Recientemente el Parlamento y Consejo Europeo ha aprobado una Directiva, denominada NIS, que se adentra de lleno en las medidas que toda la Unión Europea va a tomar para poder hacer y decir algo en lo que a la Ciberdefensa se refiere. Todo el mundo lleva esperando desde hace tiempo esta Directiva con la esperanza de que de impulso a la política de ciberseguridad en la Unión por lo que conviene que echemos un vistazo.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

Cuenta el segundo capítulo del Libro de Daniel¹, que es uno de esos libros de leyendas populares hebreas que se incorporaron en su momento a la Biblia², que el rey Nabucodonosor II³ tuvo un sueño que le ponía muy mal cuerpo y no lo dejaba dormir. Ante sus ojos aparecía una gran estatua de hiriente brillo con la cabeza de oro, su pecho y brazos de plata, el vientre y caderas de bronce, las piernas de hierro y los pies de hierro y arcilla sin mezclar. La estatua tenía un aspecto magnifico y terrible pero súbitamente se desintegraba ante los ojos del monarca por el golpe de una piedra que le cae en los pies. Tras este inexplicado incidente, la estatua desaparece convertida en polvo que se lleva el viento sin que quede rastro alguno. Mientras tanto, la piedra agresora se fue agrandando hasta llenar toda la tierra.

Nabucodonosor llama a sus Magos, astrólogos, encantadores y consultores habituales para que le interpreten el sueño. Al declararse éstos impotentes para ello, el rey decretada su muerte y la de cualquier otro sabio de Babilonia.

Será un extranjero llamado Daniel, israelita deportado a Babilonia, el que por soplo divino pueda contarle al rey el sentido y significado de su sueño. En resumen, la misiva de Yahvé era para dar a conocer al rey de Babilonia lo que habrá de suceder en el futuro, siendo cada uno de los metales el símbolo de un imperio que, irremisiblemente, irá desapareciendo sucedido por otro hasta la llegada de un reino “que no será destruido jamás” y que, cómo no, sería el suyo.

Lo curioso es que para la escatología cristiana⁴ de los Adventistas del Séptimo Día⁵ este sueño se refiere a los diferentes intentos de corta vida que hay en la historia europea para formar un gran imperio: el Sacro Imperio Romano, el Imperio Napoleónico, el Reich de la Alemania Nazi y, como no, la Unión Europea.

Quizás esos “pies, en parte de hierro y en parte de barro cocido”⁶ del sueño profético se refieren a las actuales redes telemáticas sobre las que se han terminado erigiendo todos los componentes sensibles de nuestra sociedad. Al menos eso es lo que se deduce de los tres primeros considerandos de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo del 6 de julio de 2016 relativa a “las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”. Por otra parte, hay que mencionar que esa directiva tiene un total de 75 considerandos, a cuál más particular, lo que preconiza la densidad de la misma y/o la probabilidad de que vaya a surtir efecto real alguno.

En varios apartados de la Directiva se indica que lo allí establecido no afecta a microempresas y pequeñas empresas tal como se definen en la Recomendación 2003/361/ CE de la Comisión⁷, por lo que se queda fuera del ámbito de esta Directiva el 85% del tejido industrial español.

A la hora de hablar de riesgos y efectos perturbadores (Artículo 6), se presta atención a (1) el número de usuarios que confían en los servicios, (2) la dependencia de otros sectores, (3) la repercusión que podrían tener los incidentes, en cuanto a grado y duración, en las actividades económicas, sociales o de seguridad pública,(4) la cuota de mercado de la entidad afectada,(5) la extensión geográfica de la zona que podría verse alterada, (6) la importancia de la entidad para mantener un nivel suficiente del servicio.

Con estas categorías esta Directiva parece diseñada contra los incidentes de Denegación Distribuida de Servicio (DDoS) que van perdiendo frecuencia e impacto en los escenarios de hoy en día. Por otro lado, las métricas de esta directiva parecen dejarse fuera otros incidentes más propios del espionaje industrial (incidentes aislados, singulares, discretos, desde lugares recónditos o inesperados y con la extracción somera de objetos digitales) y que, por su propia métrica, serían clasificados de bajo impacto ya que las categorías 2 a 5 de las anteriores serían muy difíciles de cuantificar.

En la Directiva también se menciona de refilón el cómo conseguir que esa seguridad colectiva que tanto estamos necesitando aflore, espontáneamente o no, en los años venideros. Es aquí donde se reserva espacio para a la sempiterna mención a la educación y concienciación del usuario y de las empresas y que después de tantos años oyendo hablar de ello, más bien me recuerda a un erial⁸ en el que cualquier semilla o riego se malogra.

Es difícil defender medidas y prácticas seguras en una sociedad esencialmente exhibicionista, véase el éxito arrollador de las redes sociales, que lo cuenta todo y dice ciegamente que sí a lo que se le pone en los “Términos de Uso” de una aplicación de moda. La alternativa sería decir que no y quedarte fuera, sin servicio, por lo que esta posibilidad queda unánimemente descartada en la sociedad en la que vivimos. En cuanto a las empresas, la única razón a la que realmente atienden es la de la sanción económica y a la pérdida de licencias de operación. Si la pena es pequeña o improbable, simplemente se asume como riesgo y a seguir maximizando sus beneficios particulares que es la esencia de cualquier empresa capitalista.

Así mismo, en el Artículo 19 de la Directiva, los estados miembros se comprometen a fomentar, sin favorecer a nadie y a nada en concreto, el empleo de normas y especificaciones aceptadas a nivel internacional y europeo que sean pertinentes en materia de seguridad de las redes y los sistemas de información. En este punto es donde entra el tema de obligar o no al uso de tecnologías y procedimientos certificados. Este tema de la certificación de productos y procedimientos no es nuevo y lleva muchos años sin resolverse, por lo que no está claro que esta directiva venga a aportar nada serio y nuevo sobre el tema.

La “cultura de gestión del riesgo”

Si en la directiva buscamos algo relativo a seguros para sistemas de información o redes, no lo vamos a encontrar. Lo que sí se repite numerosas veces, y algo tiene que ver con los seguros y reaseguros, es la denominada “cultura de gestión del riesgo”. Para ello, lo primero es saber cuál es la paleta de riesgos, como si fueran colores, que vamos a considerar, cómo los vamos a medir y cómo los vamos a compensar.

En lo que a los tipos de riesgos se refiere, las tecnologías de la información se caracterizan por no tener muy claro qué riesgo se considera, entre otras cosas porque la valoración de los activos no está siempre clara. Más aún, la directiva que nos ocupa repite varias veces que su objetivo es conseguir y mantener la confianza de los usuarios de los sistemas de información y de las redes telemáticas, pero la “confianza” es algo difícil de cuantificar y más difícil aún de recuperar cuando se ha perdido. ¿Se incluirá realmente en la evaluación del riesgo el coste asociado con la recuperación de la confianza? Me temo que no. Me temo que este será un caso análogo al de la economía de las centrales nucleares, que sólo son económicamente viables si no se incluyen los costes de procesado y custodia eterna de sus residuos de explotación (residuos radiactivos).

Las técnicas actuariales⁹ para su aplicación en sistemas digitales de información¹⁰ brillan por su ausencia, por lo que es difícil imaginar cómo se va a desarrollar esa incipiente cultura de gestión del riesgo si la evaluación del mismo no va más allá de una aproximación lineal de frecuencia e impacto^11,12. Por el momento se carece de estadísticas que permitan estimar aunque sea groseramente, la probabilidad de los riesgos, incluso hay ataques que prácticamente sólo se dan una vez (Zero-day based attacks), con lo que podemos irnos olvidando de construir tablas estadísticas actuariales para ellos.

Cumplimiento y sanciones

Al final de la Directiva llega un artículo, el veintiuno, que habla de Sanciones. En él los estados miembros se comprometen a establecer un régimen de sanciones aplicables en los casos de que se pruebe el incumplimiento de las disposiciones aprobadas al respecto. Tales sanciones deberán ser efectivas, proporcionadas y disuasorias.

Está claro que disponer de Ley no implica automáticamente su cumplimiento ni su capacidad de hacerla cumplir, pero es muy interesante prestar atención a cuáles van a ser las sanciones que se fijen para este tipo de faltas. Si son como muchas otras en el ámbito de la competencia empresarial e industrial, saldrá más rentable pagar la multa que dejar de cometer el delito. Si por otra parte se ponen sanciones altas, como en protección de datos personales, pero después no se denuncia, o si se denuncia, no se puede/quiere/sabe probar, vana es nuestra fe en esta normativa europea y nacional. Todavía está por ver que todo esto vaya realmente en serio y, lo que es aún más difícil, que tenga el efecto que se pretende.

Único responsable nacional de ciberseguridad y único CSIRT nacional de contacto

Para el final he dejado lo que más se ha resaltado por otros como el posible gran éxito de esta directiva, y es la necesidad de nombrar un único responsable nacional ciberseguridad y un único CSIRT nacional de contacto. Aunque las más sencillas reglas de la gestión invitan a tener un solo intermediario al que dirigirse en el caso de que haya que coordinar a varios, esta decisión está levantando ampollas (desde hace tiempo) en nuestro país, en nuestra Administración pública, y no descarto que también este pasando otro tanto en algunos de los países de nuestro entorno.

En España se han apuntado a la Ciberseguridad los Ministerios de Presidencia, Industria, Interior y Defensa. Menos este último que por el momento entiende que sus atribuciones son sólo suyas (ejército y casos de guerra), los otros tres solapan esencialmente: Presidencia en lo que a la defensa de toda la Administración pública se refiere, Industria en tanto que entiende de Infraestructuras Críticas, e Interior por encargarse del orden público y seguridad ciudadana, todos quieren ser jefes y estar por encima de los otros. Lo único que sí está claro es que cualquier incidente en el mundo telemático y global actual afecta simultáneamente a todos esos ámbitos o jurisdicciones.

Los títulos en este país deben ser de opereta, puramente ornamentales y crematísticos, y no deben llevar asociada ninguna responsabilidad de la que escuece. Si no es así, no es fácil comprender cómo en esto de la Ciberseguridad, en la que por mucho tiempo vamos (los ciudadanos) a tener todas las de perder, todos quieran ser el Jefe. Solo la vanidad institucional y personal puede explicar ese furor.

Aquí lo que se pelea es por los escasos fondos que cada uno de los estados nacionales (unos más que otros y nosotros vamos a la cola) y la Unión Europea van a invertir en los próximos tres años bajo el epígrafe de Ciberseguridad. La realidad de los ataques, las pérdidas de oportunidades comerciales, y la indefensión de tantos y tantos, estarán fuera de la nada elegante batalla presupuestaria entre los diferentes Ministerios. Estoy convencido de que lo poco que se haga bien en este periodo, se hará gracias a la dedicación responsable y un tanto altruista, de algunos trabajadores y grupos de ellos que ya en otros tiempos en los que esto ni siquiera tenía el nombre de ciberseguridad, ya hacían Ciberdefensa.

La Directiva NIS me ha recordado el sueño de Nabucodonosor en tanto que cada día más la normativa y legislación sobre Internet y la Sociedad de la Información se parecen más a ese gigantón de oro, plata, bronce y hierro con los pies de hierro y barro cocido “no mezclados”, al modo en que no lo están los distintos ministerios y estados a los que esta directiva afecta.

De tener que elegir, me quedo con el desenlace del sueño:

⁽³⁴⁾ “Estabas mirando, hasta que una piedra fue cortada, no con mano, e hirió a la imagen en sus pies de hierro y de barro cocido, y los desmenuzó”.

⁽³⁵⁾ “Entonces fueron desmenuzados también el hierro, el barro cocido, el bronce, la plata y el oro, quedaron como el tamo¹³ de las eras del verano, y se los llevó el viento sin que de ellos quedara rastro alguno. Mas la piedra que hirió a la imagen fue hecha un gran monte que llenó toda la tierra”.

Documento en PDF