El pasado 13 de septiembre, el presidente de la Comisión Europea, Jean-Claude Juncker, pronunció su discurso anual sobre el estado de la Unión Europea. En él, dijo que Europa sigue sin estar adecuadamente equipada para defenderse de ciberataques, motivo por el cual propuso un nuevo plan de acción.
Entre las herramientas y procedimientos propuestos están la Agencia Europea de Ciberseguridad, que ayudaría a los Estados miembros en la lucha contra ciberataques, y un nuevo régimen de certificación que garantizaría "un uso seguro de los productos y servicios en el mundo digital", según el comunicado oficial.
Según la Comisión, el año pasado se produjeron más de 4.000 ataques con programas de secuestro de archivos al día y el 80% de las empresas europeas se vio afectada por al menos un incidente de ciberseguridad. Además, el impacto económico del cibercrimen se ha multiplicado por cinco en los últimos cuatro años.
Como consecuencia, el 87 % de los europeos considera a la ciberdelincuencia como un importante desafío para la seguridad interior de la región.
Para hacer frente a esta situación, en un contexto en el que las personas depositan mucha confianza en las tecnologías digitales, los representantes dijeron que se deberá trabajar la resiliencia, potenciar la disuasión del cibercrimen, aumentar la rastreabilidad de operaciones en línea y convertir a los estándares elevados de ciberseguridad en una ventaja competitiva de las empresas.
El nuevo plan busca abarcar todos esos objetivos; a continuación veremos algunos de sus puntos clave.
1. La expansión de ENISA
Jean-Claude Juncker dijo que se planea ampliar el alcance de la actual Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA). Con mandato permanente, pasaría a llamarse Agencia Europea de Ciberseguridad y tendría la tarea de introducir un sistema de certificación en la región.
El objetivo es convertirla en una entidad capaz de contrarrestar las amenazas de manera más activa, trabajando en la certificación y estandarización de productos y servicios de tecnología. Sin embargo, todavía no se han dado detalles de los criterios y marcos que se usarán para garantizar que los productos y servicios sean seguros.
Según el comunicado oficial:
Del mismo modo que los consumidores pueden confiar en lo que comen gracias al etiquetado de alimentos de la UE, los nuevos certificados europeos de ciberseguridad asegurarán la fiabilidad de miles de millones de dispositivos («internet de las cosas») con los que se manejan infraestructuras fundamentales de nuestro tiempo, como las redes de energía y transporte, pero también de nuevos dispositivos destinados a los consumidores, como los automóviles conectados. Los certificados de ciberseguridad serán reconocidos en todos los Estados miembros, con lo que se reducirán los trámites administrativos y los costes para las empresas.
La Agencia también debería apoyar a los Estados miembros en la aplicación de la Directiva sobre Seguridad de las Redes y la Información (NIS), que obliga, entre otras cosas, a notificar a las autoridades nacionales en caso de incidentes graves. Además, debería contribuir en la revisión de la estrategia de ciberseguridad de la Unión Europea.
A tal fin, por ejemplo, se organizarán anualmente ejercicios paneuropeos de ciberseguridad y se crearán centros de intercambio de información y análisis para trabajar en la inteligencia sobre amenazas. El fin último es prevenir y mejorar la respuesta ante ciberataques.
2. Más investigación y formación
Como proyecto piloto a implementarse en 2018, se propuso la creación de un centro europeo de investigación y competencias en materia de ciberseguridad, que buscará seguirle el ritmo al desarrollo del cibercrimen para hacerle frente.
También se busca lograr que los Estados miembros puedan responder rápidamente y al unísono cuando se produzca un ciberataque a gran escala, mejorando el manejo de crisis (recordemos, por ejemplo, que cuando ocurrió el brote global de Petya la reacción de los países afectados no fue la ideal).
Asimismo, para resolver el déficit de talento en ciberseguridad, la Unión Europea creará en 2018 una plataforma de formación y educación, y fomentará la cooperación en materia de investigación e innovación, no solo a nivel interno sino también con la OTAN.
3. Derecho penal a la altura de las circunstancias
Según la Comisión, para disuadir al cibercrimen, la respuesta policial y judicial debe ser más eficaz y centrarse en la identificación, el rastreo y la persecución de los ciberdelincuentes. Pero, ¿cómo lograrlo si la Web les da herramientas para ocultarse y permanecer anónimos?
Se trabajará en nuevas medidas de lucha contra el fraude y la falsificación de medios de pago, y se ampliará el alcance de las infracciones relacionadas, incluyendo aquellas para transacciones con criptomonedas. Así, se espera reforzar la capacidad de las autoridades judiciales y policiales para luchar contra esta forma de delincuencia.
Como verás, los planes de la Comisión Europea responden a varias de las preocupaciones que tenemos todos: cómo identificar a los cibercriminales y sancionar sus operaciones con la severidad debida, cómo resolver la falta de expertos en seguridad y cómo garantizar estándares deseables en la tecnología que usamos cada día.
Aún falta saber muchos detalles (fechas y presupuesto, especialmente), pero sin dudas es una buena noticia que estas cuestiones estén entre las prioridades de los representantes de los ciudadanos europeos. Como discutíamos hace poco, resolver el problema del cibercrimen requiere mucho más que buena tecnología, y proyectos como estos son los que a largo plazo lograrán el cambio.
Con el correr del tiempo veremos si estas propuestas se llevan a cabo y cumplen su cometido.