L’Estat desconeix quants ciberatacs diaris rep Espanya
Els experts consultats per les Corts adverteixen sobre la dispersió de la ciberdefensa en agències dependents de diferents organismes
"Més enllà de l’increment quantitatiu i qualitatiu de les amenaces en el ciberespai, persisteixen bretxes estructurals que limiten la capacitat de resposta de l’Estat, del sector privat i del conjunt de la societat", diagnostiquen els diputats i senadors de la Comissió Mixta de Seguretat Nacional. Aquesta bretxa és tal que "actualment no existeix un sistema que permeti conèixer amb precisió el nombre total de ciberincidents que es produeixen diàriament a Espanya", asseveren, reiterant un cop més que no hi ha a Espanya "un registre centralitzat de ciberincidents".
En l’informe de la Ponència d’Anàlisi de les Amenaces en el Ciberespai, a què ha pogut tenir accés aquest diari, els membres d’aquesta comissió mixta assenyalen la dispersió d’organismes dedicats a la ciberseguretat d’Espanya, al seu torn dependents de ministeris diversos, com un flanc feble precisament en el que Defensa identifica com a període molt intens de ciberatacs a Europa. És, de fet, una de les principals advertències que fa l’esborrany de la ponència, sobre el qual dimarts passat es va debatre en la comissió. Els seus integrants arriben a aquesta conclusió després d’escoltar l’opinió de 22 experts d’alt nivell que han anat compareixent des del novembre del 2024 en sessions, algunes d’elles, a porta tancada. Entre ells, el vicealmirall Javier Roca, cap del Comandament Conjunt del Ciberespai de les Forces Armades, la general Loreto Gutiérrez, directora del Departament de Seguretat Nacional, o la fiscal coordinadora contra la Criminalitat Informàtica María Elvira Tejada.
Alentir l’acció
Alguns compareixents davant la Comissió Mixta també han advertit altrament: voler solucionar el problema de la dispersió recentralitzant en excés podria "alentir l’acció operativa", o sigui, la resposta espanyola davant els ciberatacs.
La "fragmentació institucional" és, segons assenyala l’informe, "una de les debilitats més recurrents identificades". Es recull així després que diversos compareixents hagin assenyalat que l’"ecosistema espanyol de ciberseguretat" compta amb una varietat d’organismes "amb competències concurrents". En la llista inclouen el Centre Criptològic Nacional (dependent del CNI) coexistint amb INCIBE, i unitats de ciberdefensa de les Forces Armades, la Policia, la Guàrdia Civil i policies autonòmiques. Això "dificulta una visió integrada del risc".
La dispersió de la lluita contra els atacs informàtics és tal que la informació sobre ciberatacs i la seva gravetat "continua sent parcial i dispersa", diu l’informe en el seu capítol dedicat a bretxes i vulnerabilitats estructurals.
Entre aquestes bretxes, l’informe recull la "creixent fragmentació tecnològica derivada de la incorporació accelerada i poc integrada de nous sistemes". I, empitjorant encara més, "un dèficit significatiu de sobirania tecnològica". En la dependència espanyola en matèria de "tecnologies crítiques", els autors assenyalen per aquest ordre els EUA, Israel i la Xina. Dependre tant de la tecnologia d’aquests països és "un factor de vulnerabilitat estratègica" quan el ciberespai és utilitzat "com a domini de confrontació" pels diferents Estats.
Notícies relacionadesEls parlamentaris han sigut advertits per alguns dels compareixents que la "dependència de proveïdors considerats d’alt risc pot generar vulnerabilitats rellevants des del punt de vista de la seguretat nacional". Quins d’aquests proveïdors són d’alt risc i quins no és motiu de discrepància entre els partits. Aquests riscos pendolen, segons l’informe, sobre el control de dades de ciutadans, institucions i empreses, i en el control d’infraestructures essencials d’Espanya.
En part, la dependència s’explica per falta (quantitativa) de talent. O sigui, no abunden els experts en Espanya; no operen en prou nombre per arribar a cobrir la demanda. L’informe recull una dada cridanera aportada per la multinacional Cisco: el 74% de les empreses assenyala l’escassetat de professionals com el seu principal problema de ciberseguretat.
