Enrique Ávila CNEC: "Es necesario destinar más recursos a la formación en Ciberseguridad"

Enrique Ávila es director del Centro Nacional de Excelencia en Ciberseguridad (CNEC) y jefe del Área de Seguridad de la Guardia Civil. Como profesor del CNEC es uno de los responsables de formar a policias, guardias civiles y militares en la lucha contra el cibercrimen. En una entrevista a Infodefensa.com, Ávila habla en profundidad de las medidas que deberá adoptar España en los próximos años para hacer frente a los riesgos y amenazas procedentes del ciberespacio. Formación, inversión y talento serán claves, pronostica este experto.

¿En qué consiste el trabajo del CNEC?

La dirección estratégica de CNEC está orientada a la formación integral en ciberseguridad, a nivel de máster, de miembros de las Fuerzas y Cuerpos de Seguridad del Estado, del Mando Conjunto de Ciberdefensa y, si en un futuro fuera posible, de la Fiscalía especializada en cibercrimen, así como el Poder Judicial. Ya estamos formando a la segunda cohorte de futuros 'Máster en Evidencias Digitales y lucha contra el Cibercrimen', en un interesante modelo formativo que se apoya en la permanente generación de 'Inteligencia Colectiva' con aportación continua de experiencia práctica. En paralelo y dependiendo de los siempre limitados presupuestos disponibles, intentamos realizar labores de desarrollo de proyectos de investigación en materia de tecnologías orientadas hacia la seguridad interior.

¿Cómo definiría los conceptos de ciberseguridad, ciberdefensa e ciberinteligencia?

A grandes rasgos, la dimensión de Ciberseguridad estaría orientada hacia el aseguramiento de un desarrollo social sostenible y encuadrado por un sistema de cumplimiento normativo hacia el interior de lo que denominamos Estados. El concepto de Ciberdefensa estaría más orientado a la protección hacia el exterior y se dirigiría hacia la protección de un supuesto 'territorio', en un dominio que se caracteriza por su a territorialidad y la de unos 'ciudadanos' que, en puridad, dejan de serlo para convertirse, en cierto modo, en clientes de servicios de todo tipo. Es muy interesante la evolución de estos conceptos porque, de esta misma evolución, habrán de surgir nuevos conceptos y modelos adaptados al dominio del Ciberespacio. La Ciberinteligencia aglutinaría desde el punto de vista de la Seguridad Integral (Estratégica, Económica, Jurídica...) todas las capacidades necesarias para poder disfrutar de una sociedad segura en el sentido clásico occidental al hacer confluir conocimiento pluridisciplinar orientado al mundo de la Seguridad en el Ciberespacio en una única disciplina.

En materia de ciberseguridad, ¿los servicios de las FAS y FCSE están preparados para hacer frente a ciberataques?

Nunca se está lo suficientemente preparado pero se puede operar desde la capacidad de adaptación a un determinado entorno de amenaza, de tal forma que puedas hacer frente con probabilidades de éxito a la misma. En España, estamos en ello. Trabajando duro.

¿Qué medidas se deberían tomar para mejorar seguridad en la red?

Aceptemos la premisa de que el riesgo 0 no existe. Las sociedades que pretenden el riesgo 0, en primer lugar, sacrifican sus libertades y, con posterioridad, se vuelven débiles en el intento de alcanzar un objetivo que es inalcanzable. Dicho esto, las acciones en las que ya se está trabajando, tanto desde el Estado como desde las empresas, son acertadas, en líneas generales. Necesitamos continuar con la inversión en formación de profesionales, en educación desde edades tempranas, en concienciación sobre riesgos y amenazas pero, también, aprovechar las oportunidades que ofrece el Ciberespacio. Es necesario perseverar en las políticas actualmente desarrolladas y dedicar más recursos, si nos referimos específicamente al ámbito de la seguridad interior, a formar a miembros de unidades especializadas.

Hoy en día, ¿cuáles son las principales amenazas procedentes de la red?

Por no extenderme, voy a referirme a las dos que, bajo mi punto de vista, son las más evidentes. Por un lado, nuestra zambullida, sin salvaguardas adecuadas, en el mundo de IoT (Internet de las cosas). Esto ha generado un crecimiento exponencial de nuestro perímetro de exposición en materia de Ciberseguridad. Con dos elementos clave en cuanto a los riesgos: la desprotección evidente de la cadena logística y el uso de software a menudo obsoleto y con graves agujeros de seguridad en todos estos dispositivos de bajo coste. En segundo lugar, el lucrativo negocio del ‘Delito como servicio’. Será (puede que ya lo sea), utilizado en conflictos de índole económica, política y geopolítica, con los riesgos, enormes riesgos de que ello derive en un conflicto generalizado en el que la escala de enfrentamiento pueda llegar a trascender el dominio del ciberespacio.

Las empresas, sobre todo, las pertenecientes a sectores como la defensa o energéticas, se encuentran también en el punto de mira de los ciberataques. ¿En España cómo trabajan las compañías para frenar estos ataques?

Cualquier organización que posea algo de valor es un objetivo de un ciberataque. Nuestra conclusión es que todo tiene valor en un mundo interconectado. Puede ser residual o, peor aún, vehicular con el fin de acceder a mayor valor. Las posibilidades son infinitas. Y, la capacidad del ser humano para atacar supera, ampliamente, nuestras capacidades para idear sistemas de defensa en los que los recursos disponibles, siempre se encuentran mucho más limitados. España ha trabajado muy duro en el diseño y despliegue de una estructura de toma de decisión orientada a la protección frente a este tipo de ataques.

¿Se necesitan más recursos en este campo?

Todos los que se encuentren disponibles, incluidos los referidos al talento. Este campo se ha convertido en estratégico tanto para el Estado como para las corporaciones. Es necesario comenzar a pensar en la detección temprana del talento en edades cada vez más bajas y el reclutamiento del mismo con el fin de que trabajen para nosotros y no para otros que pudiesen ser competidores, adversarios o, incluso, enemigos. Hemos de replantearnos todos los modelos que conocemos. Considero que no hemos de dar nada por supuesto en este dominio y, sobre todo, habremos de ser capaces de detectar, formar, reclutar y mimar el escaso talento de que disponemos en esta materia, no sólo en este país sino con carácter general, sabiendo que los enemigos operarán vendiendo su conocimiento al mejor postor.

Foto: CNEC