Ciberseguridad, el juego multimillonario del gato y el rat¨®n

Piense en masas de datos circulando a la velocidad de la luz. Imagine un uno seguido de 21 ceros. Es un zettabyte y equivale a un sextill¨®n de bytes, las unidades b¨¢sicas de informaci¨®n en inform¨¢tica y telecomunicaciones. Son piezas de caza deseadas por los ladrones de informaci¨®n para suplantar, controlar, asaltar o chantajear a particulares y empresas. Imaginar ese objeto de deseo es un paso para entender c¨®mo funcionan las leyes de Darwin en la selva de la informaci¨®n, donde la ciberseguridad es un negocio en alza y un foco de debate sobre la seguridad y los l¨ªmites de la privacidad. Este a?o, el tr¨¢fico de datos superar¨¢ los 180 zettabytes tras crecer a tasas del 23% compuesto en los ¨²ltimos ejercicios, seg¨²n detalla el Plan Digital Espa?a 2025. La proliferaci¨®n del robo de datos ha disparado el negocio global de la ciberseguridad. En 2025, la cifra de negocio se situar¨¢ entre un m¨ªnimo de 203.000 millones de d¨®lares -196.714 millones de euros-(International Data Corporation) y un m¨¢ximo de 266.000 millones (Gartner). Para 2030, las previsiones apuntan a un m¨ªnimo de 300.000 millones (IDC) y un m¨¢ximo de 600.000 millones (Markets and Markets).

Es un tema econ¨®mico de primer orden. El Foro Econ¨®mico Mundial (Perspectivas mundiales ciberseguridad 2025) y la consultora Deloitte destacan en sus an¨¢lisis c¨®mo ¡°la creciente complejidad del ciberespacio est¨¢ exacerbando la inequidad cibern¨¦tica, ampliando la brecha entre las organizaciones grandes y peque?as, profundizando la divisi¨®n entre las econom¨ªas desarrolladas y emergentes y expandiendo las disparidades sectoriales¡±. En un rinc¨®n de ese gran negocio global, la actividad de ciberseguridad en Espa?a ha superado los 2.000 millones de euros, seg¨²n las proyecciones de la consultora especializada International Data Corporation, con una tasa de crecimiento anual compuesta del 8,12%.

En la selva cibern¨¦tica, la agitaci¨®n es permanente. En Espa?a, detalla el Instituto Nacional de Ciberseguridad (Incibe), s¨®lo en 2023 se registr¨® un incremento del 24% en incidentes de ciberseguridad. Son los denunciados. M¨¢s de 83.500 casos de los que 58.000 afectaron a la ciudadan¨ªa y m¨¢s de 22.000 a empresas. Se identificaron 183.077 sistemas vulnerables y se clausuraron 310 tiendas online fraudulentas. M¨¢s cifras de la selva: hubo 621 secuestros digitales. Es una lucha descarnada. Un juego del gato y el rat¨®n del que no se libra ning¨²n sector. Aerol¨ªneas, hospitales -309 ciberataques en 2023 en Europa, seg¨²n la Comisi¨®n Europea-, multinacionales¡­nadie est¨¢ a salvo.

Incluso Telef¨®nica, cuya filial Telef¨®nica Tech encabeza el ranking de las compa?¨ªas punteras en servicios de ciberseguridad ¡°ha tenido constancia del acceso no autorizado a un sistema de ticketing [gesti¨®n de incidencias] de uso interno¡±, seg¨²n explica un portavoz. Una brecha. Nada excesivamente grave, precisan en la compa?¨ªa, pero s¨ª revelador. Ninguna empresa est¨¢ libre de sufrir ciberataques y brechas de ciberseguridad. Ni las m¨¢s grandes y preparadas entre las grandes, como recientemente Amazon o Microsoft. Los ataques forman parte de la realidad actual, y la cuesti¨®n es estar preparado para intentar detenerlos y para responder de manera r¨¢pida y ¨¢gil cuando no se consiguen parar.

Eduardo Azanza, consejero delegado de Veridas, una joint venture creada hace siete a?os entre la startup Das-Nano y el BBVA vive en primera fila el auge del negocio. Veridas, especializada en ofrecer soluciones de identidad -certificar que alguien es quien dice ser- a sectores clave como la banca, los seguros y las administraciones ha multiplicado por tres su facturaci¨®n en tres a?os: de siete a 20 millones. ¡°La mejor forma de crear riqueza¡± asegura Azanza ¡°es hacer tecnolog¨ªa¡±. Veridas ofrece, entre otras, tecnolog¨ªa biom¨¦trica basada en algoritmos de inteligencia artificial que ha recibido el respaldo del National Institute of Standards and Technology (NIST) de EE UU. Es una tecnolog¨ªa delicada porque, sobre todo en Europa, se intenta encontrar el equilibrio entre la seguridad y los derechos ciudadanos.

Rebasar las l¨ªneas

Hace menos de un a?o, en Espa?a, la Agencia de Protecci¨®n de Datos, en una decisi¨®n in¨¦dita, orden¨® a la compa?¨ªa WorldCoin el cese de la recogida y el tratamiento de datos personales que estaba llevando a cabo en Espa?a, as¨ª como el bloqueo de los recopilados entre 400.000 ciudadanos. La decisi¨®n de la agencia espa?ola, respaldada por la Audiencia Nacional, fue seguida unos meses despu¨¦s por la autoridad de protecci¨®n de datos de Baviera (Alemania), la Bayerisches Landesamt f¨¹r Datenschutzaufsicht (BayLDA).WorldCoin, seg¨²n las agencias, sobrepas¨® los l¨ªmites.

En Europa, el espacio de lo que se puede y lo que no se puede hacer est¨¢ acotado por el Reglamento General de Protecci¨®n de Datos (RGPD), la Directiva 2002/58 y el flamante Reglamento de Inteligencia Artificial que entr¨® en vigor en agosto pasado. El destilado de todas las normas es que las tecnolog¨ªas m¨¢s punteras -caso de la biometr¨ªa- no se pueden utilizar de forma indiscriminada y en campo abierto, asociadas a c¨¢maras de vigilancia, sin el consentimiento del usuario. ¡°La tecnolog¨ªa ha evolucionado de tal manera¡± explica Azanza (Veridas) ¡°que la biometr¨ªa moderna es segura por dise?o y por defecto¡±. Por poner un ejemplo, la cara de un usuario puede servir para acceder a un concierto, pero en caso de robo, ese registro facial no se puede utilizar de nuevo. Se denomina referencias biom¨¦tricas renovables. ¡°El dato que representa tu cara ya no se compromete¡± explica el consejero delegado de Veridas. El problema, a?ade ¡°es que las agencias de protecci¨®n de datos han estado regulando los sistemas biom¨¦tricos en base a tecnolog¨ªas de hace 20 a?os¡±.

Mart¨ªn Razquin, catedr¨¢tico de derecho administrativo, sostiene que ¡°la normativa europea en materia de datos especialmente protegidos y de privacidad no impide la utilizaci¨®n de identificaciones biom¨¦tricas, pero la interpretaci¨®n restrictiva que ha hecho la agencia [de protecci¨®n de Datos] y en parte el Comit¨¦ europeo, asusta a las empresas para utilizar estos sistemas. Cuando la tecnolog¨ªa ha avanzado, las instituciones tambi¨¦n tienen que avanzar. No quiero el sistema desregulado de EE UU o Brasil, quiero el sistema europeo, pero un sistema europeo que tenga en cuenta la innovaci¨®n tecnol¨®gica¡±.

Raquel Poncela, directora de Servicios Digitales e Innovaci¨®n de la F¨¢brica Nacional de Moneda y Timbre (FNMT) -emite 4,5 millones de certificaciones electr¨®nicas anuales- est¨¢ al frente del departamento que permite obtener certificados electr¨®nicos sin necesidad de pasar por una ventanilla f¨ªsica. ¡°Lo hacemos a trav¨¦s de tecnolog¨ªa de biometr¨ªa y requerimos m¨¢s condiciones de las que exige la Directiva Europea. Hace falta no s¨®lo mostrar el documento de identidad para que se vea que es v¨¢lido. Adem¨¢s capturamos una foto y la analizamos con biometr¨ªa e inteligencia artificial y requerimos prueba de vida, es decir, que la persona diga su nombre y apellidos delante de la c¨¢mara del m¨®vil para comprobar que no es una foto. Comprobamos que es una persona; que est¨¢ viva; que su imagen facial es la misma que la del documento de identidad que nos ha mostrado y s¨®lo en ese momento es cuando pasamos a un proceso de biometr¨ªa. Por normativa, tenemos un segundo paso, que es el paso por un videoacreditador, con formaci¨®n certificada que comprueba todas las evidencias¡±. Un proceso seguro. ¡°Los reguladores¡± a?ade Poncela ¡°tienen que ser precavidos y proveer un plus a?adido de seguridad. Creo que tanto en Espa?a como en la UE, los reguladores est¨¢n haciendo un esfuerzo para actualizar todas las regulaciones a las nuevas tecnolog¨ªas¡±.

De ese esfuerzo dependen en buena parte los derechos y la seguridad de una ciudadan¨ªa que todav¨ªa no es totalmente consciente de los riesgos. Un dato. El Observaciber -espacio constituido por el Incibe y el Observatorio Nacional de Tecnolog¨ªa y Sociedad (Ontsi)- destaca que ¡°el 51% de quienes declaran no tener malware [c¨®digo maligno] en su PC tiene una percepci¨®n equivocada, dado que su ordenador est¨¢ infectado¡±. El gato y el rat¨®n.