Después de más de un año de debate, este miércoles el Parlamento de Cataluña aprobará la creación de la Agencia de Ciberseguretat de Cataluña, un organismo público que sustituirá la Fundación Centro de Seguridad de la Información de Cataluña (CESICAT) que hasta ahora se dedicaba únicamente al fomento de la seguridad en el ámbito de las tecnologías.
El último ataque masivo provocado por el WannaCry ha dejado patentiza la importancia de tener unas medidas que garanticen la seguridad de los ciudadanos y los actores ante las amenazas del crimen a la red. "Estamos ante una realidad que ya no sólo encontramos en forma de estadísticas, sino que está en nuestro día a día", afirma el socio director de Font Abogados, Eloi Font. Y es que después de este ransomware que afectó de forma masiva los sistemas informáticos de varios países, lo siguió el caso de NotPetya , menos mediático pero igual de peligroso.
Hasta ahora el ciudadano poco podía hacer ante estas amenazas. Para Font, el CESICAT tenía unas funciones limitadas y se quedaba "corto" para las necesidades actuales. Por eso, la creación de la nueva agencia tiene que tener una tarea preventiva y defensiva como hasta ahora, pero también tiene que poder "responder los incidentes que se generen y colaborar con la policía y los organismos judiciales para detener los delincuentes implicados". "Se le da más músculo a una entidad pública para afrontar los retos del cibercrim", añade.
A pesar de que en el proyecto de ley no se especifican con exactitud las funciones –el que se irá viendo a medida que se implemente-, sí que se sabe qué puede suponer para la ciudadanía estar bajo el amparo de este organismo.
Formar para prevenir las amenazas digitales
El alcance de actuación de la Agencia de Ciberseguretat irá más allá de Cataluña. La función preventiva se centrará en las empresas y ciudadanos del territorio, pero los ataques surgidos al exterior que tengan algún tipo de afectación al Principado también serán susceptibles de ser investigados. "No puede haber una territorial", considera el abogado, "Internet y la ciberdelinqüència no conocen fronteras físicas y nosotros tampoco se las podemos poner".
"A menudo los ataques vienen por parte de delincuentes que están en el que se conoce como paraísos virtuales"
Las estafas como el phishing o el pharming son, según el especialista, el principal delito en Internet. "Tanto emprendidas como particulares sufren a menudo ataques por parte de delincuentes que están en el que se conoce como paraísos virtuales, es decir, territorios donde no hay demasiado control sobre los servidores", comenta, por el que considera vital poder actuar más allá de las fronteras. Algunos de estos fraudes suponen la pérdida de 200 o 300 euros, pero en otros casos Font asegura que ha llegado a ver a empresas que han acabado casi a las puertas de los números rojos por haber sufrido estafas de más de 500.000 euros.
El problema no se encuentra, pero, en la magnitud de los ataques ni en las habilidades de los delincuentes, sino en las debilidades que tienen las víctimas. No toda la ciudadanía es capaz de identificar mensajes sospechosos, como tampoco tiene los conocimientos esenciales para estar muy protegido. "Muchos de los ataques como el WannaCry surgen por la carencia de actualización de los sistemas operativos", señala Font. De aquí que una de los principales trabajos de la entidad sea hacer pedagogía sobre la importancia de proteger los dispositivos tecnológicos o hacer un uso racional porque si la gente es consciente de los riesgos que todo esto comporta, "sabrá poner sus propios mecanismos para minimizar el riesgo".
Un golpe de mano para la pyme
Que las empresas tendrían que tener profesionales especializados en ciberseguretat es una afirmación cada vez más habitual y que Font también defiende. Ahora bien, reconoce que gran parte del tejido catalán está representado por pymes, las cuales pueden no tener la formación, los mecanismos o los recursos necesarios para disponer de este equipo experto en la materia.
En este sentido, considera que la agencia ayudará a difundir y concienciar de la importancia de tener cubiertos los riesgos que se derivan de la digitalización y que obligará las empresas tarde o temprano a dar el paso. Las que tengan menos recursos, mediante la función pedagógica del organismo, contarán ya con las primeras indicaciones y conocimientos para reforzar su guardarraíl interno a través de la actualización de equipos y detección de lugares fraudulentos.
Hay alguna contrapartida?
La creación de entidades públicas para combatir el cibercrim es una reacción habitual en los países desarrollados. El Instituto Nacional de Ciberseguretat es el encargado de velar por los ciudadanos en España, que ocupa la tercera posición del ranking de países más atacados del mundo.
Esto es causa, en opinión de Font, de la ratio de dispositivos electrónicos por población al Estado español –"más elevada que en otros países del entorno"- y a la falta de formación a la hora de ser cuidadosos y tener sistemas de control y seguridad. "Confío que la agencia sirva para hacer valer la necesidad de implementar medidas de defensa", apunta.
Pero toda vigilancia y defensa tiene una contrapartida, o esto puede parecer. Respete esta duda, el abogado afirma que inicialmente no tiene que suponer que ningún usuario se vea en la obligación de ceder más datos. "Las tareas de la agencia son defender los ciudadanos ante posibles ataques, pero no lo es investigar sus dispositivos si no son responsables de un ciberatac", comenta.
"La seguridad quiere decir estar controlados y, por lo tanto, tenemos que aprender a renunciar aparte de nuestra privacitat"
Aún así, también reconoce que esta es la "versión oficial" y que, a la práctica, todo incremento del control acostumbra a ir acompañado de más vigilancia. "Al final la seguridad quiere decir esto, quiere decir estar controlados y, por lo tanto, tenemos que aprender a renunciar aparte de nuestra privacitat", puntualiza.