidaridad de la Unión Europea establece una ciberreserva, organismos cualificados y empresas con una cierta certificación para poder dar estos apoyos. Nosotros eso lo tenemos aprendido desde hace 15 años. Cuando hay una crisis, no esperamos solo informes del organismo u organismos afectados, sino que desplegamos equipos. Lo que hay que hacer es tener esa capacidad de desplegar equipos de una manera más habitual y con unos procedimientos muy maduros.
Estos equipos de respuesta rápida ya se activaron durante el apagón. Cada CERT de referencia puso equipos y el CCN-CERT se encargó de la coordinación, a las órdenes de la Secretaría de Estado de Telecomunicaciones. Ese es el modelo y los procedimientos de mejora que necesitamos. Cuando hay un incidente, tiene que actuar personal de las estructuras de los CERT [de referencia], con un refuerzo, si es posible, del sector privado.
Yo veo mejor que actúe un equipo de respuesta rápida, gobernado por un CERT de referencia, con gente de empresas, a que sea una aproximación solo privada. Evidentemente, las personas que cedan las empresas serán facturadas como corresponde.
En su opinión, ¿cuáles son los principales retos estructurales que hoy enfrenta España para elevar su nivel global de madurez en ciberseguridad?
Necesitamos mejorar nuestra resiliencia, y eso pasa por prevenir, detectar y responder. Seguimos teniendo organismos muy pequeños que nunca van a tener capacidad de detección y respuesta y, además, van a tener una capacidad escasa para prevenir. Por eso, la Red Nacional de SOC es quizá el punto de mejora que necesitamos. El SOC de entidades locales o el SOC de la Administración General del Estado son ejemplo de lo que les puede servir a los organismos pequeños. Aplicando la Directiva NIS2, podemos tener SOC sectoriales: uno para el sector salud o para el sector de aguas…
Otra cosa que tenemos que hacer es empoderar a los CISO, que muchas veces son la justificación de la empresa hacia el exterior, pero no tienen un poder real. Necesitan llegar a la dirección y que esta sepa que su negocio está en sus redes y en la información que almacenan.





