Como continuidad a mi artículo del pasado día 4 de enero de 2022 donde realizaba un breve análisis sobre la nueva Estrategia de Seguridad Nacional de España, dedicaré este post a exponer también de forma resumida cómo se contempla la transformación digital en dicha Estrategia.

Transformación digital

La transformación digital está presente en el documento desde el primer capítulo cuando al estimar el momento actual como una etapa de transiciónse se asegura que en él la característica predominante es la incertidumbre sobre el futuro donde esta transformación, así como la ecológica, se configuran como las principales palancas de cambio en un escenario de mayor competición geopolítica.

En ese mismo capítulo, al enumerar los principales vectores de transformación aparece de nuevo la transformación digital, matizando que no es solamente un fenómeno tecnológico que ofrece múltiples oportunidades de futuro pues presenta también serios desafíos para la Seguridad Nacional.

En el contexto de la relación de la transformación digital y los riesgos para la Seguridad Nacional, en el documento se incluyen entre las principales amenazas identificadas las vulnerabilidades del ciberespacio, las campañas de desinformación, las amenazas a las infraestructuras críticas y el ciberespionaje e injerencias desde el exterior, cuyos aspectos mas relevantes resumiré a continuación.

Vulnerabilidades del ciberespacio

En un sentido estricto del término de lo que se trata no es exactamente de una amenaza sino de uno de los otros componentes de la ecuación del riesgo (vulnerabilidades, amenazas e impactos) por lo que estimo sería mas adecuado hablar de riesgos en el ciberespacio e incluir no solo las amenazas sino también las vulnerabilidades.

Sin embargo, en este apartado de las vulnerabilidades del cibrespacio la Estrategia trata solamente de las amenazas diferenciándolas en dos tipologías generales: los ciberataques y el uso del ciberespacio para realizar actividades ilícitas.

En el primero de ellos se definen los ciberataques como acciones disruptivas que actúan contra sistemas y elementos tecnológicos, citando como ejemplo dos tipos de ataque: el ransomware (secuestro de datos e información) y la Denegación de Servicio (DoS y DDoS).

En cuanto al  segundo tipo de amenazas se mencionan en la Estrategia el cibercrimen, ciberespionaje, la financiación del terrorismo o el fomento de la radicalización, todos ellos tratados también en otros apartados o capítulos del documento.

Campañas de desinformación

La inclusión en la Estrategia de este tipo de amenaza constituye una novedad respecto a las ediciones anteriores, como así se reconoce en el propio documento al señalar que la principal actualización en el mapa de riesgos es la inclusión de estas campañas de desinformación.

Para justificarlo se argumenta que tienen clara repercusión en la Seguridad Nacional al calificar el ámbito cognitivo como un espacio mas en el que ejercer influencia, socavando la confianza de los ciudadanos en las instituciones, tratando de influir en los procesos democráticos y alentando la polarización.

Para diferenciar la desinformación de la información falsa (fake news)  y la errónea (misinformacion), aspecto este al que dedicaré un próximo post, la Estrategia destaca como elementos inherentes a una campaña de desinformación la voluntad de generar confusión y socavar la cohesión social, el uso coordinado de distintos medios para crear y difundir contenidos dirigidos a audiencias amplias y la intención maliciosa de desprestigiar o influir sobre el objetivo de ataque.

Como ejemplo se cita a los actores extranjeros, estatales o no, quienes desarrollan aparatos de propaganda con la intención de polarizar a la sociedad y minar su confianza en las instituciones.

Amenazas a las infraestructuras críticas

Antes de resumir como recoge la estrategia este tipo de amenazas estimo conveniente situar el concepto en su contexto. Tal como se recoge en la Ley 8/2011, las infraestructuras críticas son aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales, entendiendo estos como los necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.

Teniendo en cuenta la importancia de dichos servicios esenciales, como se ha puesto de manifiesto en la actual crisis provocada por la pandemia del coronavirus, SARS-CoV-2, que produce la enfermedad COVID-19, es indispensable proteger las infraestructuras que los soportan de todo tipo de amenazas, tanto físicas como lógicas o digitales.

Así se reconoce en la Estrategia donde se advierte que la progresiva digitalización y la adopción de nuevas tecnologías por parte de los operadores críticos y de servicios esenciales podría aumentar el riesgo de sufrir brechas de seguridad que permitirían acceder al control de los sistemas que operan las infraestructuras críticas y poner en peligro la continuidad de los servicios que proveen al conseguir la interrupción o denegación de los mismos.

En el ámbito de esta amenaza en el documento se considera otro riesgo como es la potencial pérdida de control sobre la capacidad de decisión estratégica a raíz de inversiones por actores, estatales o no estatales, con intereses no necesariamente alineados con la Seguridad Nacional.

Ciberespionaje e injerencias desde el exterior

Al tratar las amenazas relacionadas con el espionaje y las injerencias desde el exterior, la Estrategia señala que a las actividades de inteligencia clásicas debe incluirse el ciberespionaje como una importante amenaza para la seguridad nacional.

Asimismo, en el documento se indica que las actividades de los Servicios de Inteligencia hostiles pueden formar parte de las denominadas estrategias híbridas en cuyo marco las actividades de espionaje pueden llegar a ser un elemento destacable y potencian la amenaza que suponen para la Seguridad Nacional.

Otras amenazas y vulnerabilidades

A lo largo de todo el documento que recoge la Estrategia de Seguridad Nacional 2021 aparecen otras varias vulnerabilidades y amenazas directamente relacionadas con las tecnologías digitales.  Por ejemplo, se destaca el incremento creciente de la vulnerabilidades debidas a la exposición por el teletrabajo o el próximo despliegue de las redes 5G, que multiplicará la capilaridad de las redes aumentando el número de usuarios y de dispositivos vinculados al Internet de las Cosas (IoT) para uso personal o las comunicaciones máquina a máquina.

Al destacar el dato como un recurso estratégico de primer orden, se considera de la mayor importancia la regulación, protección y garantía del uso adecuado de los datos y las redes por las que circulan al ser un aspecto clave de la Seguridad Nacional con impacto directo sobre la privacidad personal.

En este mismo ámbito tecnologías como la Inteligencia Artificial y el Big Data pueden servir para ayudar a los procesos de análisis de riesgos y alerta temprana pero su desarrollo genera interrogantes relacionados con la seguridad.

La aplicación de algoritmos para la toma automática de decisiones demanda un marco de protección de la privacidad y la no-discriminación. De igual forma el empleo de sistemas autónomos también tiene implicaciones éticas que requieren mecanismos de control y parámetros que garanticen el respeto a los derechos humanos.

Capacidades

Como hemos ya apuntado, los riesgos cibernéticos, derivados de las vulnerabilidades y amenazas digitales, constituyen un factor de gran importancia en la nueva Estrategia de Seguridad Nacional 2021 y por ello, en el ámbito de la seguridad de los espacios comunes globales se incluye el ciberespacio, caracterizado  por su apertura funcional, la carencia de fronteras físicas y su fácil accesibilidad, la difícil la atribución de cualquier acción irregular o delictiva, su débil regulación y la ausencia de soberanía.

Para hacer frente a tales riesgos cibernéticos, garantizando el uso seguro y fiable del ciberespacio para proteger los derechos y las libertades de los ciudadanos y promover el progreso socio económico, la Estrategia considera importante incrementar las capacidades tecnológicas, humanas y económicas de la ciberseguridad nacional dirigidas a la prevención, detección, respuesta, recuperación, investigación y defensa activa.

Entre ellas destaca el Centro de Operaciones de Ciberseguridad que permitirá, mediante la prestación de servicios horizontales, aumentar las capacidades de vigilancia, detección y respuesta ante ciberataques contra la Administración General del Estado y sus organismos públicos, así como contra las Administraciones autonómicas y locales. Un aspecto relevante será el desarrollo de las infraestructuras de ciberseguridad en las Comunidades y Ciudades Autónomas.

Igualmente destaca como una prioridad la creación de un Sistema de observación y medición de la situación de la ciberseguridad nacional y la puesta en marcha de una plataforma nacional de notificación y seguimiento de ciberincidentes que permita medir el intercambio de información entre organismos públicos y privados en tiempo real.

Finalmente, como se detalla en la Estrategia será preciso implementar los nuevos requerimientos previstos en el marco de la Unión Europea en la Estrategia de Ciberseguridad de la UE para la Era Digital y en la adecuación de las nuevas propuestas normativas, que han de incluir la legislación necesaria para la protección de las redes y sistemas.

Reflexión final

La transformación digital pone a nuestra disposición todas las oportunidades que ofrecen las nuevas tecnologías,  pero también ha aumentado los riesgos asociados al ciberespacio; por ello es necesario la búsqueda del equilibrio entre ella y la ciberseguridad para que realmente proporcione avances en el desarrollo social y económico.

Y esta búsqueda debe abarcar todos los ámbitos, incluida, lógicamente, la Seguridad Nacional, pues, como reconoce la Estrategia de Seguridad Nacional 2021, la ciberseguridad se ha convertido en una prioridad de organizaciones y gobiernos.