Plan Nacional de Ciberseguridad: menos secretitos
La sociedad ha empezado a metabolizar la presencia informativa diaria de ciberataques. Llegará un momento en que su detección y efectos dejen de tener interés en la conformación periodística de la actualidad, como en cierto modo pasa con los accidentes de tráfico.
Pero las personas físicas y las jurídicas seguirán siendo ciberatacadas mientras así se les pueda sacar la pasta –ya directa ya indirectamente– o conseguir alguna ventaja.
Digo esto porque nos encontramos hoy en una especie de cambio de fase en el contexto de la “digitalización”, en la que ya no se demoniza a la empresa que sufre un ciberataque por presuponer automáticamente que sus gestores no han hecho los deberes, al menos los legalmente exigibles. Precisamente, uno de estos deberes exigibles es, en líneas generales, el de denunciar, notificar y, en determinadas circunstancias, comunicar el hecho también a los que se hayan podido ver afectados.

José de la Peña Muñoz
Director
jpm@codasic.com
Sin embargo, la superficie de ataque no hace sino crecer y la dificultad de desenmarañar eventos que afectan a varios sectores y a las cadenas de suministro resulta francamente compleja.
Ante esta situación, que viene produciéndose desde hace tiempo, algunas organizaciones de cierto porte, especialmente privadas, se han quejado de la escasa ciberprotección que brinda el Estado a la sociedad. Es más, algunos empiezan a estar hartos de los pocos resultados que dan las denuncias, hecho que, desde luego no es culpa de las policías ni de los tribunales, sino de todo el sistema en su conjunto. Y también hay quien, con razón, se queja de las exigencias de cumplimiento al sector privado y de la calamitosa situación de la gestión de la ciberseguridad en las administraciones públicas, que no es culpa de esos servidores públicos y contratados que llevan intentando desde hace años que la cosa mejore, sino de la cuestionable calidad de la clase política que nos viene gobernando desde hace más de una década.
Frente a esto, nos encontramos hoy con un Plan de Choque antiPutin, en cuyo contexto se ha aprobado un Plan Nacional de Ciberseguridad con nadie sabe qué número y naturaleza de actuaciones, dotado con 1.000 millones de euros y cuyo contenido es de difusión limitada. Al tiempo, se ha publicado un Real Decreto-ley, el 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación. Lo curioso de esta pieza, sin duda necesaria, es que casi todo lo que pudiera ser polémico lo declara confidencial, y todo lo que interesa de verdad lo fía al desarrollo de un Esquema Nacional de Seguridad de redes y servicios 5G, que se publicará en forma de Real Decreto. Recordemos que todavía no ha visto la luz el Real Decreto del “nuevo” Esquema Nacional de Seguridad, el ENS. La cosa va de esquemas.
Menos lobos
En el mundo de hoy, en el que la ciberseguridad de un país es la de usted, la mía, la de la vecina del quinto, la de la panadería, la del Ibex, la de un pequeño ayuntamiento… no se puede ir montando una Ciberseguridad Nacional de perímetro desmesurado y sobre la base de lo secreto, lo confidencial, lo reservado, lo restringido… cuando a los demás se les pide transparencia, denuncia, notificación e inspecciones. No va con los tiempos. En fin, hasta el patriotismo evoluciona.
Los ciberataques son cosa seria; pero están dejando de ser percibidos así socialmente. Tenía que pasar. Y para sentir la cotidianeidad de este fenómeno, nada mejor que leerse la Sentencia 37/2022, de 14 de marzo del presente, de la Sala de lo Social de la Audiencia Nacional sobre la petición de ERTE por fuerza mayor que solicitó Ilunion tras haber sufrido una infección motivada por un ransomware de la familia Ryuk. La demanda la ganó la compañía y la perdió el Ministerio de Trabajo y Economía Social. Pero eso, con ser importante, no es lo que quiero destacar aquí. Lo que interesa es cómo se especifican los hechos probados (entre otros la existencia del ciberataque), los actores que se mencionan en la sentencia (clientes y proveedores), el papel que juega el estado de madurez de la gestión de ciberseguridad de la organización afectada y la activación de una póliza de seguros ante el hecho acontecido. Sinceramente, el texto es de obligada lectura para un profesional de la ciberseguridad.