Entrevista a Paco Pérez Bes. Experto en derecho digital.

  1. La ciberseguridad se ha convertido en una cuestión sumamente relevante a nivel mundial, ¿cuál es el estado de la ciberseguridad en España?

La ciberseguridad es una materia que va a seguir siendo clave en el futuro, ya que en tanto en cuanto la sociedad siga tendiendo hacia una conectividad cada vez mayor, más numerosos también serán los riesgos que amenacen a los sistemas, a la información y, en definitiva, a los derechos de las personas.

Se viene diciendo, en ocasiones despectivamente, que España es uno de los países más ciberatacados, pues así lo demuestran las estadísticas sobre el número de incidentes de seguridad notificados por los estados. Sin embargo, esta conclusión no es correcta. España no es un país más atacado que Francia, Italia o Alemania. Incluso podría afirmar que puede serlo menos. Lo que ocurre es que España dispone de buenas capacidades de detección de incidentes, lo que nos permite identificar muchos más incidentes que otros países. Esto significa que puede ser que esos países -mejor posicionados que nosotros en esos rankings de países más ciberatacados- desconozcan estar siendo afectados por incidentes de seguridad, lo que en realidad les impediría gestionarlos adecuadamente. Así que, contrariamente a lo que podría pensarse, ese dato es positivo.

Aunque quede mucho por hacer, España lleva, desde hace años, siendo una referencia internacional en hacer bien las cosas en ciberseguridad. Así lo acredita su reputación internacional, especialmente gracias al alto nivel de competencia de sus organismos públicos dedicados a esta materia.

Ahora bien, no puede obviarse que la ciberseguridad es un aspecto que no puede descuidarse nunca. Y, aún a pesar de todos los esfuerzos, siempre existe la posibilidad de que las empresas, organismos y ciudadanos se vean afectados por incidentes telemáticos, que cada vez son más numerosos y complejos. Así lo demuestran los datos de gestión de incidentes de organismos como Incibe o el CCN, que reflejan incrementos anuales constantes. O algunos recientes episodios de ataques a entidades públicas, que han llegado a provocar la paralización de algunos servicios públicos de gran relevancia. Pero, en general, podemos afirmar que el estado de la ciberseguridad en España no es malo.

  1. A nivel empresarial, resulta indiscutible que la ciberseguridad supone un activo, ¿las empresas españolas cumplen con sus obligaciones en ciberseguridad?; ¿a nivel general, se invierte suficientemente en seguridad por parte de las empresas españolas?; ¿a nivel general, hay implementada una cultura de seguridad de la información en las empresas españolas?

El sector privado sufre, y seguirá sufriendo, el impacto de los ciberataques, donde las organizaciones criminales persiguen dinero e información. Y, para estar preparado, toda empresa debe acometer inversiones constantes. Y, aún así, nunca se estará lo suficientemente bien preparado para enfrentarte a una amenaza cibernética con garantías.

Ante este escenario, lo que la normativa exige a las empresas es que alcancen un nivel de resiliencia aceptable. Y eso pasa por implementar (de manera real y efectiva), medidas técnicas y organizativas suficientes y adecuadas que permitan prevenir o, en su defecto, reaccionar ante cualquier tipo de ciberincidente, además de minimizar su impacto.

Así las cosas, las empresas han potenciado la concienciación y formación a sus directivos y empleados, han invertido en tecnología robusta, y han desarrollado políticas y procedimientos que les permitan acreditar su diligencia a la hora de proteger su negocio. Llegados a ese punto, no hay que olvidar que serán esas buenas prácticas las que le permitan a la empresa poder defenderse con argumentos legales, ante cualquier reclamación o propuesta de sanción derivada de un ciberataque.

  1. ¿Cuáles son las principales medidas que, como mínimo, debe implementar una empresa para evitar ciberataques?

Es fundamental que, con carácter previo, las empresas conozcan, de un lado, cuales son las amenazas cibernéticas que pueden afectarlas y la probabilidad de que se produzcan (lo que puede lograrse con un análisis de riesgo apropiado); y, de otro lado, cuál puede ser el máximo impacto que puede provocar un ataque en la propia empresa y en terceros.

Asimismo, debemos tener claro que estas amenazas pueden afectar a uno, o varios, dominios de la seguridad de la información de la compañía, como son la confidencialidad, la integridad y la disponibilidad. Y, además, toda la planificación que se lleve a cabo deberá diferenciar entre medidas preventivas y en reactivas.

Así que, una vez conocidos y valorados los ciberriesgos a los que se enfrenta la empresa, será entonces cuando se puedan implementar las medidas adecuadas a cada caso, y para cada uno de esos dominios (pe., el cifrado es una medida técnica eficaz para proteger la confidencialidad de la información, o la copia de seguridad lo es para la disponibilidad). Todo ello, sin olvidar que, además de la inversión en tecnología, también deben diseñarse estructuras internas, acompañadas de procesos y políticas, que permitan desarrollar una auténtica cultura empresarial de la ciberseguridad.

En definitiva, es fundamental entender que la ciberseguridad es un elemento más de la propia actividad de la empresa, porque es parte integrante de su negocio.

  1. ¿Cuáles pueden ser las consecuencias de no tener implementadas medidas para evitar ciberataques en una empresa?; ¿los llamados ciberseguros son una forma eficaz de reducir esas consecuencias?

Desgraciadamente, la digitalización nos ha expuesto cada vez a más ciberriesgos, y nos hecho más vulnerables a ellos.

Los cibercriminales son perfectamente conscientes de la importancia que tiene la ciberseguridad para las empresas, y por van sofisticando sus métodos. Así, han podido comprobar como, con determinadas técnicas, puede pararse por completo la actividad de un negocio, y se aprovechan de esta vulnerabilidad y dependencia tecnológica de las organizaciones. En este sentido, hay que destacar que muchas pequeñas empresas han tenido que cerrar por culpa de un incidente de seguridad.

Adicionalmente debemos tener en cuanta los riegos sancionadores, que son los que afectan a aquellas empresas que no han aplicado un nivel de diligencia suficiente a la hora de diseñar su ciberseguridad. Esto es, que las empresas ciberatacada, además de sufrir un incidente grave -con pérdidas económicas y reputacionales importantes-, probablemente se vean sancionadas por el regulador, por no haber sabido gestionar adecuadamente esos riesgos y evitar el incidente.

Una buena medida preventiva de gestión de este tipo de amenazas cibernéticas, es la de disponer de una póliza específica que cubra los riesgos de ciberseguridad. De este modo, en caso de sufrir un incidente, podrás recibir ayuda desde la compañía aseguradora con tal de cubrir algunos de los daños que el ciberataque haya podido causar. No obstante, es importante asegurarse de que la cobertura es la adecuada, y tener en cuenta que son pólizas caras, pero -a mi juicio- necesarias.

  1. Debido a la crisis sanitaria mundial provocada por el COVID-19 se ha favorecido el teletrabajo, ¿esto ha supuesto un aumento de los ciberataques a empresas?; ¿se reducirían esos ciberataques si es la empresa la que suministra los equipos informáticos para que sus empleados teletrabajen?

Es cierto que el teletrabajo ha aumentado el número de conexiones en remoto y, por tanto, se incrementa la superficie de exposición de las empresas, lo que provoca un incremento del riesgo de sufrir incidentes.

Mientras el empleado está dentro de lo que denominan “el perímetro de la empresa”, es más fácil proteger las conexiones y los sistemas de la empresa (los expertos usan el símil del castillo). Pero en el momento en que los empleados trabajan desde sus casas, es imposible protegerlo todo, ya que ese perímetro desaparece, y deben rehacer su estrategia por completo, asumiendo que no van a poder evitar todos los ataques, por lo que lo que procede es centrarse en las capacidades de resiliencia, esto es, de recuperación ante un incidente.

Si la empresa facilita herramientas con medidas de seguridad corporativas, se forma a los empleados para su uso correcto y para identificar las amenazas, y existen procedimientos internos conocidos y eficaces, se logra reducir, de manera muy clara, el nivel de riesgo de sufrir un incidente de seguridad. En este caso, la sensibilización primero, y la concienciación después, se han convertido en elementos fundamentales en la lucha contra los incidente de seguridad en general, y los ciberataques en particular.

  1. ¿A qué ámbitos del derecho afecta la ciberseguridad?

A todos ellos, me atrevería a decir. Lo digital y, por ende, la seguridad informática, es un elemento transversal en todas las áreas del derecho, aunque en cada una de ellas prevalece de una manera distinta. Pero en todas es muy importante, bien sea porque puede afectar a derechos y libertades de las personas, bien porque puede haber un regulador con competencias sancionadoras en esta materia.

Cada vez lo vemos más en el ámbito laboral, vinculándolo al control de empleados y uso de recursos tecnológicos; en el penal, con la evolución de los ciberdelitos; en el civil, con las reclamaciones por daños derivados de incidentes informáticos; en el mercantil, con la responsabilidad de los administradores o el tema de los seguros; en el administrativo, por el tema sancionador, principalmente; etc.

  1. Centrándonos en el derecho penal, ¿considera que las conductas típicas reguladas en el Código Penal sobre ciberataques son suficientes o deberían ampliarse?

Esta pregunta es acertada, porque parte de una distinción entre ciberseguridad y ciberdelincuencia, que, aunque en muchas ocasiones se tiende a asimilar, son dos cosas bien distintas, aunque relacionadas.

En este sentido, el código penal ha ido incluyendo nuevos tipos penales que describen aquellas conductas que, por su ejecución en internet o utilizando recursos tecnológicos, pueden afectar a los derechos de los ciudadanos y, a su vez, perjudicar a la sociedad en general. Aunque no sin dificultades.

La inclusión de estos “ciberdelitos” ha supuesto un reto importante en la evolución del Derecho penal, pues debe conjugarse la concreción de las conductas que se consideran penalmente reprochables, con la dificultad de delimitar conductas que, por el medio y la manera en que se realizan, cambian constantemente y no es posible equipararlos a otras conductas similares. Por poner un ejemplo sencillo, cuando el ransomware secuestraba la información y el ciberdelincuente exigía un rescate a cambio de entregar la clave de descifrado, el código penal contemplaba esta situación. Si el delincuente sólo accede a tu dispositivo, no para secuestrar la información, sino para minar criptomonedas (el comúnmente conocido como “cryptojacking”), la actuación cambia, y con ello no es posible aplicar el tipo previsto para el ransomware.

De esto es consciente la Fiscalía y los cuerpos y fuerzas de seguridad del Estado que investigan y persiguen este tipo de delitos, y que se enfrentan a grandes dificultades para hacer su trabajo. A todos nos gustaría que el legislador también tenga esta sensibilidad a la hora de actualizar el catálogo de ciberdelitos.

  1. ¿Qué novedades destacaría de la Directiva NIS 2?

Principalmente, que amplía, de forma considerable, su ámbito subjetivo de aplicación. De manera que a partir de su entrada en vigor serán muchas más las entidades que queden obligadas a cumplir con las exigencias que prevé esta nueva Directiva, y que se supone que actualiza las obligaciones que recogía la Directiva NIS.

Oro aspecto a destacar tiene que ver con la exigencia de control de la cadena de suministro, reforzando la responsabilidad de las empresas de garantizar la correcta ciberseguridad de sus proveedores y terceros.

También supondrá un impulso a los sistemas de certificación, tanto de productos y servicios, como de profesionales, relativos a la seguridad de la información. Es previsible que ello dinamice a la industria de la certificación, y consolide al CISO (o Responsable de Seguridad de la Información, según la terminología empleada por la normativa española) como figura clave en lo que tiene que ver con este asunto dentro de las empresas.

Y, por citar algún otro punto, los CSIRT verán reforzado su papel en todo lo que tiene que ver con los aspectos reactivos de la ciberseguridad: gestión de incidentes, notificación de incidentes, compartición de información, alertas tempranas, etc.

Pero, fuera de ello, no creo que, en lo que se refiere a la obligación para las empresas, de implementar medidas técnicas y organizativas adecuadas, cambie sustancialmente el planteamiento que fijaba la norma original.

  1. ¿Qué cualidades considera que debe reunir un abogado que se dedique al ámbito de la ciberseguridad?

Debe ser, a mi juicio, una persona con experiencia en empresa, con conocimientos técnicos y jurídicos en muchas áreas del derecho, y con conocimientos del funcionamiento de la tecnología. Yo añadiría que, debe tener un alto grado de sensibilidad con todo aquello que se refiere a la seguridad de la información y a los riesgos en general.

Aunque, como todo, debe leer y estudiar mucho, ser capaz de comprender las implicaciones que la ciberseguridad puede tener en el negocio y en la empresa -en todos sus ámbitos-, conocer el procedimiento administrativo y, sobretodo, ser muy curioso y humilde.