La Ciberseguridad en la Estrategia de Seguridad Nacional

Dando cumplimiento al mandato dado por el Consejo de Seguridad Nacional en su reunión de 22 de junio de 2020, el BOE de 31 de diciembre de 2021 se publicó el Real Decreto 1150/2021, de 28 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2021, y que sustituye a la Estrategia de 2017.

En esta edición de la Estrategia, la ciberseguridad aparece como uno de los principales aspectos, que se incluye en varios de sus apartados.

Así, por ejemplo, el segundo capítulo de la Estrategia, titulado “una España segura y resiliente” y, más en concreto, en el apartado que lleva por título “transición ecológica”, se identifica, como cuestión a tratar, la vulnerabilidad de las infraestructuras digitales (como los Centros de Procesamiento de Datos, los cables submarinos o los satélites), y el riesgo de posibles injerencias de terceros.

Esta referencia enlaza con una referencia a la ética y la defensa de los derechos digitales, respecto de los cuales se afirma que se ha intensificado su debate como consecuencia de que el dato se ha convertido en un recurso estratégico de primer orden.

A estos efectos -afirma- disponer de una identidad digital segura es una pieza clave para la ciberseguridad, la cual, por tanto, debe tener entre sus objetivos, el de garantizar el acceso seguro a los servicios públicos y privados, en particular los servicios esenciales en línea.

La Estrategia también dedica un apartado específico a la transformación digital, a la que considera que ha ampliado la superficie de exposición a posibles ciberataques de organizaciones, dificultando -de este modo- la adecuada protección de la información. Con relación a este particular, la Estrategia señala que la magnitud y frecuencia de los ciberincidentes y del uso ilícito del ciberespacio han aumentado en los últimos años, y han convertido la ciberseguridad en una prioridad de organizaciones y gobiernos.

Cabe reseñar una crítica que la Estrategia dedica a a la gestión de riesgos de ciberseguridad. En particular, la Estrategia afirma que este tipo de riesgos se ven amplificados por “la prevalencia de criterios comerciales frente a los de seguridad” en el diseño de productos y servicios, tales como el 5G, lo que puede dificultar los procesos de certificación y comprometer la cadena de suministro, especialmente en servicios esenciales o críticos.

Adicionalmente y dentro de estas referencias a la ciberseguridad como aspecto de seguridad nacional, puede destacarse el capítulo 3 de la Estrategia, que se refiere a los riesgos y amenazas a la seguridad nacional.

En efecto, dentro de los distintos elementos que la Estrategia identifica, encontramos las amenazas a las infraestructuras críticas, respecto de las cuales se afirma que la progresiva digitalización por parte de los operadores críticos y de servicios esenciales, podría aumentar el riesgo de sufrir brechas de seguridad que pongan en peligro la continuidad de los servicios que proveen. Asimismo, otro riesgo a considerar en este apartado es el que se refiere a la potencial pérdida de control sobre la capacidad de decisión estratégica a raíz de inversiones por actores, estatales o no estatales, con intereses no necesariamente alineados con la Seguridad Nacional española.

El ciberespacio y sus vulnerabilidades también aparecen de forma específica dentro de los riesgos a la Seguridad Nacional:

En este caso, el documento diferencia entre dos tipologías generales de amenazas en el ciberespacio, como son, de un lado, los ciberataques propiamente dichos, a los que define como acciones disruptivas que actúan contra sistemas y elementos tecnológicos (pe. el ransomware o los ataques DdOS); y, de otro lado, el uso del ciberespacio para realizar actividades ilícitas, como el cibercrimen, el ciberespionaje, etc.

En este sentido, la Estrategia refleja la preocupación por el previsible aumento de la vulnerabilidad ante ciberataques en aparatos conectados a la red y servicios, como el vehículo autónomo o las redes inteligentes, lo que afectará a la seguridad de la información. “La regulación, protección y garantía del uso adecuado de los datos y las redes por las que transitan es un aspecto clave de la Seguridad Nacional, con impacto directo sobre la privacidad personal”, apunta el citado documento.

El crimen organizado y, en especial, el cibercrimen, es otra de las amenazas graves a la seguridad, que tiene una relevante dimensión económica, pero también un preocupante potencial desestabilizador.

Una vez analizada, por parte de la Estrategia, la dimensión de la ciberseguridad como riesgo para la seguridad nacional, el documento añade, en su Capítulo 4, un planteamiento estratégico integrado, dentro del cual encontramos los tres objetivos de la Estrategia de Seguridad Nacional:

1.     Avanzar en el modelo de gestión de crisis.

2.     Favorecer la dimensión de seguridad de las capacidades tecnológicas.

3.     Desarrollar la capacidad de prevención, disuasión, detección y respuesta frente a estrategias híbridas.

Para alcanzar estos objetivos, la Estrategia prevé tres ejes, cada uno de los cuales comprende una serie de aspectos relacionados con la Seguridad Nacional. En lo que respecta a la ciberseguridad, el Segundo Eje (“una España que promueve la prosperidad y el bienestar de los ciudadanos”) el documento incluye referencias expresas al ciberespacio y a la necesidad de garantizar un uso seguro y fiable de aquel, concepto este que ya se empleaba en la Estrategia Nacional de Ciberseguridad de 2019.

Entre las prioridades que es este punto se recogen, cabe destacar el de la puesta en marcha de una plataforma nacional de notificación y seguimiento de ciberincidentes, que permita medir el intercambio de información entre organismos públicos y privados en tiempo real.

Un vez publicada la Estrategia, todos los agentes, públicos y privados, deberán colaborar con tal de lograr los objetivos contemplados en aquella, aplicando las políticas y el resto de acciones previstas en tal documento, así como en la normativa que se apruebe en desarrollo de aquella.