Santander.- El magistrado de la Sala de Apelaciones de la Audiencia Nacional, Eloy Velasco, la fiscal adscrita de la Sala Coordinadora en Materia de Criminalidad Informática, Ana María Martín, y el senador del Partido Popular, Francisco Javier Fernández, han participado en el encuentro Defensa de los Estados democráticos en el ciberespacio que se está celebrando en la Universidad Internacional Menéndez Pelayo (UIMP) en colaboración con la Guarda Civil.
Durante la primera mesa redonda de la jornada han abordado La acción legislativa y judicial frente a las amenazas en el ciberespacio. Martín ha asegurado que la ciberdelincuencia es una materia “absolutamente transversal” que involucra a “todos los organismos, instituciones y responsables en esta materia a nivel nacional e internacional, por su carácter dinámico”. En este sentido, la fiscal ha incidido en la importancia de afrontar de “una forma armonizada” este problema, porque se trata de un “fenómeno internacional”, caracterizado por ser “un tipo de delincuencia que traspasa todo tipo de límites fronterizos”.
En el ámbito de la Fiscalía, Martín ha explicado que “la base de una actuación formalizada pasa por la formación de los fiscales, ya que tienen que afrontar esta materia con unos concomimientos específicos”. Además, ha destacado que la “gran baza” que tiene el gremio de los fiscales es que funcionan en base al principio de unidad de actuación y dependencia jerárquica, “lo que nos permite que, fruto de esa actividad especializada, podamos llegar a criterios de actuación uniforme”.
Propuestas legislativas
Posteriormente, Velasco ha indicado que el impacto del cibercrimen en la economía global “ya está parejo o superando al del narcotráfico”. En concreto, ha apuntado, el beneficio que les deja a los ciberdelincuentes, descontando costes, “es de 120.000 millones de euros en España”, y en las empresas “el coste medio por ataque informático está en 75.000 euros al año”. Sin embargo, estas cifras “cuando descendemos al mundo judicial cambian enormemente”, ya que, según ha expuesto, “de unos cerca de 80.000 ataques que se judicializan, todavía el 70% se refiere al delito del fraude” y no a las distintas modalidades de ataques informáticos.
En materia legislativa, Velasco ha esbozado algunas propuestas de cara a mejorar el sector de la ciberseguridad y del cibercrimen en la Ley de Enjuiciamiento Criminal (LECrim). Por ejemplo, en el ámbito procesal, el magistrado ha apostado por regular la competencia, ya que “aunque el principio de ubicuidad ya está recogido en un acuerdo del Tribunal Supremo, no lo está en el artículo 14 de la LECrim”. En esta línea también ha considerado importante “aclarar qué juez tiene que ser competente para llevar una investigación de carácter transnacional”.
En el ámbito penal, ha señalado algunas ideas “para incrementar los agravantes de carácter genérico”, como los casos en los que se ven afectadas infraestructuras críticas, la exigencia de pago con criptomonedas o la difusión de vídeos con contenido delictivo. Además, fuera del ámbito de la LECrim, Velasco ha valorado la posibilidad de adoptar “un proceso monitorio con oposición o sin oposición, en función de que se identifique el titular del producto informático, para poder plantearle al juez la retirada de contenidos, que aunque no tengan carácter delictivo, sí nocivos”. Este es el caso, ha expuesto, de las páginas web que explican cómo confeccionar explosivos, cómo delinquir o cómo cultivar droga.
En último lugar, ha intervenido González quien ha afirmado que “solo si actuamos de forma coordinada y con una buena estrategia seremos capaces de mitigar los riesgos a los que estamos sometidos como sociedad”. Por este motivo, el senador ha declarado que “a la vista de la dispersión normativa”, se plantea la cuestión de si es necesario y procedente “abordar la cuestión de la ciberseguridad también a través de una ley propia y específica”, es decir, “una legislación básica que podría servir de marco para luego ser desarrollada en otras leyes complementarias”.
En este sentido, ha añadido que el poder legislativo tiene también la tarea de “aprobar los recursos y los medios económicos necesarios para que se puedan desarrollar las acciones que se tienen que llevar a cabo en esta materia”. Y esto, ha matizado, “hay que hacerlo a través de los Presupuestos Generales del Estado”.
Sector privado y ciberseguridad
La segunda mesa redonda de la jornada, bajo el título El sector privado frente a las ciberamenazas, ha contado con representantes de grupos o empresas internacionales del sector telefónico, energético, financiero y tecnológico como el director global de Seguridad e Inteligencia de Telefónica, Miguel Sánchez, la CISO (Chief Information Security Officer o director de seguridad de la información) de Iberdrola, Rosa Kariger, la CISO de Indra, Elena García Díez, y el director de Seguridad Informática Banco Santander, José Antonio Castro.
El moderador y jefe de la Jefatura de los Servicios Técnicos de la Guardia Civil, Arturo Espejo, ha introducido a los ponentes que han expuesto las estrategias y modelos de ciberseguridad de sus empresas para gestionar los riesgos que entraña esta era tecnológica.
Según Sánchez, en Telefónica “hablamos de ciberseguridad y seguridad digital” porque es “una defensa en profundidad de la privacidad” y de “la continuidad del negocio”. Dado que esta empresa se dedica a la “conectividad” de empresas, administraciones públicas y personas en diecisiete países como operadora, su “política clave es la confianza” y su “obligación es proteger las comunicaciones y los datos privados” de sus clientes entre los que se encuentran la Fuerzas y Cuerpos de Seguridad del Estado.
La Política global de Seguridad de Telefónica, ha indicado, se basa en cuatro principios: “legalidad, eficiencia, cooperación y corresponsabilidad”. Por ejemplo, para anticiparse a posibles ataques, Sánchez ha comentado que hay “un grupo de empleados que atacan a su propia red para medir y analizar las vulnerabilidades”, además de trabajar en ciberinteligencia para prevenir ataques como el WannaCry.
En esta, como en las demás empresas representadas en esta mesa redonda, es habitual la implementación de Centros de Operaciones de Seguridad (SOCs), para detectar ciberataques, y equipos de respuesta a incidentes de seguridad (CSIRT por las siglas de Computer Security Incident Response Team), para responder a los mismos.
Para la CISO de Iberdrola, empresa inmersa en un ambicioso programa de innovación y transformación digital, es de “especial relevancia la protección de los sistemas de control industrial y de nuestras redes inteligentes” y comprender “las interrelaciones que existen entre ellos, los efectos cruzados”. Para afrontar este problema, en Iberdrola han implementado un plan global de ciberseguridad con “un enfoque de gestión descentralizado pero coordinado”, bajo una “supervisión centralizada” que se gestiona desde “el Comité Global de Ciberseguridad”. En sus propias palabras, una “visión holística del problema”.
Este modelo de seguridad integral se sustenta en una comprensión de los riesgos de forma global. “Es fundamental la formación y concienciación de toda la plantilla y de la alta dirección porque la seguridad no se puede delegar”. Las medidas de prevención abordan “el factor humano mediante la concienciación de toda la plantilla” ya que es una “responsabilidad asumida por todos”. Por último, Kariger ha destacado la “cooperación”, entre operadores, fabricantes de tecnología, agencias de Inteligencia y Fuerzas y Cuerpos de Seguridad del Estado, en pos de una “inteligencia global” y promover “estándares y normativa homogénea a nivel internacional”.
Al igual que su predecesora en el turno de palabra, García Díez ha refrendado que para dar “un servicio seguro a los clientes” es necesario “sensibilizar sobre seguridad a los empleados”. A su juicio, hay dos tipos de empresas, “las que sufren los accidentes de seguridad y las que no saben que los sufren” y en este contexto, el sector privado cuenta con una doble vertiente: “en cuanto a las necesidades de implantar la ciberseguridad conforme al negocio, y la heterogeneidad tecnológica a las que nos vemos abocados”.
En Indra el modelo consiste en integrar la seguridad en el ciclo de vida del proyecto: de la oferta al cierre del mismo. Es decir, tanto en las operaciones como en los productos, una seguridad “presente de forma transversal”. En definitiva, “una visión global de la ciberseguridad que protege la información de la compañía y, a su vez, la prestación del servicio a los clientes”.
Por último, el director de Seguridad Informática de Banco Santander ha reflexionado sobre las amenazas informáticas, un “problema complejo que no tiene soluciones triviales”. Las ciberamenazas son consideradas “el principal riesgo no financiero del grupo” y, por lo tanto, es “uno de los pilares” de la estrategia en ciberseguridad del Grupo financiero. Además, ha comentado el “fenómeno insider”, resultado de la “floración del crimen organizado hacia el mundo digital”. Su estrategia en tres pilares, la defensa, anticipación y colaboración, de “un sistema resiliente” y que apuesta por “una ciberseguridad global, donde no hay lugar a decisiones locales”.
Desde su punto de vista, “la ciberseguridad es considerada un activo estratégico con una gestión proactiva y holística del riesgo”. Y, al igual que en Telefónica, en el Grupo Santander se hacen “pruebas de seguridad periódicas para testear sus capacidades de defensa y detectar potenciales debilidades y así reforzarlas”.
Fotografías: UIMP 2018 | Juan Manuel Serrano