España se juega buena parte de su seguridad, y también de su soberanía, en el mundo virtual. Javier Candau, máximo responsable del CCN, analiza en esta entrevista la compleja situación en la que nos encontramos. -¿Se mantiene la tendencia al alza de los ciberataques críticos de los últimos años? -Sí, se sigue manteniendo. Para nosotros la prioridad son los ataques de Estado, como el ciberespionaje, y ahí vemos un crecimiento continuo. También hemos visto un crecimiento importante del cibercrimen, sobre todo en lo que tiene que ver con el compromiso de datos y el 'ransomware', aunque esto tuvo su punto álgido en 2021, 2022. Ahora está un poco más estabilizado, pero porque los organismos públicos y las empresas han aplicado importantes medidas de protección. Y luego también hay grupos asociados al 'hacktivismo', como 'Anonymous' o 'Noname056', que realizan ataques constantes a las instituciones. -¿De cuántos incidentes críticos estamos hablando en 2025? -Llegaremos probablemente a los 300 a final de año, pero de momento llevamos 278. En 2024 hubo 100, así que se ha triplicado el número. Para ser más precisos diré que de ciberespionaje se produjeron 128 casos, mientras que los de cibercrimen llegaron a 155. En cuanto a los incidentes de 'hacktivismo', alcanzaron 331 en este periodo de tiempo, la mayoría de ellos, 283, de denegación de servicios. No obstante, hay muchos casos que calificamos de críticos por su peligrosidad pero que hemos podido parar a tiempo y no han provocado impacto alguno. En otros, sin embargo, sí lo ha habido. -¿De cuántos incidentes con impacto hablamos? -Bueno, ha subido la cifra; estaremos en el entorno de 150. Y es verdad que hemos tenido un montón de ataques de actores Estado que tenían una intención clara de penetrar en nuestras redes y extraer información de ellas, lo que para nosotros es muy preocupante. ¿Los autores? Los habituales. Seguimos teniendo un un elevado número de incidentes con origen en Rusia y China, pero hay otros actores, como Corea del Norte, y potencialmente también Irán e India. Y hay otros cuya autoría desconocemos. -¿Dónde está el mayor riesgo para nuestra ciberseguridad? -No quiero transmitirlo como una amenaza, porque es consecuencia de una evolución. Tras la pandemia nos hemos transformado digitalmente de una manera acelerada. Antes, en 2019, el acceso remoto era algo que casi nadie utilizaba y que estaba muy bien diseñado. Pero el año siguiente, por fuerza, todos utilizamos esa modalidad. Eso, y la propia transformación digital que lidera el Gobierno para intentar que todos sus servicios al ciudadano sean digitales, más las empresas que ven muchísimo negocio porque hacer cualquier trámite en digital va a ser siempre mucho más barato y eficiente que hacerlo que hacerlo en presencial, provoca unos cambios galopantes. Ahora el teléfono móvil es el centro de relación entre el ciudadano y las administraciones o las empresas, con lo cual las defensas tradicionales se han diluido. Eso hace que el atacante tenga muchas más posibilidades. -En definitiva, por tanto, lo que hay es una gran descentralización de las conexiones... -Así es; todo lo anterior se traduce en que estamos muy descentralizados, pero también muy interconectados. Y cuando estás muy interconectado, la seguridad de una empresa proveedora más pequeña afecta a tu seguridad. Eso es lo que desde hace cinco años están aprovechando los atacantes, esa súper interconexión que hay entre todos los organismos y empresas. El modelo que ahora mismo les es más rentable es el de suplantación del usuario. Suplantan a un usuario legítimo, le roban sus credenciales, porque muchas veces no utilizamos, o no tenemos, un ordenador o móvil corporativo, sino que son personales. Te roban estas credenciales y entran en las organizaciones como si fuera ese usuario y de ahí empiezan a pivotar, a intentar hacer movimientos laterales para entrar la organización y extraer la información que les interesa. -Por tanto, entran por el escalón más bajo, pero esa interconectividad les permite luego moverse de un lado a otro. -Siempre pongo el ejemplo de un ayuntamiento, que tiene una policía local que para trabajar necesita consultar la base de datos de la DGT. Esa habilitación de la interconexión, si no se toman las medidas oportunas, puede permitir al atacante hacer esos movimientos laterales. Hablo de la DGT como hablo de otros organismos que dan servicio, ya sea el INE, la Agencia Tributaria o la misma interconexión del Consejo General del Poder Judicial con empresas y organismos públicos cuando se requieren datos para causas judiciales. Ya tuvimos en 2022 el incidente con el Punto Neutro Judicial... -Esa fue la forma de actuar de 'Alcassec', ¿no? -Sí; Ahora mismo seguimos aplicando el concepto de confianza completa entre administraciones. Cuando una administración pide información a otra, esta le cede los datos, claro; pero tenemos que ir a una aproximación de confianza cero, tenemos que verificar mucho más las consultas que se realizan. Pero eso no son desarrollos triviales, requieren mucho reposo y mucha madurez, porque al final estamos acostumbrados y queremos que las respuestas sean rápidas. Sobre una vulnerabilidad base, que es estar descentralizados, pero interconectados, han encontrado un modelo de ataque de éxito, que es suplantar a usuarios y pivotar. Hemos tenido ataques que han seguido este modelo, que nosotros llamamos cibercrimen nacional, con actores como 'Alcassec'. Hay otros en nuestro país que están intentando imitarle. Es decir, el efecto llamada les ha funcionado porque han ganado mucho dinero, muy rápido y prácticamente sin consecuencias y sin penas. -El presidente del Gobierno ha anunciado la creación del Centro de Nacional de Ciberseguridad. ¿Qué funciones va a tener? -Bueno, esto es consecuencia del nuevo modelo de gobernanza al que nos obliga la directiva de seguridad en redes de la Unión Europea, la famosa NIS 2.0 que obliga a los países, entre otras cosas, a tener un punto único de relación con Europa. Va a ser un centro estratégico de poco tamaño, formado por unas 30 o 40 personas, que en un principio va a actuar de interlocutor con nuestros socios europeos y realizará además una coordinación estratégica. Ojalá que también nos traiga fondos. Pero responde más a un requerimiento de la Unión Europea que a una reestructuración de la gobernanza nacional. Otros países han apostado por la creación de una agencia única, pero que España tenga tres autoridades de control, en Transformación Digital, Interior y Defensa, no es una debilidad, aunque los procesos de decisión puedan ser más lentos. -¿Cómo influye la inteligencia artificial en la ciberseguridad? -La inteligencia artificial es lo que está ahora de moda; la metemos en todas las cosas y vemos que los atacantes están haciendo un uso masivo de ella. ¿Qué hacen con esta herramienta? Aparte de que tienen más capacidad de engañar al usuario, porque ahora es incapaz de detectar errores en ese correo electrónico que recibe, cuando el atacante entra en la red la inteligencia artificial le ayuda a progresar y pivotar mucho más rápido. En 2021 veíamos que los atacantes, cuando entraban en las organizaciones, tardaban entre 10 y 15 días en conocer dónde estaba la información. Ahora 24-48 horas. Así que nuestros defensores tienen que ser mucho más rápidos y más eficientes. Pero nosotros también podemos usar la inteligencia artificial. Ahora la metemos en todas las herramientas defensivas para que el operador no dedique la mayor parte de su tiempo a incidentes de bajo nivel, sino al 10 por ciento importante. Porque la inteligencia artificial ahí no nos va a ayudar, pero tampoco va a ayudar a los atacantes; va a ser talento defensivo contra talento ofensivo. También trabajamos en inteligencias artificiales contra inteligencias artificiales, pero nunca hay que olvidar que el ser humano es el que innova. La inteligencia artificial con muchos datos va a ser mucho más rápido que tú, pero ante retos nuevos no ha tenido casos para aprender. Ahora, cuando tengamos un reto nuevo y se haya repetido dos veces, ya vamos a tener enseñada la inteligencia artificial.
