¿Está España preparada para una ciberguerra? El rearme silencioso

El mundo ha cambiado, especialmente desde la invasión de Ucrania por parte de Rusia y más recientemente desde la llegada de Donald Trump a la presidencia de Estados Unidos. Estos acontecimientos han puesto encima de la mesa el debate de si los países europeos deben invertir más en defensa.

Gran parte del debate se centra en el desarrollo y adquisición del armamento más tradicional, pero la inversión en ciberseguridad también juega un papel cada vez más destacado, sobre todo teniendo en cuenta el mundo cada vez más interconectado. Pero, ¿se está prestando la atención debida a la ciberdefensa en España?

La necesidad del refuerzo

En estos momentos, España destina el 1,3% de su PIB a cuestiones de defensa. Una partida que podría aumentar hasta el 2 o incluso el 3% (aunque hay países que elevan este dato hasta el 5% de su actividad económica).

Mientras que muchos números se centran en la inversión en tanques, aviones y armamento convencional, expertos y profesionales del sector advierten de la necesidad urgente de fortalecer las capacidades de ciberseguridad de España, no solo para proteger infraestructuras críticas, sino también para garantizar la seguridad de los ciudadanos y la economía en un mundo cada vez más digitalizado.

Según Manuel Monterrubio, consejero experto en ciberseguridad, la inversión estatal de España en ciberseguridad es alarmantemente baja en comparación con otros países europeos. Aunque no hay cifras oficiales, se calcula que si en España el gasto militar actual se sitúa en torno al 1,3% del PIB, con una proyección de alcanzar el 2% para 2029-2030, la partida destinada a la defensa digital sumaría 160 millones frente a los 1.000 millones que invertiría Francia, los 1.600 de Alemania o los 1.800 de Italia. Monterrubio subraya la desproporción al señalar que, en relación al PIB, España invierte un 0,010%, mientras que países como Francia alcanzan el 0,030%. «La media europea sería como la inversión de Italia, el 0,35% del PIB. Es decir, estamos 3,5 veces por debajo de lo que nos toca», explica a esta redacción.

Esta falta de inversión contrasta con el creciente impacto económico de los ciberataques. A nivel global, se estima que el coste de los ciberdelitos alcanzará los 10,5 billones de dólares para 2025, lo que representa un aumento anual del 15%. Félix del Barrio, director general de Incibe, destaca cómo el conflicto en Ucrania ha marcado un «cambio de paradigma en materia de lo que debe ser la estrategia de inversión en el ámbito de la ciberseguridad y la ciberdefensa». La experiencia ucraniana está demostrando la vulnerabilidad de las infraestructuras críticas y la importancia de la resiliencia cibernética para la continuidad de las funciones esenciales de un estado. De hecho, uno de los primeros ataques rusos fue, precisamente, contra el centro de datos del gobierno (información que, gracias a la colaboración de grandes empresas, fue trasladada a la nube antes de ese ataque, lo que permitió al estado ucraniano seguir funcionando).

Es más, Del Barrio considera que en el contexto actual «es muy difícil el separar qué es ciberdefensa, de qué es ciberseguridad. Porque, en este caso, el tipo de ataque da igual de dónde proceda, requiere el mismo tipo de tecnología y de preparación para resistirlo».

Antonio García, CEO de Teldat, coincide en la necesidad de aumentar el gasto en ciberdefensa, especialmente en un contexto geopolítico complejo. «La ciberdefensa también forma parte de ese tipo de ataques», recordando cómo un reciente ataque en Ucrania conllevó un apagón generalizado. «Eso es una manera muy eficaz de poder hacer ataque de un gobierno invasor a un nuevo continente». detalla. «El país o estado que no esté aumentando en ciber proporcionado a lo que aumenta en defensa, tiene un problema. De hecho, debería crecer más ciber que la propia defensa», asegura David Conde, DFIR & Threat Hunting Manager de Thales S21sec.

¿Fiarse de cualquiera?

Pero, en este escenario, hemos querido preguntar si, como ya ocurriera con las infraestructuras de telecomunicaciones (en las que Europa impuso un veto a las compañías chinas, al no fiarse del uso que podrían hacer de los datos que viajaban por esas redes), los estados deberían fiarse de cualquier proveedor a la hora de contratar soluciones de ciberseguridad.

Para García, la respuesta es clara, especialmente en infraestructuras críticas. «Debe haber una economía libre, pero en determinado tipo de infraestructuras críticas creo que debemos confiar en los actores locales, que son los que al final van a tener esa garantía de que ese software está limpio y que evidentemente no está sujeto a gobiernos extranjeros». Pero, al mismo tiempo, Gracia se lamenta de que gran parte de la inversión actual en ciberseguridad en España se destine a tecnología extranjera.

En este punto, el CEO de esta compañía pone en valor las diferentes certificaciones que, en materia de seguridad, impone España (como el Esquema Nacional de Seguridad), pero añade que, en el caso de su empresa, dejan ver el código fuente de sus productos para que se compruebe que no hay «puertas traseras».

La cuestión de la confianza en los proveedores se torna aún más relevante en un escenario de ciberguerra. Conde señala la paradoja de que, en tiempos de conflicto, la paranoia puede llevar a desconfiar de cualquier proveedor, incluso de aliados tradicionales. Sin embargo, enfatiza la necesidad de aliados y socios estratégicos para hacer frente a las amenazas.

En cuanto a la conciencia pública sobre la importancia de la ciberdefensa, las opiniones son variadas. Conde reconoce que, a diferencia de un ataque físico, las consecuencias de un ciberataque pueden ser más silenciosas pero igualmente dañinas. «En la ciberguerra el buen escenario es cuando nadie se ha dado cuenta. Entonces parece que no existe ciberguerra cuando, en realidad, estás en un mundo más silencioso, más dañino, más peligroso, con mayor superficie de impacto porque puedo atacar en sistemas y a 5.000 o 10.000 km de manera instantánea».

Escenario digital

David Conde, DFIR & Threat Hunting Manager de Thales S21sec, también aboga por un aumento en el gasto en ciberdefensa, no solo por presiones regulatorias, sino por la propia naturaleza de los conflictos actuales. «No existe una defensa sin ciberdefensa», subraya, asegurando que hoy en día todo el escenario es digital. «No existe la diferencia entre defensas y la ciberdefensa». Conde advierte sobre los riesgos para la infraestructura crítica del Estado, como redes ferroviarias, suministro eléctrico y depósitos de combustible. Es más, considera que solo estamos viendo la punta del iceberg en lo que a ciberseguridad se refiere. «Por debajo hay una guerra brutal».

Monterrubio coincide en que la concienciación a nivel ciudadano aún es limitada, aunque en las grandes empresas sí existe una mayor comprensión del riesgo. «En las empresas grandes sí son muy conscientes en general, pero en empresas más medianas yo creo que hay gente que no es consciente». Mientras, para Félix del Barrio la naturaleza humana lleva a menudo a tomar precauciones solo después de experimentar las consecuencias negativas. «Desgraciadamente, el ser humano opera así y terminamos a veces acudiendo a tomar medidas de precaución cuando vemos los efectos devastadores que puede tener un liberal».

Tanto Conde como Del Barrio sugieren que un incidente cibernético de gran magnitud podría ser el catalizador para una mayor concienciación sobre la importancia de la ciberdefensa.

Conde recuerda el impacto del ataque de WannaCry como un ejemplo de evento que generó una concienciación importante. «Para mi negocio, cuando el cliente ve al lobo es cuando empieza a entender el riesgo que yo le trato de contar». Del Barrio lamenta que a menudo se necesite un evento grave para que la sociedad tome conciencia de los riesgos cibernéticos.

Talento patrio

Pese a todo, todos estos interlocutores consideran que en España hay talento de sobra para hacer frente a las ciber amenazas y que, en términos generales, estamos preparados para estos escenarios bélicos. Uno de los principales riesgos es el ataque de infraestructuras críticas, red de ferroviaria, red de transportes, suministro, electricidad o el robo de información. Aunque en España ya se han producido ataques a algunos de estos recursos, lo cierto es que no hay que lamentar, afortunadamente, grandes incidencias y, sobre todo, bajas humanas.

Además, el director general de Incibe asegura que «tenemos un nivel de madurez de nuestros sistemas de tecnologías muy elevado que reduce mucho el riesgo efectivo a que se produzcan ese tipo de ciberataques en general».

El sector aeroespacial, al alza

►La industria de defensa, seguridad, aeronáutica y espacio en España ha experimentado un notable impulso, alcanzando una facturación de 12.135 millones de euros en 2022. Este crecimiento ha permitido que las empresas del sector refuercen su apuesta por la innovación, especialmente en el ámbito aeroespacial.

Fuentes del sector indican que la inversión en I+D se está dirigiendo principalmente al desarrollo de nuevas tecnologías para aeronaves, sistemas de seguridad y proyectos espaciales. Se espera que esta tendencia continúe en los próximos años, consolidando a España como un actor relevante en el mercado internacional de defensa y seguridad. El auge del sector también está generando empleo de alta cualificación y promoviendo la colaboración entre empresas, universidades y centros de investigación.