Un año más, el robo y el fraude masivo de datos y los ciberataques a gran escala se posicionan como uno de los principales riesgos globales a los que se enfrenta el mundo, según el informe que cada año elabora el Foro Económico Mundial y que, en las previsiones para 2019, se sitúan como la cuarta y quinta amenaza, respectivamente. Entidades públicas y privadas, gobiernos y organizaciones comienzan a centrar sus esfuerzos en la ciberseguridad en pleno proceso de transformación digital de la economía y la sociedad.
Las ciudades inteligentes no son inmunes a esta clase de riesgo directamente vinculado a la introducción de la tecnología en todos los ámbitos de su gestión. Los ataques cibernéticos representan graves riesgos para las infraestructuras críticas tal y como recuerda el “Informe de Riesgos Globales 2019” con el ejemplo del acceso de hackers a los sistemas de empresas de servicios públicos de Estados Unidos el pasado mes de julio, según reconoció su gobierno.
Cooperación para construir una ciberseguridad robusta
“Nunca habíamos visto en Internet los niveles de delitos que estamos viendo actualmente”, así se expresó Troels Oerting, director del Centro Global para la Ciberseguridad del Foro Económico Mundial, ante el público presente en uno de los paneles de expertos celebrados el pasado mes de enero en Davos, bajo el título de “Nueva arquitectura para la cibercooperación”.
La respuesta de los ponentes de la mesa redonda se centró en la necesidad de cooperar frente al cibercrimen. “Naciones, empresas, políticos, etc. necesitamos un gran acuerdo para hablar de lo que hacer, de cuál es el siguiente paso y qué normas comunes vamos a seguir”, destacó en este encuentro la diputada israelí Tzipi Livni.
En este sentido se pronunció Bradford L. Smith, presidente de Microsoft y jefe de su Oficina Legal, recordando la necesidad de construir “una coalición de buena voluntad” y llamando a todos los estados a firmar la denominada “Paris Call”, una declaración a la que no se han unido países clave como Estados Unidos, India, China o Rusia.
Este documento, “Llamamiento de París para la confianza y seguridad en el ciberespacio” (París call for trust and security in cyberspace) fue propuesto en el “Foro para la Gobernanza de Internet” el pasado mes de noviembre por el presidente de Francia, Emmanuel Macron, como un gran acuerdo al que se unieron 64 países, 328 empresas privadas y 129 organizaciones. Su objetivo es el trabajo conjunto para elaborar estándares conjuntos de seguridad, cooperar para prevenir ciberataques y proteger la accesibilidad e integridad de Internet.
Vulnerabilidad de las infraestructuras críticas y los dispositivos IoT
No es la única alianza internacional por la ciberseguridad que pretende dar respuestas globales a esta amenaza. Desde 2015 la “Global Cyber Alliance” trabaja por reunir a diferentes asociaciones, organismos y empresas para acabar con el riesgo cibernético. Fundada por la Policía local de Londres, la oficina del Fiscal de Distrito del Condado de Nueva York y la organización que promueve estándares en seguridad TIC “Center for Internet Security (CIS)”, dedica un apartado especial de su labor a la ciberseguridad en las smart cities y tecnología de Internet de las cosas (IoT).
Y es que una de las principales preocupaciones en torno a la ciberseguridad es garantizar la protección frente a los ataques a través de la red de las infraestructuras críticas estatales y de ciudades. Infraestructuras de defensa, de energía o transportes, en las que se ha introducido de manera profunda la tecnología y, con ello, han aumentado su vulnerabilidad ante el cibercrimen.
Según datos de esta alianza, el próximo año ya habrá más de 20.000 millones de dispositivos conectados, muchos de ellos en las ciudades, que aprovechan la tecnología para prestar unos servicios públicos más eficientes, pero esta interconectividad plantea grandes riesgos en materia de ciberseguridad, que pueden tener efectos en la seguridad colectiva.
El desarrollo de las ciudades inteligentes requiere el despliegue de numerosos sensores conectados. Según el informe “Cyber Predictions for 2019” que elabora la empresa de ciberseguridad S21sec, este año se seguirán multiplicando los sensores que se comportan como pequeños servidores para permiten una mayor interactividad, operatividad y facilidad de mantenimiento que interactúan sobre una infraestructura tecnológica heterogénea.
En este tipo de aplicaciones de IoT, la seguridad debe abordar la exposición a gran escala de información y funcionalidades sensibles, pero “los mecanismos de seguridad siguen siendo insuficientes”, considera el documento de S21sec.
Además, señalan que las medidas de seguridad tradicionales no pueden aplicarse directamente a sensores y actuadores en escenarios de IoT porque consumen demasiados recursos y pronostican que en 2019 se implementará la “seguridad de extremo a extremo” con protocolos establecidos y reconocidos por las asociaciones del sector.
Similar diagnóstico ofrece la Agencia Europea de Seguridad de las Redes y de la Información (Enisa, por sus siglas en inglés) que recoge en el informe “Enisa Threat Landscape 2018” la preocupación en los entornos de IoT por la falta de mecanismos de protección y señala “la necesidad de arquitecturas genéricas de protección” para esta tecnología.
Cibeseguridad en la Unión Europea y en España
La Unión Europea se encuentra inmersa en un proceso de reforma de la ciberseguridad y cuenta con legislación específica desde 2016, concretamente la Directiva (UE) 2016/1148 sobre seguridad de las redes y sistemas de información (Directiva NIS, por sus siglas en inglés). El pasado 19 de diciembre, se aprobó el Reglamento de Ciberseguridad que establece una certificación de ciberseguridad para toda la UE que aumenta la seguridad cibernética de los servicios en línea y los dispositivos destinados a los consumidores.
El Reglamento también establece el refuerzo de la Enisa, que tendrá un mandato permanente (el actual expiraba en 2020) y una mayor dotación de recursos. La Comisión Europea también ha propuesto crear un Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad y una Red de Centros de Competencias en Ciberseguridad con miras a orientar y coordinar mejor la financiación disponible para cooperación, investigación e innovación en materia de ciberseguridad.
En territorio nacional, el pasado mes de septiembre el Gobierno aprobó la trasposición de la Directiva NIS al ordenamiento jurídico español. Por su parte, el Consejo de Seguridad Nacional acordó en el mes de julio elaborar una Estrategia de Ciberseguridad Nacional para dar respuesta a las amenazas de seguridad emergentes en redes y en sistemas de información y adaptarse a las tendencias de transformación de la seguridad global. Actualmente, la estrategia se encuentra en proceso de elaboración y se aprobará este mismo año.