“Hay organismos especializados en ciberatacar, con trabajadores que fichan y los fines de semana no trabajan”
Rosa Díaz (Madrid, 1969) es la primera mujer que se coloca a los mandos del Instituto Nacional de Ciberseguridad (Incibe), el ente público encargado de vigilar las redes españolas y proteger a ciudadanos y empresas privadas.
Matemática de formación, concede una entrevista a eldiario.es pocos días después de ser nombrada directora general del organismo. Su compromiso es elevar el porcentaje de mujeres y atraer talento a un sector en el que no falta el trabajo. Tampoco para los malos, cuyos métodos para ciberatacar gobiernos y empresas son cada vez más refinados: “Este negocio es muy lucrativo. Tenemos que ser conscientes de que ha habido una eclosión de las ciberamenazas, que están en crecimiento constante e incluso exponencial”, avisa.
La semana pasada se celebró primera edición de la Ciberliga, un campeonato de la Guardia Civil para promocionar jóvenes hackers. Había 18 chicas finalistas, por 82 chicos. ¿Qué le parece el porcentaje?un campeonato de la Guardia Civil para promocionar jóvenes hackers
Pequeño, obviamente. Aumentar el porcentaje de mujeres en el sector de la ciberseguridad es algo en lo que estamos trabajando. Antes los estudios hablaban de un 11% y el último que ha publicado (ISC)² [el Consorcio internacional de Certificación de Seguridad de Sistemas de Información] ya habla de un 24%. Tenemos mucho por hacer, pero estamos mejorando.
En este tema siempre digo que tenemos que hacer mucho más interesante para el público femenino este tipo de carreras. Quizás algunas veces en ciberseguridad damos un mensaje muy de técnico, de una persona que está trabajando detrás del ordenador, cuando realmente a nosotras muchas veces nos mueve más el propósito de ayudar. Tenemos que atraer a las mujeres por aquellas cosas que realmente nos llaman la atención y en eso estamos basando nuestras líneas de actuación. También está la visibilidad que puedo dar yo dirigiendo Incibe, que es una gran responsabilidad, pero siempre que hablamos de mujeres y tecnología, decimos que hacen falta ejemplos que visualicen que se puede llegar.
¿Se fija algún objetivo específico en cuanto a paridad?
Estamos fijándonos objetivos para el año que viene. Al final, un 52% de los nuevos licenciados en España son mujeres y además, cuando entramos a las carreras es porque las elegimos, entramos en lo que queremos hacer.
A mí me gustaría transmitir lo bonito que es el sector y la gran empleabilidad que hay. Que no solo que hay puestos técnicos, sino que la explosión de las ciberamenazas y las nuevas regulaciones están haciendo que se incorporen todo tipo de perfiles. Necesitamos psicólogos, psiquiatras, especialistas en derecho, gente de letras que nos ayude a entender la psicología y el comportamiento humano. Y por supuesto, también hablar de la industria de la ciberseguridad, de manera que se necesitan perfiles de marketing, de ventas.
Esa es otra de nuestras labores, ya que además de aumentar la paridad, queremos atraer talento a este sector que necesitamos, porque realmente hay un déficit de profesionales. Viendo el porcentaje de para que hay, tenemos que mandar el mensaje de que este es un sector donde vas a conseguir trabajo.
¿España tiene algún punto débil a nivel de ciberseguridad?
Somos un país muy bien posicionado, aunque es cierto que tenemos mucho por hacer. Incibe tiene el foco en los ciudadanos, en los menores y en las empresas privadas. Las empresas cuanto más grandes son más, más preocupación muestran y más inversión hacen en ciberseguridad. Pero España es un país de pymes, el 98% del tejido empresarial es pyme y si hacemos un zoom, vemos que el 95% son autónomos y micropymes.
Este colectivo es un colectivo con muchos problemas y ahí estamos trabajando, porque hay muchos riesgos.
¿Hay más riesgo en las pymes? Siempre se señala que el objetivo principal de los ciberataques son las empresas estratégicas.
Una persona que tiene una empresa pequeña piensa (porque nos lo dicen, en las reuniones y eventos), ¿quién me va a atacar a mí? ¿Quién va a querer mis datos? Eso es un error. Cualquier empresa es susceptible de ser atacada. Tienes que pensar si tienes una empresa pequeña, un ciberataque contra ti puede ser un camino para acceder a las grandes. También estamos viendo que el fraude está aumentando. Una empresa pequeña no tiene por qué contratar especialistas, no siempre es necesario en España tenemos una amplia oferta de productos de ciberseguridad que se pueden contratar para mantener segura tu empresa.
Es un modo de pensar que también está muy extendido en la defensa de la privacidad. Es habitual escuchar aquello de no me importa que me espíen, no tengo nada que esconder.no me importa que me espíen, no tengo nada que esconder
Tú cuando sales de tu casa, echas la llave de la puerta. Es responsabilidad mía: salgo y cierro. Cuando yo estoy en las redes también tengo que poner medidas de seguridad y esas medidas están en nuestros dispositivos.
¿Cómo extender esa necesidad de entender las amenazas?
Es algo que la ciudadanía debe conocer. Es importante la autodisciplina de los ciudadanos para protegerse, pero en el Incibe también impulsamos acciones a nivel país para ayudar a esa protección como, por ejemplo, trabajar con la industria de la ciberseguridad para que siga creciendo y no dependamos grandes monstruos en otros países, sino que Europa pueda protegerse con productos y servicios propios. En eso Incibe tiene también un objetivo y una labor muy importante en los próximos años.
La UE también ha expresado una preocupación por aumentar la soberanía digital tras los escándalos que afectan a multinacionales de EEUU y las acusaciones de espionaje contra China. ¿Cómo la conseguimos?
Bueno, nosotros estamos trabajando ahí, aunque tampoco podemos avanzar mucho. Sí que puedo decir que algo que ya está decidido, por ejemplo, es que la UE va a poner 2.100 millones de euros para trabajar en todos los productos y servicios que necesitemos para ciberprotegernos.
Ya hay un acuerdo para que Incibe sea el centro espejo de competencias. Eso significa que la inversión que recibamos de Europa, trabajaremos para orientarla en I+D+i, para que compañías españolas y universidades puedan presentar proyectos y podamos ampliar el portfolio actual de esos productos y servicios. Lo más importante es que esa colaboración público privada y esa transferencia de la universidad a la industria pueda ser aplicada. Que al final haya un resultado que sea un servicio o producto comercializable.
Una de las principales ciberamenazas actuales son los grupos hackers financiados por estado para atacar a otros países. ¿Cree que nos libraremos de ellos en algún momento?
Las guerras ahora se libran en el ciberespacio y no se va a acabar con ellos. Tenemos que ser conscientes de que ha habido una eclosión de las ciberamenazas, que están en crecimiento constante e incluso exponencial. Hay organismos especializados en ciberatacar, con sus horarios de trabajo, que fichan y entran a las 9, que salen a las 7 y que los fines de semana no trabajan. Esto es un lucro, cada vez hay más millones en juego. Yo no quiero dar un mensaje de miedo, pero eso está aquí y está para quedarse y cada vez va a ir a más.
¿Si hay tantos ciberataques, porque no es habitual que caigan redes de hackers?
Porque otro de los problemas actualmente es que es muy difícil llegar a saber de dónde viene ese ciberataque. Aunque se investigue, hay cepos, hay engaños, intentan dejar pistas falsas para que otros sean los perjudicados. Este negocio es muy lucrativo y vamos a seguir viendo cómo va a seguir creciendo.
Esta semana se ha convalidado el decreto-ley del Gobierno que le permite intervenir la infraestructura de Internet sin orden judicial. Ha provocado una gran polémica y acusaciones de legalización de censura. ¿Qué le parece?
Los controles previos a la adopción de esa medida excepcional siguen siendo los mismos que estaban vigentes antes de la adopción del decreto-ley. Se requiere un acuerdo del Gobierno reunido en Consejo de Ministros a instancias de la Administración del Estado o la Administración que tenga competencias en materia de seguridad.
Son potestades ordinarias del Gobierno que ya existían para preservar la seguridad pública, ajenas a situaciones más generalizadas de desorden público que son la base para declarar estados excepcionales, como los Alarma, Excepción o Sitio.
Es habitual que las nuevas legislaciones sobre Internet provoquen este tipo de alarma y no siempre es injustificada. Este año el Tribunal Constitucional anuló en tiempo récord el artículo de la Ley de Protección de Datos que permitía a los partidos elaborar bases de datos con la ideología de los ciudadanos. ¿Cree que a los políticos les falta escuchar más a los expertos en las leyes sobre Internet?
La verdad es que no puedo contestar a esa pregunta porque no participé en la elaboración de esa ley. Es verdad que como ciudadana, cuando lo vi me soprendió, pero no puedo responder.