Félix Barrio (Incibe): “Los ciberataques a la red sanitaria se han disparado en los últimos dos años y van a seguir creciendo”

Con 8 meses a la espalda como directivo general del Instituto Nacional de Ciberseguridad (Incibe), Félix Barrio (cincuenta años, Ponferrada, León) asistió el mes pasado de febrero a su primer Mobile World Congress (MWC) ocupando este cargo. “Nuestro mayor objetivo ahora mismo es preparar la presidencia española de la Unión Europea (en el segundo semestre de este año) y hacer del 017, el teléfono de ayuda en ciberseguridad, una iniciativa de dimensión europea”, asegura solamente comenzar esta entrevista, festejada en una pequeña sala de juntas del pabellón de España en el MWC de Barcelona.

Barrio, ingeniero de software y sistemas y doctor por la Universidad de Salamanca, se aleja de ser un recién llegado: han pasado dieciseis años desde el instante en que comenzó sus pasos en el Incibe como gerente. De su predecesora en la dirección, Rosa Díaz, ha heredado este diecisiete, puesto en marcha en dos mil veinte y una de las insignias que luce con más orgullo la entidad, mas asimismo el inconveniente creciente del phishing y el reto de mentalizar a los ciudadanos y a las compañías de la necesidad de prevenir y resguardarse frente a las amenazas en la red, que no hacen más que multiplicarse.

Esta entrevista se generó antes que se generara el ciberataque al Hospital Clínic de Barcelona que dañó gravemente el funcionamiento del centro. Las dos primeras preguntas que prosiguen las respondió Barrio por escrito tras la entrevista presencial, para aportar más información sobre ese ataque.

Pregunta. El ciberataque que ha sufrido el Hospital Clínic de Barcelona ha puesto de manifiesto que los centros sanitarios asimismo son objetivo de los ciberdelincuentes. ¿De qué manera ha podido acontecer esto y qué solución tiene?

Respuesta. Los ciberataques a la red sanitaria se han disparado en los últimos un par de años. Es uno de los campos preferidos por las organizaciones delincuentes para expoliarles y que procuren recobrar el control de sus sistemas informáticos a la mayor brevedad para eludir daños a la salud de las personas. Se aprovechan del desarrollo mareante del número de dispositivos que existen en estos centros sanitarios y que están conectados a internet. El creciente número de tecnologías conectadas, que caracterizan al internet de las cosas, lleva asociadas muchas vulnerabilidades desde la perspectiva de la ciberseguridad y requieren una preparación técnica para eludir que sean una vía de entrada de los atacantes. La cadena de suministro es otro vector de ataque, ya que la existencia de múltiples distribuidores hace que la infección de los sistemas sanitarios pueda acontecer con motivo de que una compañía o profesional que presta sus servicios externamente carezca de una preparación suficiente en ciberseguridad. La previsión es que los ataques a la red sanitaria prosigan medrando.

P. Entonces, ¿puede acontecer nuevamente lo que le ha sucedido al Clínic? ¿De qué manera se puede resguardar la sanidad para evitarlo?

R. El modo de conseguir una incidencia menor de los ciberataques es invertir en concienciación, capacitación y prevención de los profesionales, desarrollar herramientas concretas para la seguridad de los sistemas sanitarios y efectuar ciberejercicios que prueben la resiliencia y la continuidad de negocio de estas organizaciones, de modo sistemático. Incibe ha creado este mes de marzo un departamento de ciberseguridad para el campo de la salud privado, al paso que la sanidad pública depende de la otra agencia nacional, el Centro Criptológico Nacional.

P. Sobre el nuevo teléfono diecisiete de ayuda en ciberseguridad, ¿estima que los ciudadanos lo conocen y recurren a él cuando la situación lo requiere? ¿De qué manera es el cómputo que hace tras los 3 años que lleva en funcionamiento?

R. Según una investigación que hemos hecho, el cincuenta y cinco% de los españoles tiene identificado el servicio y al Incibe. Hemos hecho unas campañas de concienciación fundamentales y, además de esto, se ha producido un cambio: al comienzo, el ochenta% de las llamadas eran de personas que habían sido víctimas de un ciberataque, de una infección o de un fraude, y ya el cincuenta% de las llamadas son de prevención. La gente llama para consultar de qué forma configurar el control parental de los pequeños o de qué forma resguardarse si le llega algún género de mensaje sospechoso. Eso prueba que el usuario lo está asumiendo como un servicio al que puede asistir periódicamente y no solo cuando ya ha tenido un inconveniente. Tenemos unas seis mil llamadas al mes.

El diecisiete, el teléfono de ayuda en ciberseguridad, recibe unas seis mil llamadas al mes

P. Lleva muchos años en el Incibe , mas desde la dirección va a haber podido revisar mejor cuáles son las amenazas a las que se encaran los ciudadanos y las compañías. ¿Es el phishing el enorme oponente o qué otros riesgos le preocupan?

R. El phishing es la vía por la que los ciberatacantes comprometen a los usuarios, consiguiendo sus claves de acceso, por poner un ejemplo, para entonces emplearlas con diferentes propósitos. La mayor peste digital que vivimos es la de las infecciones de dispositivos tipo ransomware y el fraude en línea, el fraude bancario, que se aprovecha de los datos que consiguen con el phishing. Esto se acentúa con los menores, con las personas muy mayores y con las pequeñas y medianas empresas. Estamos fortaleciendo la inversión a fin de que nuestra industria de ciberseguridad, los que proveen de esas soluciones que instalamos en nuestros teléfonos, tabletas y ordenadores, sean las más avanzadas y seguras. Y esa es la mayor apuesta a que tenemos ya desde el Gobierno de España. Solamente Incibe va a superar los seiscientos millones de euros de inversión hasta el dos mil veintiseis para fortalecer todo el mercado de soluciones de ciberseguridad para los ciudadanos.

P. Y este año su presupuesto es de ciento cincuenta millones.

R. Estamos invirtiendo unos ciento cincuenta millones al año entre fondos de Next Generation (de la Unión Europea) y fondos propios, y eso nos está dejando destinarlo a la investigación y al desarrollo. Acabamos de entregar una primera tanda de ciento treinta y siete millones de euros a noventa y seis proyectos dirigidos por Pymes españolas que están desarrollando soluciones de ciberseguridad para los ciudadanos. Y eso nos va a permitir lograr algo muy importante: la soberanía digital, que tengamos productos alternativos a otros que vienen de otros países a fin de que los usuarios cada vez tengan más opciones y no dependamos de caídas de servicio por la parte de terceros.

P. Hemos hablado de amenazas, mas ¿qué fortalezas tiene España en el campo de la ciberseguridad?

R. El diecisiete es un servicio vanguardista a nivel del mundo, mas, además de esto, España es el segundo país en centros de contestación de ciberseguridad (CERTS), tras EE UU. Según Naciones Unidas, este país es el cuarto con mejor nivel de capacidades de ciberseguridad para la sociedad y la economía. Por lo tanto, estamos probando que hemos crecido mucho en la última década.

P. Sin embargo, conforme ciertos analistas, España es de los países que más ciberataques y phishing reciben. ¿A qué se debe?

R. Somos el centro de referencia en nuevas tecnologías para el planeta de habla hispana, una comunidad hispanohablante que hace que los ciberdelincuentes procuren de forma sistemática aprovecharse y en ocasiones hallen en España un sitio de preferencia en sus ciberataques. Lo sabemos, mas es una parte de ese liderazgo. En ocasiones no somos siendo conscientes de la relevancia que, desde el punto de vista cultural en el planeta digital, tiene lo de España para el planeta.

Según Naciones Unidas, este país es el cuarto con mejor nivel de capacidades de ciberseguridad para la sociedad y la economía

P. ¿Podría deberse asimismo a que las compañías españolas, sobre todo pequeñas y medianas empresas, aún no tengan el nivel de concienciación suficiente para resguardarse y para prevenir los ataques?

R. No lo creo. Hace apenas un par de semanas, Italia lanzó una alarma de una avalancha de ataques que aprovechaba la vulnerabilidad de una aplicación. Hicimos un seguimiento y los sistemas españoles que verdaderamente fueron atacados no llegaban al tres%. Yo creo que tenemos un buen nivel de preparación, si bien obviamente los ciberatacantes están siempre y en toda circunstancia creando y hay que esmerarse. Es fundamental que sigamos con la concienciación, no conformarnos.

P. En lo que se refiere al 5G, España prosigue la tendencia de EE UU de vedar a empresas chinas, o cuando menos de intentar no dejar en sus manos el despliegue por cuestiones de seguridad. ¿De qué manera se trabaja en eso y de qué forma va a proseguir el despliegue, sobre todo de cara al 6G, del que ya se habla en el campo?

R. Se está regulando desde la UE para establecer unas bases del juego que dejen supervisar bajo sus reglas, mas asimismo trabajamos desde la perspectiva de la autorregulación. En el Incibe estamos desarrollando un laboratorio de 5G que nos deje actuar como entidad de certificación, que asista a las compañías que fabrican y distribuyen sistemas de 5G y que dé calma al usuario; que podamos, de alguna forma, revisar que lo que llegará a los domicilios y a las compañías es algo seguro. No hay una tecnología propiedad de una sola marca, nos hallamos ambientes en los que puedes tener diez, veinte o treinta fabricantes diferentes de diferentes nacionalidades; lo más esencial es que tengamos sistemas de evaluación tecnológica que nos aseguren que esa tecnología no tiene peligros. La tecnología no es mala por sí sola, lo esencial es asegurarnos de que es transparente y responde a lo que se quiere.

P. Ya que mienta la legislación, ¿estima que es más simple conseguir un acuerdo político en materia de ciberseguridad?

R. Yo creo que sí. La ciberseguridad es algo en lo que cualquier gobierno de cualquier país de las democracias modernas occidentales estará conforme en los principios básicos, si bien podemos disentir en si los países tienen una regulación aproximadamente estricta. La UE es tal vez el campo más exigente pues hay algo irrenunciable: la protección de los derechos de los ciudadanos, la privacidad, la protección de los datos personales…

Puedes continuar a EL PAÍS Tecnología en Facebook y Twitter o apuntarte acá para percibir nuestra newsletter semanal.