Red Seguridad 107

12 red seguridad cuarto trimestre 2024 aniversario CCN entrevista un texto legal no solo de España, sino de cualquiera de los países de la Unión Europea. Hay un alto nivel de extensión, de profundidad, de alcance, de madu- rez… Ten en cuenta que es la segunda versión. Con lo cual, en estos años se ha aprendido y se ha afinado más tan- to en los sujetos obligados que abarca esta normativa como en las exigencias y obligaciones que impone a las adminis- traciones públicas y a los propios suje- tos obligados. Así que no es fácil. Se ha tenido que trabajar mucho y dar vueltas a muchos temas, elaborando bastantes borradores. No es una cosa baladí ni una transposición que se hace directamente. Después, en el caso concreto de Espa- ña, hubo una modificación de la estruc- tura ministerial con nuevas iniciativas que paralizó el desarrollo de los trabajos durante unos meses. Esto aportó todavía más retraso y complejidad a la hora de desarrollar la Directiva. No obstante, soy optimista. Ahora mis- mo hay un texto bastante consensuado y elaborado que espero que podamos sacar adelante. ¿En qué aspectos se debe avanzar todavía para alcanzar un pleno con- senso? Hay un aspecto que todavía se está dis- cutiendo. La Directiva tiene tres partes: dice qué es lo que hay que hacer, que eso ya lo hemos definido; dice quién altamente especializados y profesionali- zados, fundamentalmente patrocinados por grupos criminales muy importantes o por Estados. Además, una característica de los ci- berataques que también es muy impor- tante tener en cuenta es la dificultad de atribución. La gran mayoría de ciberde- litos se pueden llegar a atribuir con las herramientas de investigación de las Fuerzas y Cuerpos de Seguridad del Es- tado y con las capacidades legales exis- tentes. En un gran porcentaje se puede saber quién es el autor, el colaborador, etcétera. Pero en un ciberataque de los que estamos hablando, es muy difícil lle- gar a la atribución y poder judicializarlo. El CCN es una de las entidades in- volucradas en la transposición de la Directiva NIS2 al ordenamiento jurí- dico español. ¿Por qué todavía no ha sido publicada dicha transposición en nuestro país, aunque los Estados miembros de la Unión Europea tuvie- ran como fecha límite el 17 de octubre para hacerlo? Esto hay que ponerlo su contexto. De los 27 Estados miembros de la Unión Europea, solo ha habido cuatro o cinco que han podido transponer la Directiva NIS 2 en plazo. ¿Y por qué no se ha he- cho en España? En mi opinión, hay dos factores muy importantes. El primero, el alcance y la profundidad de la Directiva NIS2, que es de tal calibre que es muy complejo poderla trasladar y aterrizar en Estado sobre cibercriminalidad que con- templa los diferentes tipos penales re- lacionados con el ciberdelito. La fuente fundamental de los tipos de delitos es el Convenio de Budapest, suscrito por Es- paña; y, además, el Ministerio del Interior y la Fiscalía han añadido algunos tipos penales dentro de las estadísticas de cibercriminalidad. El último documento, de 2023, dice que, de los 470.000 ciber- delitos contabilizados, el 90 por ciento son estafas. Es decir, son hechos que se han cometido a través de Internet o uti- lizando las tecnologías de información y comunicación. Después, hay un cuatro por ciento de ciberdelitos relacionados con contenido ilegal, pornografía, pederastia, copia ile- gal de contenidos y amenazas y coac- ciones utilizando las redes sociales. Posteriormente está el resto de tipos penales. De ellos, los ciberataques –es decir, la intrusión en un sistema informá- tico para destruirlo, neutralizarlo o mani- pularlo– representan un porcentaje muy pequeño. Pero son los que a nosotros nos ocupan y nos preocupan, ya que se realizan sobre sistemas de información y comunicación de las administraciones públicas o de infraestructuras esencia- les, críticas, etcétera. Y aquí es donde nosotros venimos trabajando y hemos visto una evolución total y espectacular en los últimos 10 años: los ataques son cada vez más complejos, más sofistica- dos y están realizados no por criminales normales y corrientes, sino por grupos “Estamos intentado introducir la inteligencia artificial en todas nuestras capacidades de prevención y detección” Escucha esta entrevista en formato podcast: