Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

Las grandes empresas que oculten un ciberataque podrán ser sancionadas

El Gobierno prevé supervisar la seguridad de los sistemas informáticos de las compañías

Un técnico monitoriza la acción de un ciberataque en Corea del Sur.
Un técnico monitoriza la acción de un ciberataque en Corea del Sur.

Las empresas operadoras de servicios esenciales (como electricidad o transporte) y las proveedoras de servicios digitales que, por razones de imagen u otras, no notifiquen sin dilación ciberataques significativos o no adopten medidas para evitarlos podrán ser castigadas por vez primera con “sanciones efectivas, proporcionadas y disuasorias”. Así figura en el borrador de decreto ley que ultima el Gobierno para trasponer a la legislación española la Directiva 016/1148 de Seguridad de las Redes y Sistemas de Información de la UE —la directiva NIS—.

Los ciberataques masivos y a escala global de los pasados 12 de mayo y 27 de junio, a través de los virus WannaCry y Petya, que secuestraron cientos de miles de ordenadores y exigieron el pago de rescate por liberarlos, dejaron en evidencia la vulnerabilidad de las redes de información de las que dependen cada vez más las sociedades avanzadas.

Aunque los efectos en España de ambos ciberataques fueron limitados, confirmaron la necesidad de disponer cuanto antes de un instrumento legal que permita a la Administración garantizar que este tipo de empresas adoptan las medidas para proteger sus sistemas de información de los ataques de los hackers o que, al menos, son lo bastante resilentes para garantizar la continuidad en la prestación del servicio.

En el caso del WannaCry, el parche de seguridad que tapaba la vulnerabilidad por la que se coló el ransomware fue distribuida por Microsoft el pasado 14 de marzo, pero muchas empresas aún no lo habían instalado.

El Gobierno trabaja ya en un instrumento legal que le dotará de capacidad para supervisar la seguridad de los sistemas informáticos de estas compañías, imponerles la adopción de medidas preventivas e incluso sancionarlas si no las aplicaran o incumplieran la obligación de notificar ciberataques significativos.

Tres autoridades nacionales y un solo punto de contacto

La directiva NIS obliga a crear un punto de contacto único para la coordinación y cooperación con la UE y “una o más autoridades nacionales”. En España, el punto de contacto será previsiblemente el Consejo Nacional de Ciberseguridad, con el Departamento de Seguridad Nacional como secretaría permanente, aunque esta función la ejerce ahora la Oficina de Coordinación Cibernética del Ministerio del Interior.

Se ha renunciado a crear una única “autoridad nacional” a la que correspondería la competencia de supervisión y sanción. El Ministerio de Presidencia será la autoridad para las redes de la Administración; Interior para los proveedores de servicios esenciales; y Energía para servicios digitales. Se mantienen los Equipos de Respuesta a Incidentes de Seguridad Cibernética (CSIRT), responsables de gestionar ciberataques, que se integrarán en la red europea: el Centro Criptológico Nacional (CCN), dependiente del CNI, y el de Seguridad e Industria, operado por el INCIBE (Instituto Nacional de Ciberseguridad), además del Mando de Ciberdefensa.

Se trata de un real decreto ley en cuya elaboración participan el Departamento de Seguridad Nacional, el Ministerio del Interior, el servicio secreto CNI y la Secretaría de Estado de Sociedad de la Información y Agenda Digital, que coordina los trabajos. Su objetivo es trasponer la llamada directiva NIS del Parlamento Europeo y el Consejo, que debe estar incorporada a la legislación de los estados miembros en mayo próximo.

La Directiva NIS obliga a elaborar un listado de los operadores de servicios esenciales y de los proveedores de servicios digitales, públicos y privados, y a comunicarlos a la Comisión Europea. Aunque no especifica cuáles son, un anexo enumera los sectores afectados: energía (electricidad, crudo y gas), transporte (aéreo, marítimo, ferrocarril y carretera), financiero (banca y mercados), sanitario, agua potable e infraestructura digital.

La Administración podrá realizar auditorías de seguridad a las operadoras de servicios esenciales e imponerles “instrucciones vinculantes” para subsanar las deficiencias detectadas; y supervisar a posteriori a los prestadores de servicios digitales y exigirles que adopten medidas para cumplir los requisitos en materia de seguridad.

Ambos tipos de compañías estarán obligadas a comunicar “sin dilación indebida” a las autoridades responsables los “incidentes con efecto perturbador significativo”; es decir, que afecten a la continuidad del servicio.

La gravedad del ciberataque dependerá del número de usuarios afectados, la dependencia de otros sectores del servicio que presta la entidad atacada, su cuota de mercado, la repercusión del incidente, su duración o extensión geográfica. Las autoridades españolas comunicarán estos incidentes a sus homólogas de los demás Estados de la UE que puedan resultar afectados. Esta información será confidencial, pero la Administración podrá informar al público u obligar al operador afectado a que lo haga “cuando la concienciación social sea necesaria para evitar un incidente o gestionar uno ya producido”.

Dos ciberataques globales

Más de 350.000 operadores de 180 países fueron infectados por el virus WannaCry. La infección se inició el 12 de mayo en Reino Unido, donde resultaron afectados 16 hospitales, y España, donde fue atacada Telefónica, entre otras compañías. En Francia, la firma automovilística Renault tuvo que paralizar varias plantas.

El 27 de junio, se propagó el virus Petya (en realidad una variante del malware ya conocido con este nombre), más sofisticado y peligroso que el anterior. En España resultaron afectadas empresas como Maersk (logística), DLA Piper (abogados), Mondelez (alimentación) y Saint-Gobain (construcción). Los sistemas del Banco Central de Ucrania o la petrolera rusa Rosnef también fueron atacados.

Entre los aspectos que deberá concretar el decreto ley están las sanciones que deberán afrontar las empresas privadas prestadoras de servicios esenciales o digitales por no notificar ciberataques significativos o no tomar las medidas para evitarlos, ya que la directiva europea solo indica que serán “efectivas, proporcionadas y disuasorias”. Fuentes gubernamentales señalan que las sanciones serán graduales, en función de la repercusión que tenga el incidente de seguridad o del nivel de incumplimiento, pero no quisieron concretarlas alegando que este aspecto aún no se ha cerrado.

Dado el carácter transnacional de los principales proveedores de servicios digitales (como buscadores), la directiva obligará a estas compañías a designar a un representante en un país de la UE, a cuya jurisdicción quedarán sometidas.

Más información