Entrevista a Antonio Fernández Ruiz

La transformación digital constituye hoy en día pieza clave para que el necesario proceso de evolución, adaptación, modernización e innovación en el seno de las Administraciones Publicas, acorde a las demandas que exigen los ciudadanos y que impone inexorablemente la realidad y en el entorno, pero a su vez se hace imprescindible que ello se lleve a cabo en un marco de seguridad, ya que de lo contrario el riesgo y los perjuicios ocasionados, de consecuencias a veces incalculables e incluso irreversibles, no compensarían el cambio. ¿Como definirías pues la ciberseguridad y que conceptos se hallan vinculados a la misma? ¿Cuál es su marco jurídico?

La transición del papel a sistemas y herramientas digitales, así como la automatización de determinadas tareas que tradicionalmente se realizaban de forma manual, conlleva el uso de la informática, e implícito a la utilización de esta surge el concepto de la seguridad informática, también denominada ciberseguridad. Se trata de un término que hasta hace poco tiempo era casi desconocido e infravalorado por muchas personas. Sin embargo, poco a poco ha ido adquiriendo la importancia que merece, aunque esto no ha ocurrido solo por buenas causas, sino que han sido multitud de empresas y administraciones públicas, algunas tan relevantes como la propio Telefónica, el SEPE o el ayuntamiento de Sevilla, las que nos han brindado titulares en la prensa sobre ciberataques a las mismas.

La ciberseguridad constituye todas aquellas herramientas y recursos que nos pueden ayudar a la protección de sistemas, redes, dispositivos y datos contra ataques, daños o accesos no autorizados. Para ello, es necesario establecer una serie de medidas técnicas, procedimientos y políticas diseñadas para garantizar la confidencialidad, integridad y disponibilidad de la información en entornos digitales. Se trata de un campo que se encuentra en una continua evolución, debido al aumento de las ciberamenazas, por lo que la actualización constante de prácticas y tecnologías es fundamental para la protección de la información.

Como se reiteró durante el desarrollo del taller de ciberseguridad en las entidades locales, la seguridad informática absoluta no existe, pero debemos tratar de poner el listón bien alto para llegar al máximo posible. En la seguridad informática intervienen tres elementos fundamentales: el software, el hardware y los usuarios. Es cierto que el hardware podría ser vulnerable, o que un programa podría estar mal desarrollado y permitir un comportamiento no deseado en el sistema, por ejemplo, una escalada de privilegios. Sin embargo, el elemento crítico y más vulnerable es indudablemente el usuario, esa persona que, en su puesto de trabajo, utiliza todos los días el sistema y cuyas acciones y prevenciones resultan determinantes para evitar que se pueda producir un ciberataque.

En cuanto al marco jurídico que regula la seguridad informática, es cierto que es algo que se ha desarrollado mucho en los últimos años. Tiempo atrás solo disponíamos de algunas regulaciones básicas, pero que sirvieron como punto de partida para el posterior desarrollo normativo, como la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE) o la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Desde mi punto de vista, el punto más importante de madurez se alcanzó en el año 2010, con la entrada en vigor del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (Real Decreto 3/2010, de 8 de enero), actualizado recientemente. El ENS nos provee de un conjunto de medidas, principios, requisitos y políticas que establece un marco común para garantizar la seguridad de la información en el ámbito de la Administración Pública.

Por supuesto, también debemos destacar las Leyes 39/2015 y 40/2015, que ya contemplan el desarrollo íntegro de los procedimientos administrativos a través de medios electrónicos. También debemos mencionar Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que regula el tratamiento de datos personales y establece medidas de seguridad para proteger la información en entornos digitales.

Por último, y ya en un escalón superior, disponemos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, más conocido como el Reglamento General de Protección de Datos (RGPD). Se trata de una regulación de la Unión Europea que, por tanto, es aplicable en España, y en la que se establecen los estándares para el tratamiento de los datos personales y la seguridad de la información.

Los ataques de los ciberdelincuentes a las Administraciones Públicas en general, incluidas las Locales, son constantes e incluso van creciendo cada vez más. ¿A qué se debe que se esté incrementando cada vez la agresión en este sector? ¿Cuáles son los ataques informáticos más significativos que pueden afectar a las entidades Locales?

Desde mi punto de vista, creo que hay muchos factores que contribuyen al auge de los ataques informáticos contra las administraciones públicas. Sin ir más lejos, ya hemos hablado de uno de ellos en la pregunta anterior: la transformación digital, que hace que las administraciones se vuelvan más susceptibles de sufrir ciberataques, ya que estas disponen cada vez de más cantidad de datos y de servicios en línea, lo que amplía la posibilidad de se encuentren vulnerabilidades. Asimismo, cada vez hay una mayor interconexión de redes y de sistemas en las administraciones, y la infraestructura suele ser muy compleja, lo que puede dificultar la detección y protección contra posibles ataques.

Otro factor que ya indicamos en el taller de ciberseguridad es que la administración pública puede resultar muy atractiva para los ciberdelincuentes, ya que en sus sistemas se suele almacenar grandes cantidades de información sensible y datos personales de los ciudadanos, por lo que la “recompensa” en caso de éxito puede ser muy valiosa.

Asimismo, hay muchas administraciones, especialmente entidades locales, como pequeños ayuntamientos, que pueden tener limitaciones de recursos, tanto económicos como de personal especializado en ciberseguridad, lo que dificulta la implementación de medidas robustas de protección.

Otro factor determinante es el desarrollo cada vez mayor de las herramientas de ataque, que será aún mayor en los próximos años, debido al auge de la inteligencia artificial. Por supuesto, no podemos olvidarnos de los factores humanos. Como ya hemos dicho, el usuario es el elemento más vulnerable en la ciberseguridad. La falta de concienciación por parte de los empleados y de la inversión en formación de las administraciones públicas propicia que los ataques de ingeniería social, como el phishing, sean muy frecuentes en casi todas las administraciones públicas.

Los ataques más temidos por cualquier responsable de sistemas que trabaje en una administración pública son los del tipo ransomware (cifran la información). Este tipo de ataques pueden conllevar la pérdida de la información, que es el activo más valioso que existe en un sistema de información. Además, aún pagando por la herramienta de descifrado, no existe ninguna garantía que se vaya a obtener o de que esta funcione correctamente. La recomendación general es no pagar nunca, pero claro, lo único que podría ayudarnos en estas situaciones sería contar con copias de seguridad de toda la información perdida, algo de lo que no siempre se dispone. Las copias de seguridad son imprescindibles, son nuestro “seguro de vida”. Aunque parezca algo muy evidente, hay que hacerlas antes de que sea demasiado tarde.

Por otra parte, el teletrabajo, desarrollado exponencialmente tras el COVID-19, aunque incorpora importantes beneficios en el desempeño de los puestos de trabajo en el sector público y por lo tanto también local, si es cierto que desde el punto de vista de la seguridad informática abre una puerta significativa al mundo de la ciberdelincuencia. ¿Como se puede proteger el empleado público en esta forma de trabajo, que ha venido para quedarse en el seno de las Administraciones Públicas? ¿cómo debe actuar el empleado público en el supuesto de que el ciberataque ya se haya producido?

La pandemia de COVID-19 ha cambiado considerablemente las vidas de muchas personas, y también la forma en la que trabajamos. El teletrabajo tiene muchos aspectos positivos, pero también conlleva unos riesgos que no debemos obviar. Debemos tener en cuenta que, al teletrabajar, estamos vinculando en cierto modo nuestros dispositivos personales, como ordenadores, tablets, móviles… a nuestros dispositivos laborales, por lo que las vías de ataque y los riesgos son mayores.

El primer aspecto que deberíamos plantearnos en estos casos es el relativo a la formación de los empleados públicos en cuestiones de ciberseguridad, ya que estos deben disponer de algunos conocimientos básicos que les permitan identificar amenazas como el phishing, software malicioso, o saber cómo crear contraseñas seguras.

Por supuesto, las conexiones remotas para teletrabajar siempre deberían realizarse a través de redes privadas virtuales (VPN), ya que esta tecnología añade una capa de seguridad extra, puesto que toda la información que se transmite a través de las mismas se encuentra encriptada, lo que ayuda a proteger la información sensible.

Muy importante es también disponer de herramientas de seguridad, como antivirus y cortafuegos, así como de instalar siempre las últimas actualizaciones de seguridad y parches de software, tanto en los dispositivos domésticos como en los del entorno laboral.

En lo relativo a la identificación en sistemas y aplicaciones, deberíamos utilizar, siempre y cuando fuera posible, mecanismos de autenticación de dos factores o sistemas de acceso seguro para garantizar que solo los empleados autorizados puedan acceder a los sistemas y datos sensibles.

Las administraciones públicas deben contar con políticas de seguridad en las que se establezcan directrices claras sobre el uso de dispositivos personales para el trabajo, el almacenamiento de datos, el acceso a redes públicas y la gestión de contraseñas, así como el protocolo de actuación en caso de ciberataque.

Por último, pero no por ello menos importante, se debe garantizar la protección de la privacidad. Para ello, hay que asegurarse de que los empleados públicos puedan trabajar en entornos seguros y privados, garantizando la confidencialidad de la información y respetando la privacidad personal.

En cualquier caso, lo cierto es que la seguridad informática se hace imprescindible y cada vez más y hay que ir adoptando nuevas y modernas medidas de protección y defensa, tanto cuando desempeñamos un puesto de trabajo en el sector público como cuando estemos fuera de nuestro puesto de trabajo. ¿Cuáles son actualmente las medidas más efectivas y eficaces? ¿Cómo visualizas la ciberseguridad del futuro frente a los ciberataques?

Pues básicamente todo lo comentado con anterioridad: la concienciación y formación de los usuarios en lo relativo a la seguridad informática, la utilización de herramientas de seguridad como antivirus y cortafuegos, la utilización de contraseñas seguras, la actualización constante de las aplicaciones y sistemas, la encriptación de la información sensible, la utilización de autenticación de dos factores siempre y cuando sea posible, la correcta gestión de los privilegios de acceso de los usuarios a los recursos, la realización frecuente y adecuada de copias de seguridad, etc.

Un hecho que no hemos comentado hasta ahora y que resulta adecuado destacar es que en las administraciones públicas, tal y como se recomienda en el Esquema Nacional de Seguridad, resulta muy conveniente realizar auditorías de seguridad informática periódicamente, para identificar vulnerabilidades y riesgos potenciales, y tomar medidas correctivas.

Respecto a la otra pregunta, yo creo que el principal cambio que vamos a ver a corto plazo en la ciberseguridad va a ser la sofisticación de los ataques, ya sean de ingeniería social o de otros tipos. La inteligencia artificial va a jugar un papel muy importante en los ataques de ingeniería social, ya que hará que estos resulten mucho más difíciles de identificar, pero también tenemos que ver el otro lado de la balanza, y es que la inteligencia artificial también se podría aplicar a las herramientas de detección y prevención. Quién sabe lo que tendremos en el futuro, pero quizás tengamos herramientas realmente eficaces contra la detección de este tipo de ataques, algo que hoy en día nos resulta complicado incluso a las personas.

Por último y agradeciendo tu colaboración, en dar a conocer un poco más esta materia de transcendental importancia para las Administraciones Públicas y en concreto para las Entidades Locales, nos gustaría que nos dieses tu opinión sobre las actividades que en esta materia, ciberseguridad, realiza el CEMCI y su papel en apoyo de las Entidades Locales. Muchas gracias.

Pues me parece muy interesante el hecho de que el CEMCI haya realizado ya dos ediciones de este taller de ciberseguridad en las entidades locales, pues es cierto que la mayor parte de sus actividades formativas tradicionalmente han estado orientadas a otros perfiles de alumnos. Es cierto que el curso puede enfocarse desde un punto de vista mucho más técnico, pero la idea, tanto del otro docente y compañero, Juan González Perea, responsable de Sistemas y Seguridad Informática del Servicio Provincial Tributario de la Diputación de Granada, como la mía propia, es justo la contraria: hacer este taller asequible y, especialmente, útil para todas aquellas personas que trabajan en la administración pública y que, día tras día, tienen que enfrentarse a un mundo que no conocen bien y que puede ser muy peligroso.

Espero que la actividad haya resultado adecuada y que todo lo aprendido pueda ser aplicado para prevenir y mejorar la seguridad informática en las entidades de nuestros alumnos.

Muchas gracias al CEMCI por contar conmigo, ha sido un verdadero placer, y espero que sean muchas más las ediciones que hagamos de este taller.