Grupo PLaza
+ Seguir en Google Discover

Entrevista

Comunitat Valenciana

Carmen Serrano: "La principal preocupación del sector público en ciberseguridad es la era poscuántica"

Entrevista a la directora de Talaia (CSIRT-CV) y subdirectora general de Ciberseguridad de la Generalitat Valenciana

Últimas Noticias

Suscríbe al canal de whatsapp

Suscríbete al canal de Whatsapp

Siempre al día de las últimas noticias

¡Quiero suscribirme!
Suscríbe nuestro newsletter

Suscríbete nuestro newsletter

Siempre al día de las últimas noticias

VALÈNCIA. La ciberseguridad se ha convertido en uno de los grandes desafíos de las administraciones públicas en plena aceleración digital. La expansión de la inteligencia artificial, el aumento de los servicios conectados, la exposición constante a ataques y la creciente dependencia tecnológica obligan a gobiernos y empresas a reforzar sus sistemas de protección en un contexto cada vez más complejo. En la Comunitat Valenciana, ese proceso pasa ahora por la transformación del histórico CSIRT-CV en Talaia, una nueva marca y un nuevo espacio concebidos para ampliar el alcance de la cultura de la ciberseguridad y acercarla no solo a las instituciones y ayuntamientos, sino también a empresas, centros educativos y ciudadanía. La Generalitat busca así evolucionar de un modelo orientado a lo técnico y centrado en la respuesta a incidentes, para el que sí conservará su nombre original, hacia otro más abierto, divulgativo y conectado con la sociedad.

Al frente de esa estrategia se encuentra Carmen Serrano, directora del centro y subdirectora general de Ciberseguridad de la Generalitat Valenciana. Una de las voces de referencia en ciberseguridad en administraciones públicas en España. Ingeniera informática por la Universitat Politècnica de València y funcionaria de carrera de la Generalitat Valenciana, en esta entrevista aborda los principales retos que afronta el sector público en los próximos años: desde la utilización ofensiva de la inteligencia artificial por parte de los ciberdelincuentes hasta la dificultad de captar talento especializado o la vulnerabilidad creciente de infraestructuras esenciales y sistemas industriales. También pone el foco en una amenaza que ya preocupa a los responsables de seguridad pese a que todavía parece lejana para buena parte de la sociedad: la computación cuántica. 

- Han presentado esta semana Talaia, un centro de ciberseguridad situado en el centro de la ciudad y abierto a la ciudadanía. ¿Por qué decidieron evolucionar el antiguo CSIRT-CV y que ahora convivan estas dos marcas?

- La evolución que hacemos la vemos como una necesidad, porque el panorama de la ciberseguridad es cada vez más complejo. Detectamos que la sociedad es más digital y dependiente del funcionamiento de la tecnología y creemos que ese trabajo que nosotros llevamos haciendo y esa difusión de la cultura de la ciberseguridad tiene que llegar más lejos. El nombre que teníamos de partida nace como un Centro de Respuesta a Incidentes de Seguridad, con un equipo muy técnico y centrado en la respuesta a los incidentes de seguridad, que luego se ha ido complementando con la labor de concienciación, pero con un nombre muy técnico y difícil de pronunciar. El significado no se entendía fuera del mundo de la ciberseguridad y no correspondía con toda la actividad que teníamos en el centro.

Nunca habíamos tenido un espacio público donde la gente nos tuviera identificados como un referente"

Buscamos un nombre más amable, cercano y fácil de recordar para la gente y que tuviera alguna relación con la ciberseguridad. Encontramos Talaia, que son las torres de vigilancia que trabajaban como trabajamos nosotros, colaborando y comunicándose unas con otras para alertarse de los peligros, defendiendo los territorios y a los ciudadanos. Estamos ante una nueva fase. Nunca habíamos tenido un espacio público donde la gente nos tuviera identificados como un referente. Ni siquiera teníamos espacio para que vinieran instituciones como colegios, universidades o confederaciones empresariales. Ahora, nos dotamos de ese espacio, de algo que enseñar, de una serie de actividades ligadas a la nueva etapa del centro y de la oportunidad de haber conseguido financiación de la Generalitat y del Plan de Recuperación y Resiliencia para apoyar ese crecimiento.

- ¿Cómo va a poder interactuar la ciudadanía con el centro?

- Tenemos todo un plan de formación y de acciones ligadas al centro. Todavía no hemos publicado ni la oferta ni los servicios que ofrecemos, porque estamos cerrando esa parte, pero la idea es que puedan concertarse visitas donde se combine la parte demostrativa del laboratorio. Dependiendo de quién nos visite, adecuamos esas demostraciones a lo que pueda estar más relacionado con el colectivo o el sector que venga, y luego ofrecemos formación y concienciación. Ya hacíamos esto porque desde hace años vamos a colegios y centros de primaria y secundaria. También tenemos mucho contenido formativo online y sesiones de concienciación para todos los públicos, desde ciudadanos hasta empresas o administraciones.

 - ¿Cuáles son las principales afectaciones para las empresas a nivel de ciberseguridad?

- Hace tres años hicimos un estudio del estado de la ciberseguridad industrial en la Comunitat Valenciana. Publicamos el resultado y vimos las necesidades que tenía la industria valenciana en cuanto a seguridad y ciberseguridad industrial. Tenemos identificado el tipo de empresa, que generalmente es pyme, el tipo de tecnología que usan y los puntos débiles que tiene el sector industrial de la Comunitat Valenciana. Entonces, nos ha servido para poner el foco en las acciones y decidirlas en torno a esas necesidades.

- ¿Y cuáles son esos puntos débiles?

- Lo principal es que la industria se digitaliza muchas veces sin pensar en la ciberseguridad desde el diseño. Esa es la primera debilidad. Luego, la parte industrial se interconecta con la parte de tecnologías de la información de la industria, por lo que los riesgos de la informática tradicional se transfieren a los sistemas industriales. Aunque heredan los mismos riesgos, tienen unas características diferentes porque son sistemas de control industrial, tecnologías distintas que se suelen actualizar poco. Duran muchos años, con lo cual los riesgos de obsolescencia permanecen más tiempo.

La industria se digitaliza muchas veces sin pensar en la ciberseguridad desde el diseño"

Al final, los riesgos son la interconexión y la exposición a internet, porque ahora hay mucho control en remoto. Al final es más fácil para los técnicos comprobar de esta manera si todo está funcionando bien. Y luego también existen riesgos en la cadena de suministro. El primer sistema industrial que se atacó, Stuxnet, el primer caso de ataque a un sistema de ciberseguridad, se comprometió a través del mantenimiento del sistema del aire acondicionado. Hay muchos puntos de interrelación y dependencia de terceros que detectamos en el estudio y que no se estaban teniendo suficientemente en cuenta.

- ¿Hay sectores que tienen más exposición y que son más críticos?

- Críticos son todos, y más críticos cuantos más vínculos tengan con el mundo físico. Si un sistema está expuesto a internet y se puede interactuar con él, hay riesgos asociados a la modificación de parámetros. Por ejemplo, a una depuradora le cambias un parámetro y contaminas. A un sistema de cloración y distribución de agua le cambias un parámetro y envenenas la red. También hablamos de sistemas médicos o sistemas de control de infraestructuras críticas industriales, porque tienen impacto y son servicios esenciales para la sociedad. Lo importante es identificar los riesgos de los sistemas y gestionarlos para que todo funcione bien y no estén expuestos.

- ¿Cree que la administración valenciana está suficientemente preparada a nivel de ciberseguridad?

- El CSIRT-CV lleva desde 2007 trabajando en la protección de los servicios públicos que ofrece. Sobre todo, muy centrado en las redes y sistemas de la Generalitat, y también de otras administraciones públicas. Nunca podré decir que somos muy seguros, porque la seguridad completa no existe. Pero hay un trabajo, una madurez y una conciencia de la necesidad de protección. Llevamos mucho tiempo trabajando, poniendo seguridad y monitorizando. Como decía, la seguridad total no existe. Es un proceso y hay que entrar en un sistema de gestión de riesgos continuo.

Nunca podré decir que somos muy seguros, porque la seguridad completa no existe"

Además, no es una foto fija. La tecnología cambia cada día, se introducen aplicaciones nuevas, servicios nuevos y servidores nuevos, con lo cual es un trabajo que no se acaba nunca y la tecnología evoluciona muy rápido. Primero fueron las telecomunicaciones, luego los accesos remotos que abrimos de forma muy acelerada durante la covid, la nube, que nos ha llevado a dispersar servicios y datos por todas partes, y ahora la inteligencia artificial. Es un reto mantener siempre la seguridad y avanzar en la mejora continua.

- ¿Qué ha supuesto la IA en este escenario?

- Como toda tecnología, tiene dos caras. Depende de quién la use. Si se usa para el bien, es maravillosa. Si se usa para el mal, trae riesgos. Hay que aprovechar la tecnología. Nunca vamos a darle la espalda. Aporta mucho y, sobre todo, a la administración le ofrece muchas ventajas. Va a ayudar a hacer más productivos los servicios, pero, como ocurre con todas las tecnologías, hay que analizar los riesgos que supone y hacer las cosas pensando en la ciberseguridad desde el inicio de los proyectos.

La IA ofensiva nos preocupa, pero también tenemos esta tecnología de nuestra parte"

Claro que se nota que hay IA, porque los atacantes la utilizan y lo pueden hacer de muchas formas. Para identificar objetivos, conocerlos mejor, desarrollar herramientas de ataque o encontrar vulnerabilidades desconocidas mediante análisis profundos de código. La IA ofensiva nos preocupa, pero también tenemos esta tecnología de nuestra parte. La podemos utilizar para identificar vulnerabilidades. Parte de nuestro trabajo es detectar anomalías: qué está pasando en la red y cómo podemos anticipar la detección para hacerla más temprana. Cada vez hay más herramientas de defensa que aplican inteligencia artificial, con lo cual también la tenemos a nuestro favor.

- ¿Cuántos ataques pueden llegar a la Generalitat?

- Nuestra labor es tener una visión lo más amplia posible de lo que sucede en la red y recoger esa información. Hablamos de 15.000 millones de eventos de seguridad que recogemos para hacer esa monitorización y seguimiento de lo que ocurre. Todo eso se procesa y se correlaciona. Para ello usamos reglas de inteligencia que muchas veces nos vienen dadas por otros centros o fabricantes, aunque muchas también las desarrollamos nosotros.

El año pasado trabajamos casi 5.000 eventos que podían convertirse en incidentes reales. De muchos de ellos tenemos automatizada la contención porque son cuestiones habituales, como temas relacionados con el correo electrónico. Contamos todos los incidentes en la misma bolsa, pero algunos son mucho más complejos y otros son simplemente un phishing que se bloquea. Algunos tienen impacto y son críticos y acaban en una denuncia ante la Policía.

- ¿Hay alguno que se pueda contar?

- Denunciamos a la Policía ataques que tenemos frecuentemente asociados con el conflicto de la guerra de Ucrania. No solo nos atacan a nosotros, sino en general a las administraciones públicas. Hay grupos que lanzan oleadas según el apoyo que se va mostrando al conflicto y que muchas veces ni siquiera llegan a afectarnos, aunque manifiestan públicamente que sí lo han hecho. Suelen dirigirse al portal de la Generalitat. Buscan hacer daño y ganar notoriedad.

También tenemos mucha información de los ciudadanos y somos un objetivo atractivo para el robo de datos. Vemos campañas constantes de phishing. Hace poco tuvimos una suplantando a la Policía Nacional. Ahora estamos en campaña de la renta y aparecen muchas relacionadas con la Agencia Tributaria. Lo que buscan es comprometer cuentas de usuario o robar información. Eso forma parte de nuestro día a día. Al final, sobre todo buscan información porque gestionamos la vida de todos nuestros ciudadanos en Justicia, Educación, Sanidad y todos los servicios administrativos.

- La Sindicatura calificaba de "inaceptable" la ciberseguridad de parte del sector público instrumental valenciano. 

- Hay que entender qué es lo que está auditando la Sindicatura. Ellos auditan las cuentas y los sistemas con los que se gestionan, porque buscan que haya confidencialidad e integridad. Realmente, la auditoría que hacen es muy de gobernanza, no tanto de las medidas técnicas que hay detrás. Sí es verdad que los entes del sector público tienen su propia informática y son autónomos, y muchas veces falta sensibilidad por la ciberseguridad en general. Entonces, miden mucho esa parte y hace falta un impulso a la gobernanza y a esa preocupación.

- También han extendido su protección a los ayuntamientos.

- A todos los que tienen informática independiente siempre les ofrecemos respuesta a incidentes de seguridad, que es nuestro núcleo básico. Allí donde hay un incidente en una administración pública de la Generalitat Valenciana, ahí estaremos. Muchas veces estos incidentes requieren una desconexión del sistema y presencia física, y ahí actuamos en la respuesta y la contención para evitar que el problema se expanda, además de encargarnos de la investigación y la recuperación. Esto lo hacemos para todas las administraciones.

Para el sector público instrumental queremos desarrollar un plan, como hicimos con los ayuntamientos"

Para el sector público instrumental también queremos desarrollar un plan. Hicimos un plan de choque con los ayuntamientos porque, a raíz de la pandemia y de la apertura masiva del acceso remoto, tuvieron muchos ataques. Además, hubo una incidencia especial en la Comunitat Valenciana en 2021, especialmente en primavera, con ataques de ransomware que impedían el uso de los sistemas y que muchas veces iban acompañados de robo de datos y doble extorsión. Decidimos que había que hacer algo por ellos y frenar lo que estaba pasando, porque son la administración más cercana a los ciudadanos.

Entonces, pusimos en marcha un plan de choque para integrarlos no solo en la respuesta y el asesoramiento o formación que ya ofrecíamos, sino también en la vigilancia y detección temprana. Tenemos servicios según el tipo y el tamaño del ayuntamiento. Y trabajamos siempre desde la mejora continua y el aprendizaje de lo ocurrido. En el sector público instrumental, al existir tanta variedad de tamaños, desde entidades muy pequeñas hasta otras muy complejas como Ferrocarrils de la Generalitat Valenciana, hemos realizado análisis de sus tecnologías y diseñado planes de medidas de ciberseguridad, aunque la parte de gobernanza les corresponde a ellos.

- A nivel ciudadano, ¿qué no tiene en cuenta la gente en materia de ciberseguridad?

- En general, como la tecnología atrae y mucha gente utiliza inteligencia artificial, el mayor riesgo es la inconsciencia del riesgo. ¿Somos conscientes de que cuando hacemos una foto y la subimos a una IA para que genere un vídeo gracioso esa información puede acabar en cualquier lugar y tener determinados usos? Hay riesgos asociados a imágenes o fragmentos de audio y a la suplantación de identidad. O tal vez hoy nuestro concepto de privacidad tenga que cambiar respecto al de antes, porque vivimos muy expuestos.

¿Somos conscientes de que cuando hacemos una foto y la subimos a una IA puede acabar en cualquier lugar?"

Pero si asumimos que la vida es así, compartimos cosas en redes sociales, usamos nubes o servicios gratuitos que nos compensan, al menos debemos ser conscientes de ello. Con una foto y un audio se puede generar una suplantación muy convincente en vídeo. Tenemos que aprender a activar esa alerta. Eso es lo que intentamos enseñar a los niños en los colegios: que piensen y tengan conciencia de lo que hacen. Si toda la ciudadanía tuviera esa conciencia, me daría por satisfecha.

- ¿Por qué decidieron lanzar un concurso para reforzar el CSIRT-CV y abrir un centro de ciberseguridad?

- El mundo de la ciberseguridad es muy especializado. Necesitas equipos y recursos altamente cualificados. Al final, el sector público necesita que empresas privadas especializadas en ciberseguridad nos aporten personal técnico capacitado, actualizado y tecnologías punteras. Es muy difícil conseguir eso dentro de la administración. La provisión de personal público no permite pedir perfiles tan específicos. Además, existe una gran carencia de profesionales en el mercado. Las universidades no tienen capacidad suficiente para formar todos los perfiles necesarios y hay una falta general de especialización en ciberseguridad. También, con el trabajo en remoto se compite con empresas y países de fuera, y retener talento es mucho más complicado. Por eso necesitamos empresas especializadas como S2, que además es valenciana, para aportar esa especialización que no tiene la administración.

- ¿Cómo puede incorporar la administración más recursos humanos en este ámbito? 

- En mi caso, cuando terminé la carrera, muchos fuimos a la administración. Pero hoy, competir con el mercado desde la administración es muy complicado. Lo que antes se valoraba, como la estabilidad laboral, quizá ya no pesa tanto porque hay muchísimo trabajo y los profesionales encuentran empleo enseguida. Es difícil atraer talento desde la administración, aunque creo que podemos ofrecer proyectos tecnológicos complejos e interesantes. Somos una gran organización y eso puede ser atractivo. Pero no podemos competir en salarios ni en determinadas trayectorias profesionales, y la gente joven busca otras cosas.

Es difícil atraer talento desde la administración, aunque creo que podemos ofrecer proyectos tecnológicos complejos e interesantes"

Es un problema que tenemos y debemos replantearnos cómo atraer talento y quizá buscar otras fórmulas. Las oposiciones generan cierta distancia con la gente joven. Podemos ofrecer proyecto y deberíamos saber venderlo mejor. Al final, se trata de garantizar servicios públicos a la ciudadanía y ver que tu trabajo tiene impacto social puede ser un atractivo, pero hay que explicarlo bien.

- En estas instalaciones se ubica el laboratorio de innovación en ciberseguridad. ¿En qué se está trabajando?

- Nos ha dado la posibilidad de ampliar toda la parte pública. Hemos conseguido recursos y una estrategia para potenciar la ciberseguridad industrial, pero también a la capacitación y la formación. El proyecto nace de una convocatoria de Redes Territoriales de Especialización financiada con fondos europeos y encaja muy bien con lo que queríamos hacer. Nos permite incrementar y añadir a la parte más técnica de detección de incidentes una dimensión orientada a la industria y la competitividad.

En Talaia somos ya 65 personas. Antes éramos unas 32. Luego había un equipo aparte para entidades locales, pero ha supuesto un incremento muy importante. La evolución y la necesidad son tan grandes que, si tuviéramos más gente, podríamos hacer mucho más. Pedimos recursos, se nos concedieron y la Generalitat ha respondido bien. Somos conscientes de que es necesario reforzarlo.

- ¿Qué es lo que más le preocupa del escenario digital de los próximos cinco años?

- En este momento tenemos dos grandes preocupaciones. La evolución de la IA ofensiva y hasta dónde puede llegar, y la computación cuántica, una preocupación generalizada desde hace años. Qué capacidad tendrá la computación cuántica para descifrar lo que hoy protegemos mediante criptografía. Las contraseñas se almacenan de forma criptográfica y las comunicaciones van cifradas. Cuando alguien con suficiente capacidad económica disponga de estas tecnologías y pueda romper túneles de cifrado y acceder a información, tendremos un riesgo añadido porque gran parte de nuestra protección se basa en eso.

Ya existen proyectos centrados en la criptografía poscuántica y en sistemas criptográficos resistentes a esas capacidades de computación. Tendremos que adaptarnos. Al final, somos tecnólogos, nos gusta la tecnología y lo que queremos es que se utilice bien. Que sirva para prevenir riesgos, mantener un entorno seguro y aplicar las medidas desde el principio.

Recibe toda la actualidad
Castellón Plaza

Recibe toda la actualidad de Castellón Plaza en tu correo

Quiero suscribirme
Ximo Puig: "Europa está bastante ausente del liderazgo de la IA y de la revolución cuántica"