Francisco Pérez Bes, socio de Derecho Digital de Ecix y exsecretario General del Incibe: “Con poca inversión y poco riesgo, los ‘hacker’ pueden obtener ganancias multimillonarias”

Francisco Pérez Bes es uno de los pioneros del derecho digital en España. Por su trayectoria ha sido recientemente elegido el mejor abogado español en ciberseguridad del año 2020. Ha sido el secretario general del Instituto Nacional de Ciberseguridad de España (INCIBE), hasta que en 2020 se incorpora a la consultora Ecix Group, donde lidera el área de Digital Law. Entre sus obras destaca el Código digital de Derecho de la Ciberseguridad (BOE) y el libro Cuentos de ciberseguridad donde escribe una serie de fábulas, ilustradas por Ana Fernando Magarzo, con la que los niños y los padres pueden aprender a identificar riesgos en internet. Trabaja ahora en un memento práctico de Ciberseguridad y un libro sobre Inteligencia Artificial.

Parece que cada vez asistimos a más ciberataques. ¿Es así o es solo una sensación?

Un poco de los dos. El motivo por el cual somos testigos de tantos ciberataques tiene que ver, por un lado, con el incremento de elementos conectados a Internet -conocido como IoT-, lo que aumenta la superficie de exposición de nuestros dispositivos y conexiones a los cibercriminales y, por consiguiente, del riesgo a sufrir un incidente. Y, de otro, el incremento y mejora de las capacidades de detección y gestión de incidentes, tanto a nivel público como privado. Todo eso hace que seamos capaces de identificar y reportar cada vez más incidentes. Además, la prensa viene dando un mayor protagonismo a noticias relacionadas con la ciberseguridad, lo que ha ayudado a dar más visibilidad.

¿Veremos cada vez más ataques?

Sin duda. El negocio del cibercrimen ha encontrado en Internet un lugar muy cómodo donde desarrollar sus actividades maliciosas, principalmente porque con poca inversión y poco riesgo, se pueden obtener ganancias multimillonarias. Mientras que, de otro lado, empresas, gobiernos y ciudadanos todavía están en la fase de aprender a usar la tecnología, y a adecuar apresuradamente su infraestructura tecnológica a una nueva y compleja realidad. No podemos bajar la guardia y hay que asumir que los ciberataques son, y van a seguir siendo, una práctica habitual contra la que debemos luchar sin descanso.

¿Está España preparada en materia de ciberseguridad para afrontar estas amenazas?

España ha hecho grandes esfuerzos no sólo por no quedarse atrás en esta materia, sino incluso para intentar liderarla. Para ello lleva tiempo organizando su gobernanza de una manera seria y rigurosa. Pero, como siempre, donde hay que poner el foco es en la realidad de las empresas, ciudadanos y entidades públicas, para las que la ciberseguridad ha sido un tema ajeno, en el que no se quería invertir. Pero han comenzado a entender que sin ciberseguridad no hay negocio posible. Hay que diferenciar entre aquellas empresas consideradas infraestructuras críticas, donde la cultura ciberseguridad es innata, del resto de empresas -especialmente pymes-, donde todavía queda mucho recorrido para poder afirmar que estemos a un nivel aceptable.

¿Las empresas prestan ya atención a esto?, ¿les ha costado verlo como riesgo?

Todas las empresas ya hablan de ello. Pero todavía muchas siguen viéndolo únicamente como un aspecto técnico, relacionado con los sistemas de la compañía, y no como un riesgo empresarial no financiero cuantificable o como un activo que aporte valor. Sin embargo, ya ha habido casos donde ha quedado demostrado que sufrir un ciberataque hace disminuir el valor de las acciones de la compañía que ha sido víctima, especialmente porque el mercado pierde confianza en ella. Esta falta de sensibilidad puede tener que ver con el hecho de intentar concienciar en ciberseguridad utilizando el miedo.

La irrupción del coronavirus ha supuesto una explosión del teletrabajo. ¿Aumenta el riesgo?

Los recursos domésticos casi nunca son los adecuados, y su nivel de seguridad suele ser inferior al necesario. De estas y muchas otras debilidades se pueden aprovechar los ciberdelincuentes. Estemos alerta, porque el ciberataque no es sólo el problema de la víctima, sino que es un riesgo para todos.

¿Por qué escribir ‘Cuentos de ciberseguridad’, un libro de cuentos infantiles?

Quería hablarles a los más pequeños, en un lenguaje que entiendan y de una forma que les interese, de situaciones de riesgo que se pueden encontrar en Internet.