Enrique Ávila: “La ciudadanía es consciente del riesgo en el ciberespacio, pero impera el pensamiento de que 'no me va a tocar a mí'”

Enrique Ávila es uno de los mayores expertos en ciberinteligencia del país, ha sido jefe del área de Seguridad de la Información de la Guardia Civil, dirige el Centro Nacional de Excelencia en Ciberseguridad y el Centro de Análisis y Prospectiva de la Guardia Civil
__ El dominio cibernético está adquiriendo una importancia fundamental en los ámbitos de seguridad y defensa. ¿Cómo podríamos definir la ciberinteligencia y cuál es su papel fundamental en el denominado 5º dominio?
Existen definiciones más o menos formales del término ciberinteligencia que pueden ser consultadas en fuente abierta. Voy a tratar de exponer su significado a través de un diseño, de la construcción real de un Instituto de Investigación y de su estructura formal, con el fin de que pueda entenderse mejor.
En la Universidad Autónoma de Madrid hemos creado una estructura de investigación y formación construida sobre los cuatro pilares básicos de la Inteligencia en una sociedad avanzada, con la forma de Instituto Universitario de Investigación, nuestro ICFS. El primero de estos pilares estaría constituido por el de la Inteligencia Estratégica —quizá la más clásica y conocida y que tiene como actores principales a las formas políticas Estado—. Usando un lenguaje coloquial, para que lo entienda el público no versado en la materia, la de los “espías”, la de los intereses nacionales en materia de Seguridad y Defensa; aunque ahora, separar cualquier área de actuación sea cada vez más complicado.
El segundo pilar de la Inteligencia, fundamentalmente en un Estado de Derecho, casi completamente desconocida, sería la Inteligencia Jurídica. Pensemos: si logras influir, incluso dominar, las estructuras de creación de las Leyes de un país, en realidad, tienes el control sobre el mismo, sobre su desarrollo económico y social. Puedes, simplemente modificando un cuerpo doctrinal o introduciendo un artículo en una determinada norma, modificar por completo todo un sector. Pensemos, por ejemplo, en el impacto introducido en el modelo de producción energética de nuestro país, con impacto sobre nuestras empresas de I+D+I en el diseño de componentes de producción de energía solar fotovoltaica, por el coloquialmente denominado “impuesto al sol”.
El tercer pilar lo constituiría la denominada Inteligencia Económica. La Seguridad Económica —cruelmente lo hemos sufrido durante la última crisis— ha de ser un objetivo estratégico de cualquier Estado. Si no puedes mantener unos estándares de vida dignos para tu ciudadanía, tienes un grave problema y, en un entorno globalizado, dinámico y cambiante, la competencia por recursos cada vez más escasos precisa de la elaboración de estrategias, tácticas y operaciones que salvaguarden la antedicha seguridad económica.
Y llegamos a la ciberinteligencia… Transversal a todas las anteriores y con señas de identidad propias en todo lo que respecta a acciones de influencia, dependencia tecnológica, protección de la cadena logística, producción alimentaria y energética, potabilización de aguas… Y así, podríamos enumerar la casi totalidad de las actividades humanas, tanto desde un punto de vista social como de los individuos que componen esta misma sociedad.
Todos esos datos —obtenidos de miríadas de fuentes, transformados en información y conocimiento ya analizado y estructurado, orientado a mejorar los procesos de toma de decisión— constituiría, a mi juicio, la disciplina de la ciberinteligencia; aunque, al tiempo, podríamos también definir actividades orientadas a la comisión de determinados ilícitos que, de modo análogo, harían uso de la ciberinteligencia como instrumento para conseguir sus fines.
<< La potencia de la ciberinteligencia —tanto para mejorar nuestras sociedades como para empeorarlas— es infinita>>
La potencia de la ciberinteligencia —tanto para mejorar nuestras sociedades como para empeorarlas— es infinita. Serán nuestros propios procesos de toma de decisión, precisamente apoyados en partes de esta disciplina, los que inclinarán la balanza en un sentido u otro.
Puede que, incluso, nuestras capacidades humanas hayan de ser desplazadas, en muchos procesos, por algoritmos de toma de decisión con capacidades de aprendizaje.
Mucho cuidado habremos de tener en caso de que ello ocurra, con los sesgos contenidos, ab initio, tanto en las fuentes como en los propios algoritmos. Tendremos que estar atentos a no reproducir, a escala tecnológica, una de las peores características de nuestro proceso de razonamiento, como seres humanos, que a menudo se caracteriza por una ausencia de espíritu crítico y una tendencia a reforzar nuestras propias posiciones ideológicas, desestimando, sin reflexión, las ideas que son críticas con nuestro posicionamiento.
Creo que todos somos conscientes de las amenazas que, en la actualidad, induce esa carencia de pensamiento crítico en nuestras sociedades y la tendencia de grupos humano completos a convertirse en una especie de jauría, induciendo con ello una progresiva binarización social en muchas materias; lo que, a su vez, provoca la desconexión social y, por ende, la eclosión de graves conflictos de convivencia.
__ La llegada de la tecnología 5G va a suponer un cambio significativo en las sociedades. ¿Cómo puede afectar el uso extendido del 5G a las amenazas en el ciberespacio? ¿Cuáles son los beneficios de esta red para las estrategias de ciberinteligencia?
Sin duda, cualquier avance tecnológico que mejore la velocidad y, sobre todo, la latencia o el tiempo de respuesta en las comunicaciones, va a tener un gran impacto en el modelo de dependencia tecnológica que hemos desarrollado en nuestras sociedades avanzadas.
<< Vamos a disponer de la posibilidad de sensorizar el mundo, con lo que ello supone, tanto para lo bueno como para lo malo>>
Vamos a disponer de la posibilidad de sensorizar el mundo, con lo que ello supone, tanto para lo bueno como para lo malo. ¿Lo bueno? Desde una más que probable mejora en los procesos relacionados con la cadena logística, haciendo estos más eficientes; sobre todo si los relacionamos con el avance en la calidad de los algoritmos que toman decisiones en el ciberespacio, hasta —¿por qué no?— una mayor esperanza de vida al sensorizar nuestros propios cuerpos, con el fin de ser más proactivos en la detección y tratamiento de las enfermedades que podamos sufrir.
¿Lo malo? Lo de siempre. Más datos puestos a disposición de quienes viven o necesitan del tratamiento de los mismos para el desarrollo de su modelo de negocio o para el control de la población, con una baja o nula posibilidad de ejercicio de derechos sobre nuestros propios datos y, menos aún, sobre el conocimiento agregado obtenido a partir de los mismos.
En realidad, yo mismo me pregunto a menudo si es posible o deseable detener este proceso. Puede que debamos replantearnos la visión que conocemos del mundo —aún analógica— y de sus sociedades a nivel epistemológico y atravesar, cuanto antes, este Rubicón híbrido que tantos conflictos parece estar generando.
__ El sector empresarial es uno de los colectivos que sufre riesgos constantes desde el dominio cibernético. ¿Cuáles son las principales amenazas en el sector económico? ¿Existe algún tipo de colaboración entre las empresas españolas y las fuerzas de seguridad en esta materia?
Hemos mencionado con anterioridad la disciplina de la Inteligencia Económica relacionándola con la seguridad económica del país. Por supuesto, nuestro sector productivo es objetivo de las amenazas que eclosionan en el ciberespacio. Ya sea de forma directa o como víctimas colaterales de cualquier proceso orquestado por cualquier actor que no necesariamente tiene por qué ser estatal.
<< Me pregunto sobre cuántas empresas estarán desapareciendo —con el impacto en el empleo y, por ende, en el bienestar social que ello provoca— sin que lleguen a ser conscientes de que han sido eliminadas a través de un ataque reputacional >>
Me pregunto sobre cuántas empresas estarán desapareciendo —con el impacto en el empleo y, por ende, en el bienestar social que ello provoca— sin que lleguen a ser conscientes de que han sido eliminadas a través de un ataque reputacional o como víctimas colaterales de un ataque ciber más o menos dirigido por quién sabe qué actor.
Por supuesto, nuestro Estado se ha dotado de herramientas para intentar mitigar estas amenazas y existen programas de colaboración con el sector productivo tanto a nivel de concienciación como de apoyo a nuestro sector productivo. El gran trabajo realizado por INCIBE, muchas veces con recursos limitados, en esta materia, es necesario ponerlo en valor en toda ocasión en que sea posible. Al tiempo, el CCN-CERT ha desarrollado una intensa labor de generación de conocimiento y de estructuración de modelos de implantación de medidas de ciberseguridad a través del Esquema Nacional de Seguridad.
Existen canales permanentes de información y cooperación entre el Estado y el tejido empresarial, pero también es necesario que este último deje de ver la ciberseguridad como un gasto y lo trate como una inversión. ¿No generan una gran parte de su negocio en el ciberespacio? Pues se ha de asumir que operar en el mismo requiere un cumplimiento normativo estricto y una adecuada inversión en seguridad. Por cierto, el talento cuesta dinero. Si quieres buen talento, has de recompensarlo adecuadamente y, el talento —junto con la información, el conocimiento y la Inteligencia— son los activos de mayor valor para cualquier empresa en este siglo XXI. Esto es un hecho incontestable.
Por poner un ejemplo más “operacional” de colaboración con el sector privado en materia de seguridad —y de ciberseguridad en algunos casos— puedo hacer referencia, en Guardia Civil, al Programa Plus Ultra.
En el marco de este programa, hemos realizado alguna acción puntual de colaboración con alguna gran empresa española relacionada con la protección de activos de I+D+I, de alto valor económico, en un entorno fuertemente agresivo y jurídicamente poco respetuoso con la protección de este tipo de activos.
__ ¿La sociedad española, en general, está concienciada de los riesgos que suponen sus actividades en internet? ¿Considera que hay una buena comunicación de la “cultura de la Defensa” en el ámbito cibernético o hay que mejorar algunos aspectos de esta área?
El término concienciación, a mi juicio, es un término “trampa”. ¿Concienciados? Bueno, más o menos. Toda la ciudadanía es consciente de que el ciberespacio es un lugar de riesgo, pero, en realidad, impera el pensamiento de que “no me va a tocar a mí”.
Más que de concienciación prefiero hablar de “cultura de la ciberseguridad”, sabiendo que se trata de un proceso lento, duro y doloroso de adquisición del conocimiento necesario para que el riesgo resulte aceptable.
Porque, no lo olvidemos, la seguridad completa ni existe ni, según mi opinión, es deseable. Toda sociedad que, a lo largo de la historia, ha pretendido esta aspiración imposible, lo ha hecho a base de ceder libertades y, sobre todo, a base de transformarse en una patética, enferma y débil sociedad que, al final, se derrumba por su propia debilidad, empujada por otra sociedad con menos aversión al riesgo. El riesgo, dentro de unos límites aceptables, es necesario para evolucionar.
Sobre la “cultura de la Defensa” habría mucho de lo que hablar. Más aún en el dominio ciber. Sólo me gustaría señalar —por hablar de un caso práctico— que, hace ahora 5 años, un grupo de ciudadanos — profesionales reconocidos en la materia— tratamos de impulsar una acción operativa en el sentido de mejorar nuestras capacidades como nación en materia de ciberdefensa y de ciberseguridad.
Si, desde un primer momento, asumimos que gran parte del talento disponible —aunque sólo sea por número— se encuentra residenciado en la sociedad civil y que —en un mercado globalizado de talento— acceder al mismo se iría haciendo progresivamente imposible, a precio de mercado, por parte del propio Estado; si, además, consideramos que la existencia de canales permanentes de cooperación entre la sociedad civil y las estructuras de Seguridad y Defensa generan externalidades positivas en materia de cohesión social; y, por último, si consideramos el derecho y el deber constitucional que nos asiste —como ciudadanos— para obtener algún tipo de participación en la Defensa de la nación; para nosotros estaba meridianamente claro que el dominio del ciberespacio constituía una oportunidad para la generación de una verdadera “cultura de la Defensa”.
Así, propusimos a varios grupos parlamentarios del Congreso la creación de una “Reserva Estratégica de Talento en materia de Ciberdefensa y Ciberseguridad”, que la prensa denominó “ciberreserva”.
Como suele ser costumbre en nuestro país, la propuesta se pervirtió hasta perderse en el proceloso mundo de las negociaciones políticas sin llegar a ver la luz.
Otros países de nuestro entorno ya han puesto en funcionamiento sus propios modelos análogos, entendemos que porque han sido conscientes de los riesgos, pero también de las oportunidades que ofrece la generación de canales de cooperación permanentes entre la sociedad civil y las estructuras de Seguridad y de Defensa del Estado.
Aquí, el debate se centró en si los voluntarios iban o no a ser retribuidos. Ni siquiera nos dejaron hablar sobre las recompensas del modelo propuesto o sobre las evidentes sinergias que podrían conseguirse con el sector privado al disponer de equipos pluridisciplinares de expertos entrenados en la resolución, de forma holística, de los verdaderos retos en el ciberespacio que nunca… nunca, son exclusivamente técnicos.
Resumiendo: pudimos ser pioneros y, aunque nos hubiéramos equivocado parcialmente, podríamos haber reevaluado los errores cometidos y aprendido de los mismos para ir mejorando el modelo. Pero escogimos no hacer nada y eso, en este dominio, el del ciberespacio, es el camino más corto para obtener un único resultado: el fracaso total.
__ ¿Cuál es el estado del Derecho español ante los delitos cometidos en el ciberespacio? ¿Está lo suficientemente actualizado y los delitos bien definidos? ¿Hay iniciativas para implementar un marco legal de jurisdicción internacional sobre “ciberdelitos”?
El Derecho, como no puede ser de otra manera, por más que se critique su supuesta falta de reflejos, ha de construirse con la adecuada calma y reflexión. Más aún si estamos hablando de actividades delictivas y de aplicación del Derecho Penal.
Existe la tentación de “legislar en caliente” y, sobre todo, abusar de conceptos jurídicos que se aproximan, peligrosamente, a la doctrina del Derecho Penal del Enemigo, de Jacobs.
Por el contrario, la dinamicidad del dominio del ciberespacio induce la urgencia de lidiar con la infinita complejidad de los procesos, algunos delictivos, que se desarrollan en este dominio. ¿Cómo lo resolvemos? Ojalá lo supiera. Si tuviese algún tipo de solución, seguramente estaría ocupando algún puesto de responsabilidad en nuestro organigrama de ciberseguridad. Pero reconozco mi incapacidad para, ni siquiera, atisbar una solución a este, hasta el momento, problema sin solución evidente.
¿A nivel internacional? Detecto una doble dirección. La primera, dentro de un entorno de globalización, induciría la necesidad de generar un marco normativo de Derecho Internacional Público que permitiese responder con las adecuadas garantías y celeridad a los desafíos jurídicos que el dominio del ciberespacio impone. Pero no es menos cierto que empieza a vislumbrarse en el horizonte una tendencia hacia la “balcanización” del ciberespacio que —aunque, por otra parte, considero que deviene en imposible— no es menos cierto que, a buen seguro, generará nuevos conflictos y nuevas amenazas.
__ Como director del Centro de Análisis y Prospectiva de la Guardia Civil, ¿existe una cooperación exterior, dentro de los países de la Unión Europea, que facilite la elaboración de estrategias conjuntas contra las principales “ciberamenazas”?
Aunque no participo directamente en ninguna de ellas dado que son competencia de las unidades operativas del Cuerpo, sin duda, toda la política de la UE en esta materia se encuentra orientada a generar estructuras permanentes de cooperación con el fin de mejorar la eficiencia de los cuerpos policiales en la lucha contra el cibercrimen.
Sólo la UE, como actor internacional, dispone de la fuerza y de los recursos suficientes como para ser actor principal en un necesario y cada vez más conflictivo debate sobre cómo mitigar los riesgos y las amenazas que operan en nuestro quinto dominio de ejercicio de soberanía: el ciberespacio, a nivel internacional.
Cualquier otra vía, según mi opinión, se antoja un brindis al sol, sobre todo en un modelo de desarrollo en el que son los operadores y los proveedores de servicios en la Red los que disponen de los recursos necesarios para la ejecución de la herramientas jurídicas y policiales de cooperación internacional con las que contamos en la actualidad para la persecución de delitos cada vez más complejos de investigar.