Ciberseguridad, el juego multimillonario del gato y el ratón

Piense en masas de datos circulando a la velocidad de la luz. Imagine un uno seguido de 21 ceros. Es un zettabyte y equivale a un sextillón de bytes, las unidades básicas de información en informática y telecomunicaciones. Son piezas de caza deseadas por los ladrones de información para suplantar, controlar, asaltar o chantajear a particulares y empresas. Imaginar ese objeto de deseo es un paso para entender cómo funcionan las leyes de Darwin en la selva de la información, donde la ciberseguridad es un negocio en alza y un foco de debate sobre la seguridad y los límites de la privacidad. Este año, el tráfico de datos superará los 180 zettabytes tras crecer a tasas del 23% compuesto en los últimos ejercicios, según detalla el Plan Digital España 2025. La proliferación del robo de datos ha disparado el negocio global de la ciberseguridad. En 2025, la cifra de negocio se situará entre un mínimo de 203.000 millones de dólares -196.714 millones de euros-(International Data Corporation) y un máximo de 266.000 millones (Gartner). Para 2030, las previsiones apuntan a un mínimo de 300.000 millones (IDC) y un máximo de 600.000 millones (Markets and Markets).

Es un tema económico de primer orden. El Foro Económico Mundial (Perspectivas mundiales ciberseguridad 2025) y la consultora Deloitte destacan en sus análisis cómo “la creciente complejidad del ciberespacio está exacerbando la inequidad cibernética, ampliando la brecha entre las organizaciones grandes y pequeñas, profundizando la división entre las economías desarrolladas y emergentes y expandiendo las disparidades sectoriales”. En un rincón de ese gran negocio global, la actividad de ciberseguridad en España ha superado los 2.000 millones de euros, según las proyecciones de la consultora especializada International Data Corporation, con una tasa de crecimiento anual compuesta del 8,12%.

En la selva cibernética, la agitación es permanente. En España, detalla el Instituto Nacional de Ciberseguridad (Incibe), sólo en 2023 se registró un incremento del 24% en incidentes de ciberseguridad. Son los denunciados. Más de 83.500 casos de los que 58.000 afectaron a la ciudadanía y más de 22.000 a empresas. Se identificaron 183.077 sistemas vulnerables y se clausuraron 310 tiendas online fraudulentas. Más cifras de la selva: hubo 621 secuestros digitales. Es una lucha descarnada. Un juego del gato y el ratón del que no se libra ningún sector. Aerolíneas, hospitales -309 ciberataques en 2023 en Europa, según la Comisión Europea-, multinacionales…nadie está a salvo.

Incluso Telefónica, cuya filial Telefónica Tech encabeza el ranking de las compañías punteras en servicios de ciberseguridad “ha tenido constancia del acceso no autorizado a un sistema de ticketing [gestión de incidencias] de uso interno”, según explica un portavoz. Una brecha. Nada excesivamente grave, precisan en la compañía, pero sí revelador. Ninguna empresa está libre de sufrir ciberataques y brechas de ciberseguridad. Ni las más grandes y preparadas entre las grandes, como recientemente Amazon o Microsoft. Los ataques forman parte de la realidad actual, y la cuestión es estar preparado para intentar detenerlos y para responder de manera rápida y ágil cuando no se consiguen parar.

Eduardo Azanza, consejero delegado de Veridas, una joint venture creada hace siete años entre la startup Das-Nano y el BBVA vive en primera fila el auge del negocio. Veridas, especializada en ofrecer soluciones de identidad -certificar que alguien es quien dice ser- a sectores clave como la banca, los seguros y las administraciones ha multiplicado por tres su facturación en tres años: de siete a 20 millones. “La mejor forma de crear riqueza” asegura Azanza “es hacer tecnología”. Veridas ofrece, entre otras, tecnología biométrica basada en algoritmos de inteligencia artificial que ha recibido el respaldo del National Institute of Standards and Technology (NIST) de EE UU. Es una tecnología delicada porque, sobre todo en Europa, se intenta encontrar el equilibrio entre la seguridad y los derechos ciudadanos.

Rebasar las líneas

Hace menos de un año, en España, la Agencia de Protección de Datos, en una decisión inédita, ordenó a la compañía WorldCoin el cese de la recogida y el tratamiento de datos personales que estaba llevando a cabo en España, así como el bloqueo de los recopilados entre 400.000 ciudadanos. La decisión de la agencia española, respaldada por la Audiencia Nacional, fue seguida unos meses después por la autoridad de protección de datos de Baviera (Alemania), la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA).WorldCoin, según las agencias, sobrepasó los límites.

En Europa, el espacio de lo que se puede y lo que no se puede hacer está acotado por el Reglamento General de Protección de Datos (RGPD), la Directiva 2002/58 y el flamante Reglamento de Inteligencia Artificial que entró en vigor en agosto pasado. El destilado de todas las normas es que las tecnologías más punteras -caso de la biometría- no se pueden utilizar de forma indiscriminada y en campo abierto, asociadas a cámaras de vigilancia, sin el consentimiento del usuario. “La tecnología ha evolucionado de tal manera” explica Azanza (Veridas) “que la biometría moderna es segura por diseño y por defecto”. Por poner un ejemplo, la cara de un usuario puede servir para acceder a un concierto, pero en caso de robo, ese registro facial no se puede utilizar de nuevo. Se denomina referencias biométricas renovables. “El dato que representa tu cara ya no se compromete” explica el consejero delegado de Veridas. El problema, añade “es que las agencias de protección de datos han estado regulando los sistemas biométricos en base a tecnologías de hace 20 años”.

Martín Razquin, catedrático de derecho administrativo, sostiene que “la normativa europea en materia de datos especialmente protegidos y de privacidad no impide la utilización de identificaciones biométricas, pero la interpretación restrictiva que ha hecho la agencia [de protección de Datos] y en parte el Comité europeo, asusta a las empresas para utilizar estos sistemas. Cuando la tecnología ha avanzado, las instituciones también tienen que avanzar. No quiero el sistema desregulado de EE UU o Brasil, quiero el sistema europeo, pero un sistema europeo que tenga en cuenta la innovación tecnológica”.

Raquel Poncela, directora de Servicios Digitales e Innovación de la Fábrica Nacional de Moneda y Timbre (FNMT) -emite 4,5 millones de certificaciones electrónicas anuales- está al frente del departamento que permite obtener certificados electrónicos sin necesidad de pasar por una ventanilla física. “Lo hacemos a través de tecnología de biometría y requerimos más condiciones de las que exige la Directiva Europea. Hace falta no sólo mostrar el documento de identidad para que se vea que es válido. Además capturamos una foto y la analizamos con biometría e inteligencia artificial y requerimos prueba de vida, es decir, que la persona diga su nombre y apellidos delante de la cámara del móvil para comprobar que no es una foto. Comprobamos que es una persona; que está viva; que su imagen facial es la misma que la del documento de identidad que nos ha mostrado y sólo en ese momento es cuando pasamos a un proceso de biometría. Por normativa, tenemos un segundo paso, que es el paso por un videoacreditador, con formación certificada que comprueba todas las evidencias”. Un proceso seguro. “Los reguladores” añade Poncela “tienen que ser precavidos y proveer un plus añadido de seguridad. Creo que tanto en España como en la UE, los reguladores están haciendo un esfuerzo para actualizar todas las regulaciones a las nuevas tecnologías”.

De ese esfuerzo dependen en buena parte los derechos y la seguridad de una ciudadanía que todavía no es totalmente consciente de los riesgos. Un dato. El Observaciber -espacio constituido por el Incibe y el Observatorio Nacional de Tecnología y Sociedad (Ontsi)- destaca que “el 51% de quienes declaran no tener malware [código maligno] en su PC tiene una percepción equivocada, dado que su ordenador está infectado”. El gato y el ratón.