La ciberseguridad es crucial para el sector de la energía debido a la creciente digitalización y conectividad de las infraestructuras y a la dependencia que genera en otros servicios esenciales. Según Jorge Ordás, director de Operaciones del INCIBE, el 22 % de los ciberincidentes que tuvieron como objetivo un operador crítico se centraron en el sector energético durante 2023.

Texto: Cecilia Ordás

Los cibercriminales han evolucionado y son capaces de desplegar ataques de ransomware (secuestro) en menos de tres días, mientras que el tiempo medio de las empresas es de siete meses para detectarlo y dos meses para reaccionar. El crimen va siempre tres pasos por delante; pero, en el ciberespacio, la ventaja no se mide solo en pasos. Más bien son zancadas.

Jorge Ordás, director de Operaciones del Instituto Nacional de Ciberseguridad de España (INCIBE), señala que «la capacidad anual de gestión y respuesta de INCIBE supera los 80 000 incidentes. Sin ir más lejos, en 2023, el centro de respuesta de INCIBE gestionó 83 517 incidentes de ciberseguridad. Más de 28 000 corresponden a casos de fraude y 26 000 están relacionados con dispositivos electrónicos dañados por software malicioso. Las suplantaciones de empresas o personas de confianza –phishing– sumaron 14 000. Adicionalmente –aspecto relevante por el enorme esfuerzo que el INCIBE realiza en el ámbito preventivo–, se han detectado más de 180 000 activos vulnerables en redes y sistemas  españoles, y notificado a las entidades responsables, para que sean corregidos y securizados».

En España, uno de cada cinco delitos se comete en la red. En 2022, las Fuerzas y Cuerpos de Seguridad del Estado contabilizaron 375 506 infracciones penales, un 72 % más que antes de la pandemia. En 2023, la inmensa mayoría de los ciberdelitos fueron fraudes o estafas informáticas.

«En los últimos meses, en la línea de Ayuda 017 –teléfono gratuito del INCIBE para consultas sobre ciberseguridad–, hemos observado un incremento de llamadas relacionadas con algún tipo de suplantación de identidad digital. Además, tres de cada diez usuarios han recibido algún intento de phishing y un número elevado de ciudadanos ha necesitado asesoramiento por compras fraudulentas en Internet. La evolución más significativa se produce en los ataques contra la disponibilidad de servicios, que se han multiplicado por cuatro en el último año. También los robos de información y los códigos maliciosos, que han crecido un 77 %», explica el director de Operaciones del INCIBE.

Riesgo empresarial

En España, la creciente implantación de la tecnología en los procesos empresariales ha incrementado la necesidad de protección, pero ha elevado al cubo el apetito de los piratas informáticos.

«Quien piense que está totalmente protegido se equivoca, aunque debemos reconocer el esfuerzo que realizan las empresas españolas para alcanzar estándares altos de protección. El INCIBE brinda apoyo para que continúe avanzando. Debemos sentirnos orgullosos. España ocupa el cuarto puesto mundial en el Índice Global de Ciberseguridad 2020, elaborado por la Unión Internacional de Telecomunicaciones de Naciones Unidas, por detrás de EE. UU., Reino Unido, Arabia Saudí y Estonia, e igualada con Corea del Sur y Singapur», apunta Ordás.

«Nuestro país ha obtenido un total de 98,52 puntos sobre 100, con la puntuación máxima en los pilares de legalidad, desarrollo de capacidades y cooperación. Dentro de la Unión Europea, España se sitúa en segundo lugar, solo superada por Estonia. Además, es el segundo país del mundo –por detrás de EE. UU.– con más equipos de respuesta a incidentes públicos y privados en la principal asociación que los aglutina a nivel mundial, FIRST.org, síntoma inequívoco de que la ciberseguridad está en el discurso de nuestras empresas. Contamos con un amplio marco jurídico, desde normas vinculadas con infraestructuras críticas hasta las relativas al incremento del nivel de seguridad del país (NIS). Esto no impide seguir reforzando mecanismos y servicios que, tanto el INCIBE, como la propia industria de ciberseguridad, prestan a empresas y ciudadanos, para impulsar la adopción de herramientas que elevan la seguridad en todos los aspectos posibles», destaca el director de Operaciones del instituto.

Ciberdelito a la carta

La dark web es, como su nombre indica, una red oscura. Todo es posible en ese siniestro universo donde los ciberdelincuentes campan a sus anchas. En el último año, a la variante de secuestro de datos, ransomware, se ha sumado el Raas ransomware-as-aService, un servicio que prolifera en la dark web y permite a los delincuentes más torpes servirse de la pericia de ciberdelincuentes avezados. Para esto la investigación en ciberseguridad es crucial.

«Un aspecto esencial para un país es dotarse de medios y autonomía suficientes para hacer frente a las ciberamenazas. España cuenta con numerosas empresas y universidades punteras en el campo de la ciberseguridad e INCIBE está realizando una gran apuesta con programas a los que ha destinado más de 500 millones de euros del Plan de Recuperación, Transformación y Resiliencia. Así, cofinancia más de 150 proyectos de compra pública innovadora relacionados con retos de interés para la ciberseguridad, colabora con todas las comunidades autónomas por medio del proyecto RETECH CIBER y apoya a las universidades en el campo de la investigación y el conocimiento por medio de la financiación de proyectos estratégicos y cátedras», admite Ordás.

Sectores críticos

Una infraestructura crítica es aquella sobre la que descansa la actividad de los servicios esenciales, cuyo funcionamiento es indispensable para el país. Además, un fallo, ya sea en las instalaciones, redes, sistemas y equipos físicos y tecnologías de la información, supondría un grave impacto sobre los servicios a los que da soporte.

Una central energética, un aeropuerto, un hospital o un sistema de suministro de agua son infraestructuras críticas. Están en todos los sectores: administración, TIC, químico, nuclear… aunque es el sector financiero el que se lleva la palma a la hora de padecer el cibercrimen. «En muchas ocasiones, los ciberataques son producidos por grupos organizados cuyos objetivos trascienden más allá de lo puramente económico. En España, el sector bancario es uno de los más preparados para hacer frente a estas amenazas y, aunque el riesgo cero no existe, la probabilidad de un colapso bancario es remota, debido a las medidas de seguridad implementadas en el sector. Es destacable el mérito de los profesionales de ciberseguridad del sector financiero y tributario que, pese a acaparar el 25 % de los incidentes de infraestructuras críticas en España, han conseguido desplegar un sistema robusto con unos altos estándares de ciberresiliencia. Hay más sectores que están elevando su capacidad de resistencia frente a estos ciberataques, como el TIC, transporte, energía, etc. INCIBE ayuda a todas las entidades, sobre todo, a las que prestan algún servicio esencial, a través de instrumentos de capacitación y entrenamiento como los ciber-ejercicios CyberEx España o la medición anual de ciberresiliencia», destaca Jorge Ordás.

«No obstante, hay ciberamenazas que urgen la necesidad de reforzar cualquier mecanismo de protección, defensa, respuesta y recuperación, así como la detección y prevención, por ejemplo, el uso de campañas de desinformación, que se han convertido en el principal riesgo para los ciudadanos y empresas, según el Informe Anual de Seguridad Nacional correspondiente a 2023», resalta.

En el marco de la Defensa

En el año 2010 un misterioso gusano informático, de nombre impronunciable –Stuxnet– se dedicó a sabotear las centrifugadoras de la planta de Natanz y puso en jaque el programa nuclear iraní. Mayo de 2021: la empresa Colonial Pipeline tuvo que interrumpir la actividad en uno de sus oleoductos por un ciberataque. La compañía tejana se vio obligada a pagar cinco millones de dólares en bitcoin para recobrar los datos robados. Parte de esta cantidad fue recuperada por el FBI. En 2024, tres multinacionales españolas –Banco Santander, Telefónica e Iberdrola– han sido víctimas del cibercrimen.

Los ataques, cada vez más sofisticados, ponen en evidencia la necesidad de proteger las infraestructuras críticas de un país. Sectores estratégicos como la Defensa requieren también de una protección especial. «Es fundamental invertir en investigación. INCIBE ha sido recientemente seleccionado por la OTAN, junto con la Universidad Politécnica de Madrid, como el centro de investigación español para formar parte de su programa acelerador de innovación. Su actividad se centrará en el emprendimiento en campos como inteligencia artificial, computación cuántica, biotecnología, materiales novedosos y ciberseguridad. También en crear un ecosistema en el ámbito del Atlántico Norte con vínculos crecientes entre empresas e investigadores. Resulta evidente que, como cualquier sector, la Defensa depende de sus proveedores y fabricantes, desde el transporte y la energía, hasta las telecomunicaciones y otras infraestructuras, por lo que disponer de un inventario de estas entidades es fundamental. Para ello se podrán apoyar en el INCIBE-CERT o en el Mando Conjunto del Ciberespacio», destaca Ordás.

IA, aliada contra el cibercrimen

El Informe del Índice de Inteligencia Artificial 2024, publicado por la Universidad de Stanford, señala que la IA es mucho más eficiente en clasificación de imágenes y razonamiento visual que la inteligencia humana. La teoría de que llegue a superarnos y, por ende, controlarnos, sobrevuela desde el inicio de su creación. Sin embargo, su uso puede ser beneficioso para controlar el cibercrimen.

«Con el rápido avance de la IA, la sociedad se encuentra inmersa en un mundo cada vez más conectado y automatizado que, si bien ofrece numerosas ventajas, también plantea preocupaciones significativas en términos de privacidad y seguridad para los ciudadanos. En el campo de la ciberseguridad, va a ser clave al permitir detectar patrones, prever situaciones y orientar la toma de decisiones para anticiparse a los ciberdelincuentes. INCIBE ya está aplicando la IA en elementos como la monitorización, detección, vigilancia digital, fundamentales en el tratamiento de posibles incidentes y ciberamenazas, pero también en la explotación de toda la información que dispone el CERT para la mejora de sus servicios, tiempos de respuesta, notificaciones a terceros, etc.», apunta el experto del INCIBE.

«Por otro lado, INCIBE ha hecho un esfuerzo enorme a través de la iniciativa de Compra Pública Innovadora, con numerosos retos y proyectos dirigidos a la aplicación de la IA en todos los ámbitos posibles. Dentro de dos años, dispondremos de nuevas herramientas, productos y soluciones apoyados en la IA que aumentarán las capacidades de España frente a los ciberataques», matiza Ordás.

El 17 de mayo, el Consejo de Europa aprobó un marco regulatorio para el uso de la IA que entrará en vigor el 5 de septiembre. En España, el 4 de mayo, el Consejo de Ministros aprobó la Estrategia de Inteligencia Artificial (IA) 2024. El director de Operaciones del INCIBE señala que «el marco legal se está adaptando a la transformación digital constantemente. Aunque ya se ha citado el Convenio de Budapest –reflejado en las diferentes modificaciones que en los últimos años han sufrido el Código Penal y la Ley de Enjuiciamiento Criminal en España–, el Gobierno ha anunciado este año una nueva ley integral de ciberseguridad, con la que se pretende reducir los ciberataques, mejorar la respuesta a los mismos, elevar el nivel de ciberseguridad del país y adaptarse a la regulación europea. Además, el nuevo Esquema Nacional de Seguridad de redes y servicios 5G y la Estrategia de Inteligencia Artificial, donde España es pionera, ponen de manifiesto que el refuerzo de capacidades en el ámbito de las nuevas tecnologías es un hecho. La aprobación de otros reglamentos europeos más específicos, como la Cyberresilience Act, la Cybersolidarity Act y la Digital Service Act, en las que INCIBE tiene un papel esencial, permitirá conformar un panorama completo de ciberseguridad, desde la fabricación de los productos y componentes electrónicos, hasta los servicios gestionados».

Ciberdelitos versus delincuencia convencional

Actualmente, los ciberdelincuentes están ganando el pulso a los delincuentes convencionales. «Según un estudio de Cybersecurity Ventures se estima que, en 2025, el negocio del cibercrimen alcanzará los 10 billones de dólares. Para que nos hagamos una idea, supone la suma de economías tan grandes como Japón, Alemania y Suiza. A nivel mundial, ya supera al narcotráfico como fuente de ingresos de las redes criminales, por lo que se puede afirmar que sí, supera ya a la delincuencia convencional. Pero países como España, que ya ratificó el Convenio de Budapest en 2010 y lo confirmó hace muy poco, han dado pasos muy importantes en la lucha contra el cibercrimen, y ha dotado sus capacidades de respuesta hasta niveles muy importantes, a través de la red de CERTs, o en el caso de las FCSE, con cuerpos y unidades muy potentes. Por ejemplo, según datos del Informe de Cibercriminalidad del Ministerio del Interior, las diferentes FCSE españolas han dado respuesta a más de 374 000 ciberdelitos en 2022. El 90 % está relacionado con fraudes electrónicos y estafas digitales de toda índole. Adicionalmente, muestra de la fructífera colaboración entre organismos públicos, el CERT de INCIBE tiene integrado personal del Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad, para la coordinación de incidentes relacionados con ciberdelitos», señala Ordás. «En todo caso –añade–, los últimos datos oficiales del Informe sobre cibercriminalidad en España establecen que la criminalidad sobre el total de infracciones penales se situó en un 16,1 % en 2022, el doble que en 2018, lo que permite prever el incremento en los próximos años».

Computación cuántica

No es una novedad que la computación cuántica es un riesgo para los métodos de encriptación que se utilizan actualmente. En 1994, Peter Shor, matemático del Instituto de Tecnología de Massachusetts, demostró que un ordenador cuántico podría resolver el problema de la factorización –descomposición de una expresión algebraica– de manera eficiente, dejando al descubierto la vulnerabilidad del sistema digital actual.

«Aunque esta tecnología se encuentra en las primeras fases, sabemos que tiene el potencial de ser mucho más segura que la criptografía convencional. No solo ganaremos terreno en este ámbito sino también en inteligencia artificial, aprendizaje automático y otras disciplinas científicas como la medicina, la química, etc., donde se ganará eficiencia y rapidez para resolver problemas actuales. Se ha demostrado físicamente que, si se dispone de una gran capacidad de computación y algoritmos criptográficos cuánticos, hará que resulte muy complicado vulnerarlos, incluso usando capacidades cuánticas. Por otro lado, además de la computación, la cuántica supondrá una revolución en el campo de las comunicaciones, que es otro aspecto que INCIBE tendrá ocasión de explorar», matiza el director de Operaciones del instituto.

Formación y concienciación

El cibercrimen es un desafío global para el que la sociedad debe estar preparada. Ordás argumenta que «es fundamental concienciar a la ciudadanía. Conocer los riesgos, identificar las amenazas, aplicar buenas prácticas para proteger dispositivos, instalar las actualizaciones pertinentes, utilizar contraseñas seguras... son solo algunas claves para conseguir empoderamiento digital y capacitar a las personas para el control de su seguridad. INCIBE tiene por objetivo fomentar la confianza digital en España promoviendo una cultura de ciberseguridad, mediante formación y concienciación. En los próximos meses se publicará una serie de cursos de especialización para profesionales de la ciberseguridad teniendo como foco los distintos perfiles definidos por ENISA. Esto nos permitirá formar a 10 260 nuevos profesionales que pasen a formar parte de nuestra industria».