Entrevista con el subdirector general del CCN | XIX Jornadas STIC CCN-CERT  Javier Candau: «El objetivo del Centro Criptológico Nacional es ir al origen del ciberataque para neutralizarlo»

Javier Candau es el subdirector general del Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), y uno de los más reputados expertos internacionales en ciberseguridad. Con una trayectoria de más de 25 años en este complejo mundo, Candau es coronel de Artillería, ingeniero industrial con especialidad en electrónica y automática, y especialista criptólogo. A lo largo de su carrera, ha ocupado diversos puestos de responsabilidad en el CCN, incluyendo el de jefe del Departamento de Ciberseguridad. Esta entrevista tiene lugar en el marco de unas multitudinarias jornadas STIC 25, que han supuesto un gran éxito de participación, con más de 8.000 solicitudes de inscripción y aforo completo. La iniciativa ha convertido Madrid en el epicentro de la ciberseguridad nacional, con más de 300 ponentes, siete salas simultáneas, 125 entidades patrocinadoras y colaboradoras y 65 expositores.

— ¿Cuál es hoy la principal preocupación del Centro Criptográfico Nacional (CCN) en materia de ciberseguridad para las administraciones públicas españolas?

— No hay solo una preocupación, hay varias. En el campo de la prevención, nuestra principal preocupación es que se apliquen todas las medidas del Esquema Nacional de Seguridad. En el campo de la detección, nuestra preocupación es que se incremente el intercambio de información. Y en el campo de la respuesta, nuestra preocupación es que seamos capaces de detectar todo tipo de ataques; no solo los simples, sino también los complejos.

— ¿Cómo ha evolucionado el panorama de amenazas en el último año y qué tendencias considera más preocupantes?

— Las amenazas no han cambiado significativamente con respecto a nuestro Informe de 2024. Tenemos actores Estado que realizan acciones de ciberespionaje, y que siempre tienen la posibilidad de realizar acciones de cibersabotaje. Tenemos cibercrimen, que se contextualiza en cibercrimen focalizado en ataques de ransomware; y en cibercrimen focalizado en robo de datos. Y ahí hay un componente de cibercrimen nacional importante. Luego tenemos grupos tipo Anonymous, que sí tienen mucha vinculación con otros Estados, como puede ser Noname. Ese es el escenario que tenemos. Los ataques se han incrementado. Pero vemos que el incremento de incidentes que se registra obedece también en gran medida a que hemos mejorado la capacidad de detección.

Nuestra principal preocupación es que se apliquen todas las medidas de seguridad del Esquema Nacional de Seguridad”Javier CandauSubdirector general del Centro Criptológico Nacional (CCN)

— España ha sido señalada por campañas avanzadas de actores estatales. ¿Qué nivel de sofisticación están observando en esos ataques?

— Actores estatales atacando a naciones… eso es un problema general de toda la Unión Europea y de las naciones avanzadas: Estados Unidos, Canadá, Japón, Australia… Todos tenemos ese mismo problema. ¿Por qué? Porque son naciones que tienen mucha información que interesa a otros estados. Son naciones donde hay mucho patrimonio tecnológico. Y hay Estados que prefieren robar ese patrimonio tecnológico que desarrollarlo. Tenemos estos incidentes en España, pero no son mucho más —ni mucho menos— que en otras naciones.

— ¿Qué papel juega el CCN dentro del sistema de seguridad nacional ante un ciberataque de gran escala?

— Pues nosotros tenemos dentro de la NIS 1.0 que ejecutar y realizar la coordinación técnica ante cualquier incidente grave que además sea general para todos. Si un CERT pierde capacidad, o no tiene la capacidad de resolverlo, el CCN-CERT le refuerza sus capacidades. Y, en principio, si hay un incidente que afecta a muchos organismos de la Administración, el CCN tiene que realizar la coordinación técnica de ese incidente.

Sectores estratégicos

— Los sectores estratégicos —energía, transportes, telecomunicaciones— son objetivos prioritarios. ¿Qué grado de preparación tienen hoy frente a ataques disruptivos?

— En eso está trabajando la Unión Europea. En 2016 se publicó la Directiva de Seguridad en Red, NIS 1.0, en la cual se establecían seis sectores estratégicos. Nosotros ya teníamos desde nuestra Ley de Infraestructuras Críticas doce. El objetivo de esa norma era mejorar la resistencia ante ciberataques de estos servicios esenciales: banca, energía, distribución de aguas, aguas residuales, transporte aéreo, marítimo, ferroviario, suburbano… Todos estos sectores necesitan una protección y, desde la NIS, nos obligan a esa protección. Entonces, ¿qué tenemos que hacer? Primero, transponer la Directiva NIS 2.0 —que ahora mismo todavía está pendiente de trasposición— y después aplicar todas esas medidas de seguridad. Lo bueno que traen estas normas es que son de carácter obligatorio y que su no aplicación implica sanciones, con lo cual va a haber una motivación extra para aplicar las medidas de seguridad.

— ¿Ha detectado el CCN un aumento del ransomware dirigido específicamente a entidades públicas? ¿Qué patrones repiten los atacantes?

— Ahora mismo, el nivel de ataques de ransomware a entidades públicas ha bajado. Tenemos más ataques de compromiso de datos, pero menos ataques de cifrado de la información y de extorsión. Pero muchas veces esta disminución de los ataques se debe a una mejora en las prácticas de ciberseguridad de los organismos —en este caso, de las entidades públicas— más que a un desinterés o un menor apetito del atacante por realizar estos ataques.

No hay transformación digital sin ciberseguridad; y no tenemos inteligencia artificial confiable sin ciberseguridadJavier CandauSubdirector general del Centro Criptológico Nacional (CCN)

— La directora del CNI afirmó en su discurso de inauguración que se habían registrado unos 200.000 incidentes en el último año que se han afrontado desde el CCN. ¿Qué lecciones han extraído de estos últimos incidentes significativos que han tenido que gestionar?

— Hay que decir que más del 85% de esos 200.000 incidentes no tienen impacto porque nuestros dispositivos de defensa han reaccionado y han parado el ataque. Es en el nivel alto y crítico donde algunas veces sí que tenemos que lamentar algún tipo de impacto. Que tengamos muchos incidentes quiere decir que detectamos mucho e intercambiamos mucho. De esos 200.000 incidentes, 140.000 nos vienen de nuestra comunidad; es decir: comunidades autónomas, a través de los SOCS, entidades locales, la Administración General del Estado… Las instituciones públicas nos notifican esos incidentes. Con respecto a los incidentes críticos, han subido. Pero también nosotros hemos adaptado la valoración, porque como el origen del ataque es tan peligroso, cualquier indicio de ese ataque hace que se activen los equipos. En consecuencia, muchas veces —y eso no pasaba en 2024— estamos parando esos ataques antes de que generen impacto.

La implantación de Reyes e Inés

— ¿En qué punto se encuentra la implantación de soluciones como Reyes o Inés en las administraciones?

— Inés está ahora mismo siendo utilizada por 6.000 organismos. Si sumamos a todas las entidades locales —que llegarán a los 8.000 ayuntamientos, sobre todo muy pequeños, donde se les tienen que prestar servicios de ciberseguridad desde fuera— creo que tenemos una aceptable adopción y uso de la herramienta Inés para ver cuál es nuestro nivel de ciberseguridad. Los organismos más maduros, los que tienen centros de operaciones de ciberseguridad, usan ampliamente Reyes. En el caso de Reyes, en organismos públicos estamos alrededor de los 510–520. Y como usuarios de Reyes tenemos aproximadamente unos 2.000 usuarios. Para nosotros es importante porque en Reyes hay mucha información muy fresca de ciberinteligencia. Entonces, los organismos, mediante API o mediante consultas directas por parte de sus usuarios autorizados, pueden descargar información interesante que les va a permitir parar ciberataques.

— ¿Cuáles son los avances más relevantes del CCN en detección temprana mediante inteligencia artificial?

— Bueno, ahora mismo estamos dotando de inteligencia artificial a casi cualquier herramienta del CCN. Como me preguntas por la detección, tenemos sistemas de alerta temprana en las conexiones a Internet de los organismos, y también para control industrial. Nos preocupa mucho la ciberseguridad en hospitales: toda la telemedicina, los quirófanos, toda la instrumentación sanitaria, que tiene un componente enorme de transformación digital. También se está dotando de inteligencia artificial a nuestra sonda de control industrial, que se despliegan sobre todo en Puertos del Estado, en empresas de transporte ferroviario, por ejemplo, o en los citados hospitales y servicios de salud.

La cadena de suministro

— ¿Cómo se gestiona la protección de la cadena de suministro tecnológica, que es uno de los vectores de ataque?

— Lo que estamos haciendo es enriquecer el Esquema Nacional de Seguridad, que ya contemplaba esa cadena de suministro exigiendo certificaciones y modos de interconexión con los proveedores. Además, la Directiva de Seguridad en Red de la Unión Europea, la Directiva NIS, nos va a ayudar porque obliga a tener en consideración esa cadena de suministro en tu plan de riesgos de ciberseguridad.

Ahora mismo, el nivel de ataques de ransomware a entidades públicas ha bajado”Javier CandauSubdirector general del Centro Criptológico Nacional (CCN)

— ¿Están observando un salto cualitativo en la explotación de vulnerabilidades de día cero contra organismos públicos españoles?

— No contra organismos públicos. Normalmente, cuando sale una vulnerabilidad de día cero —ya sea en una tecnología como Fortinet o como Ivanti (que son, por ejemplo, terminadores de redes privadas virtuales, las conexiones remotas de nuestros usuarios)— los atacantes tienen mucho apetito por esas vulnerabilidades porque entran en dispositivos que son difíciles de monitorizar por parte del defensor. Con lo cual, estamos viendo que cualquier vulnerabilidad conocida —porque te estoy hablando de una vulnerabilidad pública que se publica sobre una tecnología— siempre el atacante sabe que el defensor tarda en parchear 24 o 48 horas, y tienen una ventana de tiempo para poder atacar. Si eso lo pasamos al campo de las vulnerabilidades de día cero, esas vulnerabilidades no podemos cuantificarlas porque, primero, son vulnerabilidades que desconocemos: las desconoce el fabricante y, evidentemente, las desconocemos la parte defensiva. Con lo cual, ahí lo tenemos que delegar todo en unas capacidades de vigilancia constantes y continuas.

— ¿Cómo se articula la cooperación del CCN con la OTAN, la UE y los CERTs homólogos de otros países?

— Vamos a empezar de OTAN hacia abajo. Con la OTAN tenemos mucha relación con el NCIRC, que es la capacidad de respuesta a incidentes de OTAN. Además, en la OTAN estamos muy involucrados en todos los procesos de auditoría de los sistemas clasificados. Y trabajamos también en la homologación de los productos de cifra nacionales con la OTAN. En la Unión Europea la interrelación es mucho mayor porque tenemos cinco grandes normas de la UE que nos obligan a interrelacionarnos muchísimo. Por un lado, la Ley de Ciberseguridad (CSA) de 2019, que establece todos los esquemas de certificación de la UE. Luego llegó la Directiva NIS, que nos obliga a identificar activos esenciales y entidades importantes, aplicar medidas, demostrar cumplimiento, notificar incidentes a nivel europeo y gestionar las crisis. Luego llegó la Ley de Ciberresiliencia y la Ley de Cibersolidaridad, que nos obligan —en el caso de la solidaridad— a tener una ciberreserva para respuesta a incidentes, y —en el caso de la resiliencia— a introducir el requisito de ciberseguridad para cualquier cosa que se conecte a Internet. Eso para las naciones va a ser un esfuerzo titánico. Esa ley hay que empezar a implantarla el año que viene.

Finalmente vienen nuevas normas como el Digital Omnibus, una ley de armonización de toda la normativa de ciberseguridad. Tenemos que tener un equipo en el CCN simplemente para analizar, implementar y ver cómo podemos aplicar la normativa de la UE. En el caso de respuesta a incidentes sí hay una red con Europa —coordinada más o menos por ENISA—, pero también hay otros foros a nivel de servicios de inteligencia o de CERTs gubernamentales con los cuales intercambiamos información.

Presupuesto y cultura organizativa

— ¿Cuál es el mayor déficit de ciberseguridad, en su opinión, en España, y en la administración en particular? ¿Talento, presupuesto, tecnología o cultura organizativa?

— Talento hay. Hay que orientarlo a ciberseguridad. Me iría más a presupuesto. Aunque hemos tenido un Plan Nacional de Ciberseguridad, necesitamos una inversión sostenida en el tiempo. Luego también diría cultura organizativa, —no es la Administración General del Estado, que ya lo ha asumido— sino en comunidades autónomas y entidades locales. Tienen que considerar la ciberseguridad un asunto importante. Algunas veces se centran en la transformación digital y ven la ciberseguridad solo como cumplimiento.

— Si tuviera que señalar brevemente un reto crítico —o los principales retos críticos— para los próximos tres a cinco años, ¿cuáles serían y por qué?

— Me voy a centrar en los retos críticos para el Centro Criptológico Nacional:

* La plena implantación del Esquema Nacional de Seguridad.

* El empleo en todas nuestras redes de productos de calidad, con el uso del Catálogo de Productos STIC.

* El fomentar el intercambio a través de nuestra Plataforma Nacional de Notificación y nuestra Red Nacional de SOC.

Estos son dos objetivos conjuntos. Y luego, por nuestra parte, trabajar también más en neutralización: intentar ir al origen del ataque para neutralizarlo allí.

—¿Qué mensaje trasladaría usted a la sociedad española? ¿Estamos, en su opinión, suficientemente concienciados con los problemas relativos a la ciberseguridad?

—Yo creo que la ciberseguridad irá calando a medida que nos transformemos más digitalmente. Esos mensajes de ciberseguridad irán calando más. Siempre digo —y es un mensaje con el que me gusta acabar muchas conferencias—: no hay transformación digital sin ciberseguridad. Ahora también puedo añadir: no tenemos inteligencia artificial confiable sin ciberseguridad. Contamos con un sector de la ciberseguridad muy dinámico, muy bueno, con muchísimo talento. Tenemos que cuidarlo, tenemos que evitar que muchas empresas nacionales que empiezan como startups sean compradas por empresas más grandes, extranjeras. No sé cómo se puede conseguir eso, pero creo que es un asunto muy importante.