Entrevista > José Manuel García / Dtor. Gnral. de Tecnologías de la Información y las Comunicaciones (Sao Paulo, Brasil, 19-julio-1969)
El teléfono móvil, el ordenador, o incluso los electrodomésticos más clásicos… Hoy en día la conectividad a Internet se ha extendido a todos los rincones de nuestra vida. Este uso permanente ha aumentado también exponencialmente los riesgos a la seguridad, tanto de los ciudadanos, las empresas como, por supuesto, la Administración.
En la Comunitat Valenciana se trabaja desde hace más de una década para combatir y minimizar esos riesgos que, pese a todo, ven cómo los ciberataques aumentan año tras año. Desde la dirección general de Tecnologías de la Información y las Telecomunicaciones, y el Centro Seguridad TIC de la Comunitat Valenciana, trabajan de manera continua para estar más preparados de cara a una expansión de la tecnología, cuyo auge ya es imparable.
Su director general, José Manuel García Duarte, acompañado de la subdirectora de Ciberseguridad, Carmen Serrano, nos explican cómo trabajan desde la Administración para que este riesgo se vea reducido.
¿Qué análisis global haría de cómo ha cambiado la sociedad y, por lo tanto, el trabajo en ciberseguridad en los últimos años?
El mundo ahora está hiperconectado. Hemos pasado de una conectividad limitada a una situación donde cualquiera puede acceder a casi cualquier cosa desde su dispositivo móvil. Esto aumenta nuestra exposición a riesgos.
Esta hiperconectividad ha obligado a grandes corporaciones y a la Administración a aumentar sus niveles de defensa. La Generalitat creó su servicio de ciberseguridad en 2012, y en los últimos años hemos elevado su responsabilidad a nivel de subdirección general, lo que refleja la importancia creciente de este campo.
¿Cree que la gente es consciente de los riesgos asociados a esta hiperconectividad?
Es necesario distinguir entre el ciudadano común y las personas con responsabilidades en la Administración o en las empresas. La sociedad es más consciente gracias a la comunicación constante, pero muchos prefieren exponerse a cambio de servicios gratuitos, pagando con su privacidad. Aunque son conscientes de que el riesgo existe, a menudo no comprenden completamente la magnitud de lo que implican sus acciones, como aceptar cookies o usar redes sociales sin restricciones.
En cuanto a las grandes corporaciones, algunas entienden la complejidad de los riesgos, pero otras no tanto. Los vectores de ataque, como los llamamos técnicamente, son múltiples y cada vez más complejos. La inversión en recursos económicos y personales para defenderse ha crecido enormemente, especialmente después de la pandemia, pero la sensibilidad y la comprensión de estos riesgos no siempre han crecido al mismo ritmo.
«El objetivo es crear un entorno más seguro y resiliente frente a las amenazas cada vez más sofisticadas a las que nos enfrentamos»
Hablando de privacidad, muchos no son conscientes de los riesgos cuando, tal y como comentaba, aceptan cookies o comparten información en redes sociales.
Es imprescindible invertir en pedagogía, tanto para los adultos como para los jóvenes, quienes son el futuro. Es crucial que el sistema educativo incluya formación sobre privacidad y ciberseguridad.
Los jóvenes no perciben la privacidad de la misma manera que las generaciones mayores, y es nuestra responsabilidad educarlos en el uso seguro de las herramientas tecnológicas. La privacidad no es solo un concepto abstracto, sino que afecta a la vida cotidiana, como cuando alguien publica fotos de un viaje y anuncia que estará fuera de casa, exponiéndose al riesgo de robo.
¿La sobreexposición en redes sociales puede poner en peligro a organizaciones enteras si los datos personales se utilizan para ataques dirigidos?
Así es. El riesgo no es solo personal. En la actualidad, muchos teletrabajan desde casa y utilizan herramientas corporativas en sus dispositivos personales. Si un dispositivo doméstico está comprometido, puede ser la puerta de entrada para un ataque a toda la empresa.
Además, el uso de las mismas contraseñas para múltiples cuentas es un gran riesgo. Si un atacante consigue una de tus contraseñas, podría acceder a sistemas más críticos.
«Hay una carencia significativa de profesionales capacitados en ciberseguridad»
¿Cómo se maneja la ciberseguridad en las redes sociales desde la Generalitat?
No controlamos lo que la gente publica en redes sociales, pero realizamos análisis en fuentes abiertas para detectar posibles riesgos o fugas de información. Por ejemplo, monitoreamos si se publica algún fichero que no debería estar disponible. Sin embargo, no podemos filtrar todo sin afectar la libertad individual de las personas.
Los ciberataques han aumentado exponencialmente. ¿A qué se debe y cómo se trabaja para contrarrestarlos?
El aumento de los ciberataques se debe principalmente al uso cada vez mayor de la tecnología, y a la mayor exposición que esto conlleva. Desde finales de los noventa, los ciberataques han ido en aumento, porque cada vez más personas utilizan la tecnología.
La pandemia fue un evento no tecnológico que aceleró esta exposición, ya que muchas personas comenzaron a usar masivamente herramientas digitales debido al confinamiento. Otro factor es la inestabilidad política global, especialmente la guerra en Ucrania, que ha intensificado los ciberataques entre bloques como Rusia y el mundo occidental.
«Se está utilizando la inteligencia artificial tanto para ataques como para defensa»
¿Qué medidas se toman para proteger los datos, especialmente en un entorno tan expuesto?
Implementamos medidas de seguridad en todos los niveles: dispositivos, usuarios, redes y servidores. Tenemos sistemas de monitorización y prevención que detectan y bloquean accesos sospechosos.
A menudo explico esto usando un símil medieval: hemos construido múltiples murallas y torres de vigilancia para proteger nuestros sistemas. Pero también tenemos un talón de Aquiles: si alguien logra suplantar la identidad de un funcionario, podría atravesar todas nuestras defensas. Por eso, es crucial la formación y la concienciación para minimizar este riesgo.
La inteligencia artificial (IA) se ha convertido en un tema central, ¿cómo afecta a la ciberseguridad?
La IA se está utilizando tanto para ataques como para defensa. Los atacantes la usan para crear malware y suplantar identidades con mayor precisión. Por ejemplo, ahora es posible que alguien participe en una videoconferencia donde todo, desde la voz hasta la imagen, esté suplantado por IA.
Nosotros también estamos comenzando a usarla para detectar y responder a estos ataques más rápidamente. La tecnología trae beneficios, pero también presenta nuevos desafíos en seguridad.
«Hemos pasado de una conectividad limitada, a una situación donde cualquiera puede acceder a casi cualquier cosa desde su dispositivo móvil»
¿Cuál es el rol que juega el blockchain en la ciberseguridad?
Estamos en una etapa inicial de uso del blockchain, principalmente para la trazabilidad y la integridad de la información, como asegurar que los mensajes en los buzones ciudadanos no sean alterados.
Aunque el blockchain fue una moda que ha sido eclipsada por la IA, estamos explorando cómo integrarlo en nuestros sistemas para mejorar la seguridad a largo plazo. Sin embargo, estamos evitando dejarnos llevar por las modas y nos enfocamos en encontrar usos prácticos para esta tecnología.
Se ha hablado en diferentes foros de la dificultad para encontrar personal capacitado en ciberseguridad. ¿Es un problema real?
Sí, hay una carencia significativa de profesionales capacitados, tanto en la Administración como en las empresas. La demanda de talento ha crecido exponencialmente, especialmente después de la pandemia, pero la oferta no ha seguido el mismo ritmo.
Las universidades y centros de formación no están produciendo suficientes especialistas para cubrir la demanda, y las empresas están compitiendo ferozmente por el talento disponible. Este problema no es exclusivo de la Administración, afecta a todo el sector tecnológico.
«Muchos prefieren exponerse a cambio de servicios gratuitos, pagando con su privacidad»
¿Cómo afecta la externalización en este contexto?
La externalización es necesaria, porque no podemos contar con todos los técnicos capacitados que necesitamos internamente. Sin embargo, las empresas también están luchando para encontrar personal cualificado, lo que complica aún más la situación.
Antes de la pandemia, el nivel de externalización ya era alto, pero ahora ha aumentado debido a la creciente demanda tecnológica en la Administración y las empresas. La externalización nos permite mantener la eficiencia, pero también revela la escasez de talento en el sector privado.
Hablando de la guerra en el ciberespacio y los fondos europeos, ¿qué desafíos se enfrentan con los fondos Next Generation?
Los fondos Next Generation han sido difíciles de ejecutar, debido a la desconexión entre las necesidades locales y las directrices impuestas desde Bruselas. Aunque estos fondos son cruciales para mejorar nuestra ciberseguridad, la burocracia y la falta de flexibilidad han ralentizado su implementación. En algunos casos, podríamos no ser capaces de ejecutar los fondos de manera eficiente, lo que es preocupante.
Esto ha generado tensiones entre las comunidades autónomas y el gobierno central, y ha habido denuncias sobre la gestión de estos fondos. A pesar de los desafíos, algunos de ellos nos están ayudando a mejorar significativamente, especialmente en áreas como la ciberseguridad de la Administración y las empresas.
«Nuestro Centro de Seguridad continuará vigilando y aumentando los servicios para proteger tanto a la Administración como a la ciudadanía»
¿Cuáles son los retos futuros en ciberseguridad?
La ciberseguridad será cada vez más necesaria a medida que la tecnología avance. Debemos centrarnos en la automatización de tareas y en la integración de la IA para mejorar nuestras defensas. Además, nuestro Centro de Seguridad (CSIRT-CV) continuará vigilando y aumentando los servicios para proteger tanto a la Administración como a la ciudadanía.
Estamos trabajando en aumentar la visibilidad del centro como un referente en ciberseguridad, y estamos colaborando con entidades locales y empresas para extender nuestra protección. También estamos prestando atención a la ciberseguridad industrial, dado que los procesos de automatización y la conectividad de la industria la hacen cada vez más vulnerable a ciberataques.
¿Quiere añadir alguna cosa más?
En resumen, el futuro de la ciberseguridad pasa por una mayor automatización, la integración de tecnologías avanzadas como la IA y el blockchain, y una continua colaboración entre la Administración, las empresas y los ciudadanos. El objetivo es crear un entorno más seguro y resiliente frente a las amenazas cada vez más sofisticadas que enfrentamos.
Protección desde la Administración
CSIRT-CV es el Centro de Seguridad TIC de la Comunitat Valenciana. Nace en junio del año 2007, con Francisco Camps de presidente, como una apuesta de la Generalitat de la Comunitat Valenciana por la seguridad en la red.
Se trata de una iniciativa pionera al ser el primer centro de estas características que se crea en España para un ámbito autonómico. Actualmente CSIRT-CV está adscrito a la dirección general de Tecnologías de la Información y las Comunicaciones dentro de la Conselleria de Hacienda, Economía y Administración Pública.
Servicios públicos
Los servicios que ofrece para las tres provincias de nuestra Comunitat son con vocación de servicio público y sin ánimo de lucro, por lo que sus servicios se ofrecen gratuitamente.
Los colectivos destinatarios de estos servicios son los ciudadanos; los profesionales y entidades privadas, especialmente las de menor tamaño; y la propia Administración Pública, tanto local como autonómica.
