D. Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional

Javier Candau,  es Coronel de Artillería. Ingeniero Industrial con especialidad en electrónica y automática. Especialista criptólogo. Dispone de diversas certificaciones de especialización en seguridad de las TIC. Tiene más de 20 años de experiencia en ciberseguridad.
Los principales cometidos de su Departamento son la formación del personal especialista en seguridad de la Administración, el desarrollo de políticas, directrices guías e informes del CCN (Series CCN-STIC e Informes CCN-CERT), el desarrollo de la herramientas de ciberseguridad en apoyo al sector público, la supervisión de acreditación de sistemas y la realización de auditorías de seguridad.
Responsable de la Capacidad de Respuesta ante Incidentes gubernamental (CCN-CERT )

¿Qué funciones tiene el Centro Criptológico Nacional?

El CCN fue creado mediante la Ley 11/2002 reguladora del Centro Nacional de Inteligencia. Posteriormente, las primeras funciones se definieron en el RD 421/2004 que establece su ámbito de actuación y funciones. En ese momento, recibíamos misiones preventivas y también relacionadas con el material de cifra como, por ejemplo, el desarrollo de equipos de cifra que protegieran la información clasificada nacional, la formación del personal especialista, el desarrollo de normas, guías e instrucciones o las auditorías de sistemas clasificados. En estas fechas se recibió también el mandato de constituir el organismo de certificación de la seguridad de las TIC de acuerdo al estándar internacional Common Criteria.

A partir del año 2006, este organismo recibe la instrucción de constituir la Capacidad de Respuesta a Incidentes de la Seguridad de la Información como CERT Gubernamental/Nacional. Este mandato se refleja finalmente en el RD 3/2010 del Esquema Nacional de Seguridad y en sus sucesivas actualizaciones (2015 y 2022).

Las misiones del CCN-CERT son:

  • Actuar con la máxima celeridad ante cualquier ciberataque
  • Alertar e informar sobre las vulnerabilidades de las tecnologías y los sistemas del sector público
  • Formar al personal del sector público en ciberseguridad
  • Redactar guías e instrucciones que desarrollen el ENS y que permitan la configuración segura de las diferentes tecnologías

Además, se han completado las misiones del CCN-CERT con la llegada de otras normativas, como la Directiva NIS europea (transpuesta al ordenamiento jurídico español mediante el Real Decreto Ley 12/2018 de seguridad de las redes y sistemas de información y el Real Decreto 43/2021 por el que se desarrolla el Real Decreto ley 12/2018) o con el RDL 14/2019 por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

Así, en 2023, los objetivos principales del CCN y del CCN-CERT son los siguientes:

  • Desarrollo de productos de cifra y otros especialmente críticos que requieran solo de tecnología nacional.
  • Ser Autoridad de Certificación Nacional de productos, procesos y servicios según los estándares que se indiquen en la ley de ciberseguridad de la UE.
  • Proporcionar un catálogo de productos y servicios con unas garantías de seguridad contrastadas (CPSTIC).
  • Proporcionar servicios de PREVENCIÓN como el desarrollo de guías, la formación del personal, la realización de auditorías y la implantación del ENS. En este sentido, consideramos que es preciso desarrollar plataformas que permitan al sector público la gestión de la ciberseguridad y que proporcionen métricas del su nivel de seguridad.
  • Proporcionar servicios de DETECCIÓN e INTERCAMBIO de información. Con ello, se debe impulsar el desarrollo de herramientas nacionales de detección y fomentar el intercambio de ciberincidentes y ciberinteligencia. Estos son los dos servicios fundamentales que va a proporcionar la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, establecida en el RD 43/2021, siendo la ciberinteligencia el servicio fundamental a proporcionar por el CCN-CERT.
  • Fomentar la capacidad de RESPUESTA mediante la creación de CERT/CSIRT/SOC en el ámbito general, autonómico y local e integrar estas capacidades en la Red Nacional de SOC que, a su vez, lo hará en las redes equivalentes de la Unión Europea.

Como ha evolucionado la ciberseguridad en estos dos últimos años: tecnologías, Inversión, recursos, control de riesgos, modelos. ¿Somos más seguros que antes de la pandemia?

La pandemia nos obligó a acelerar a marchas forzadas los procesos de transformación digital y otorgó una relevancia especial al teletrabajo y a todo lo que ello conlleva. Cambió el paradigma, y con él se desvaneció el perímetro de seguridad; es decir, la superficie de exposición incrementó de un modo exponencial. Por ello, las aproximaciones tradicionales a la ciberseguridad ya no sirven.

Por ello, respecto a las tecnologías y procedimientos, en los dos últimos años destacan los análisis de riesgos dinámicos, las aproximaciones prácticas a la implantación de medidas de ciberseguridad, el principio de auditoría y vigilancia continua, y la aplicación sin excusas del mínimo privilegio (también llamado ZERO TRUST).

Respecto a la inversión, la ciberseguridad debe estar presente en los comités de dirección de empresas e instituciones públicas y no puede reducirse a un aspecto más a delegar en el director de sistemas o en el director de la información. La información y conocimiento de cualquier organización se maneja en los sistemas y estos son el núcleo fundamental de nuestra actividad. Por ello, la seguridad de los sistemas debe estar presente en todos los procesos de decisión. Cualquier desarrollo nuevo debe estar dotado de una dimensión de ciberseguridad, y la inversión dedicada a proteger nuestro principal activo debe situarse, como mínimo, entre el 15 y el 20% de la inversión total de una organización.

Respecto a los recursos, el CISO o responsable de ciberseguridad debe disponer de una oficina de seguridad que le permita el desarrollo y la aplicación de políticas adecuadas; de un órgano de auditoría técnica capaz de evaluar cada aplicación o sistema que entra en producción; y de un SOC o centro de operaciones de ciberseguridad, preferentemente propio y si no subcontratado, que permite la vigilancia continua.

El análisis de riesgos se debe realizar en tiempo real para disponer de una valoración inmediata ante cualquier cambio de situación (nuevas vulnerabilidades, aparición de nuevos procedimientos de ataque, cambio de situación geopolítica…).

En definitiva, el modelo de ciberseguridad que tenemos que aplicar es el basado en la PREVENCIÓN, DETECCIÓN y RESPUESTA, priorizando el intercambio continuo de información. Con este nuevo paradigma, seremos más ciberseguros. En estos momentos nos encontramos en un proceso de transición.

En definitiva, el modelo de ciberseguridad que tenemos que aplicar es el basado en la PREVENCIÓN, DETECCIÓN y RESPUESTA, priorizando el intercambio continuo de información.

¿Cuáles son los principales retos a los que se enfrenta hoy en día la sociedad en materia de ciberseguridad?

Respecto a las amenazas, el fraude/estafa digital seguirá siendo el que gane en número de incidentes (mediante phishing, smishing, vishing, etc..), pero por complejidad e impacto tanto el ciberespionaje como el cibercrimen, especialmente el ransomware, seguirán siendo el reto contra el que protegernos.

No obstante, en 2023 nos enfrentamos fundamentalmente a la transformación digital.

En el CCN nos gusta repetir el siguiente lema:
“NO HAY TRANSFORMACIÓN DIGITAL SIN CIBERSEGURIDAD”

Si cumplimos este principio, podremos superar los retos a los que nos enfrentamos.

¿Cree que la sociedad está suficientemente concienciada sobre la importancia de la protección de datos y ciberseguridad?

La concienciación es cada vez mayor, pero todavía queda camino por recorrer. Haciendo un paralelismo, deberíamos llegar a los niveles de concienciación que existen en otros ámbitos como puede ser el de la seguridad vial. No somos conscientes, en muchas ocasiones, de que una relajación de las medidas de ciberseguridad puede llevar al desastre con la caída de los servicios y el compromiso de la información de una organización.

¿Cuáles son las líneas básicas de la estrategia nacional de ciberseguridad?

La Estrategia Nacional de Ciberseguridad de 2019 fijaba un objetivo general y cinco específicos que debían orientar la acción del Estado: la seguridad y resiliencia de las redes y los sistemas de información y comunicación del sector público y de los servicios esenciales; el uso seguro y fiable del ciberespacio frente a un uso ilícito o malicioso; la protección del ecosistema empresarial y social y de los ciudadanos; la cultura y compromiso con la ciberseguridad y potenciación de las capacidades humanas y tecnológicas y la seguridad del ciberespacio en el ámbito internacional.

En este sentido, las líneas básicas son la mejora de las capacidades para obtener disuasión ante los ciberataques, la mejora de las capacidades de inteligencia, militares y de respuesta legal, el impulso a la cooperación internacional y la mejora del sector privado, así como la protección de los ciudadanos.

¿Cuáles considera que son las claves actuales para garantizar la seguridad y protección de datos?

La protección de datos y la ciberseguridad son aproximaciones que deben ser concurrentes. La LO 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, en su disposición adicional primera, establece que el sector público puede demostrar cumplimiento de lo establecido en el Reglamento General de Protección de Datos (RGPD) disponiendo de una certificación adecuada en el ENS.

No se pueden proteger los datos de carácter personal sin ciberseguridad.

En los últimos doce meses se ha producido un aumento en el número de organizaciones que experimentaron ciberataques, ¿vamos perdiendo en la carrera contra los ciberdelincuentes?

Como comentaba anteriormente, la pandemia y el teletrabajo han destruido el perímetro de seguridad, así como la aproximación a la ciberseguridad que teníamos anteriormente. Los ciberatacantes están cada día más preparados, motivados y organizados para conseguir su objetivo: acceder en nuestros sistemas.

Por ello, los defensores debemos cambiar nuestro modelo y adaptarnos con urgencia a esta nueva situación. Debemos migrar a modelos de intercambio intensivo de información, puesto que la colaboración en los ámbitos de detección y protección antes amenazas es fundamental. No podemos considerarnos castillos individuales que tenemos que defender.

….la colaboración en los ámbitos de detección y protección antes amenazas es fundamental.

Si conseguimos este cambio seremos tan eficaces como los actores de la amenaza y el coste del ataque empezará a incrementar, de tal modo que dejará de ser tan rentable como ahora.

La escasez mundial de talento cualificado en ciberseguridad, ¿agrava la tarea ya difícil de proteger contra el volumen creciente de amenazas avanzadas y sofisticadas?

La falta de personal con capacidades en ciberseguridad es un problema recurrente. Ahora mismo, el tamaño de los equipos de ataque respecto a los de defensa favorece a los primeros. Debemos invertir esa tendencia y hacer muy costosa una operación de ataque.

Por desgracia, todavía un ataque de bajo nivel logra acceder a nuestros sistemas. Tenemos que conseguir que esto solo sea abordable por atacantes de muy alto nivel.