Entrevista

Jose Luis Mayorga: Internet no puede ser una especie de Far West donde impere la ley del más fuerte

Noticia

Entrevistamos a Jose Luis Mayorga Martín, Comandante de la Jefatura de Información de la Guardia Civil, con motivo de la celebración de la I Liga Nacional Interuniversitaria de retos en el Ciberespacio (National Cyberleague o NCL19), organizada por la Guardia Civil con motivo del 175 aniversario del Cuerpo, y que ha contado con la colaboración de la Asociación de expertos en Ciberseguridad, Protección de Datos y Auditoría, ISACA Madrid.

fotoMayorgaMartin

1.-  Sr. Mayorga, para aquellos de nuestros lectores que aún no la conozcan ¿podría presentarnos brevemente en qué consiste la Jefatura de Información de la Guardia Civil y cuáles son sus fines?

La Jefatura de Información es la unidad especializada de la Guardia Civil a la que le corresponde organizar, dirigir y gestionar la obtención, recepción, tratamiento, análisis y difusión de la información de interés para el orden y la seguridad pública en el ámbito de las funciones propias de la Guardia Civil, y la utilización operativa de la información, especialmente en materia antiterrorista, en el ámbito nacional e internacional. Para ello estamos organizados en función de las diferentes necesidades de información o amenazas que puedan suponer un riesgo para la seguridad pública. Además del terrorismo, se investigan otras amenazas para la seguridad pública como son las redes de inmigración irregular, las distintas mafias, las bandas latinas, el hacktivismo, el tráfico de armas, etc.

2.- Acaba de celebrarse la I Liga Nacional Interuniversitaria de retos en el Ciberespacio (National Cyberleague o NCL19) que ha contado con la asistencia al inicio de su fase final de los ministros en funciones de Interior, Fernando Grande-Marlaska y de Ciencia, Innovación y Universidades, Pedro Duque. ¿En qué ha consistido esta I Liga y quiénes han participado?

La NCL19 ha consistido en la celebración de una actividad novedosa y en cierta medida pionera, pues no tenemos conocimiento de la celebración de nada parecido, tanto a nivel nacional como internacional. Estaba orientada a la detección y visibilización de talento “Ciber” entre nuestros jóvenes universitarios y de módulos formativos de grado superior y a diferencia de otros muchos eventos de hacking ético, también conocidos por sus siglas en inglés, CTF o Capture The Flag, que se centran el habilidades técnicas, nuestra “Ciberliga” que también es conocida por este nombre, buscó la complementariedad de diferentes disciplinas, como el derecho digital, el cumplimiento normativo o la comunicación de empresa, además de la capacidad técnica; por ello se le pidió a los participantes que crearan equipos pluridisciplinares para afrontar los retos. Desde la Guardia Civil lo que planteamos fue el facilitar un espacio de encuentro entre el joven talento nacional y sus futuros empleadores, las empresas, con la finalidad de concienciar, potenciar la empleabilidad y combatir en la medida de nuestras posibilidades la “expatriación” de nuestro joven talento ciber.

3.- Hablando de retos ¿cuáles son a su juicio los principales desafíos que en materia de ciberseguridad plantea el ciberespacio?

Pues el principal reto, en consonancia con los planteamientos que dieron lugar a la NCL19, creemos que es el trasladar a todos los sectores de nuestra sociedad, productivos, de servicios y educativos mayormente, de la importancia de entender que los retos de ciberseguridad son muy complejos y que intervienen múltiples factores, por lo que es fundamental contrarrestarlos con equipos muy cualificados que dominen las diferentes disciplinas profesionales implicadas. Aquella empresa u organización que entienda de la gravedad del problema, y de la criticidad de dotarse de capacidades y recursos pluridisciplinares, está abocada a tener muchos problemas e incluso a no sobrevivir a esta nueva era digital.

4.- ¿Debería regularse el ciberespacio? ¿Por qué?

Desde mi punto de vista, siempre es necesario que se establezcan a priori un conjunto de reglas comunes para garantizar que en las relaciones humanas no se produzcan desequilibrios o abusos, y el ciberespacio no debe ser una excepción. Hay mucha gente que manifiesta su disconformidad con la regulación de la Red ya que consideran que se coarta la libertad que proporciona el ciberespacio, sin embargo, esta legítima ansia de libertad no debe suponer un paraguas para la impunidad y el abuso. Internet no puede ser una especie de Far West donde impere la ley del más fuerte y donde acciones que en la vida física serían delictivas se conviertan en lícitas de facto por haberse realizado en el mundo virtual y por falta de herramientas jurídicas para su persecución. Establecer normas siempre limita la libertad, pero es un precio pequeño y necesario si queremos que Internet sea un espacio de convivencia.

5.- Con respecto al hacktivismo y el activismo digital ¿es el económico el único leitmotiv para diferenciar estas prácticas de la ciberdelincuencia o existen más criterios a tener en consideración?

Para comenzar, hay una gran diferencia entre el hacktivismo y el activismo digital. Mientras el activismo digital o ciberactivismo, es decir, ejercer la acción política en la red mediante métodos lícitos, es totalmente legal y no tiene ningún reproche al igual que ocurre en el mundo físico, el hacktivismo es ilegal, ya que ejerce la acción política mediante técnicas de hacking, y es el empleo de estas técnicas y sus efectos lo que está tipificado en nuestro Código Penal, todo ello con independencia de la motivación de los posibles autores.

En cuanto al criterio para diferenciar el ciberdelito del hacktivismo, efectivamente es la motivación económica el criterio que se sigue, mientras en el ciberdelito siempre existe un ánimo de lucro, en el hacktivismo lo principal es la componente ideológica de la acción y sin la cual no se daría la misma.  Existen casos donde no está clara esta componente ideológica y tampoco existe un ánimo de lucro, podría encuadrarse dentro de un supuesto “gamberrismo digital” o “hacktivismo de sofá”, aunque desde un punto de vista jurídico-penal es irrelevante la presencia o no de este componente ideológico, excepto si existe un delito de terrorismo, de odio o como circunstancia modificativa de la responsabilidad.

6.- ¿Conoce si ya se está aplicando la Inteligencia Artificial y el Machine Learning en la prevención y lucha en la comisión de delitos? ¿Existirá una IA Policía (“PolicIA”)?

La Inteligencia Artificial y el Machine Learning son técnicas y tecnologías que están, a día de hoy, ampliamente implantadas en nuestra de vida diaria, aunque no nos demos cuenta. Desde nuestros teléfonos móviles a las grandes plataformas de e-commerce utilizan Inteligencia Artificial y técnicas de Machine Learning, y el ámbito policial no puede ser diferente. La mayoría de la tecnología es agnóstica del propósito y la misma tecnología que sirve para desbloquear un teléfono móvil por reconocimiento facial se puede usar, y se usa, para identificar personas buscadas policialmente, diferenciándose únicamente en la escala del problema y los medios que necesitas para resolverlo.

En cuanto si algún día llegaremos a la “PolicIA”, creo que de momento no. Existe un gran problema que dudo que se pueda salvar facilmente, que es el de la responsabilidad de la decisión. ¿Quién sería el responsable de una mala decisión tomada por una máquina en función de los algoritmos que tiene programados?, ¿el programador?, ¿el que suministra el conjunto de datos para entrenar al sistema?, ¿la persona que decide el conjunto de reglas que desembocan en una mala decisión?, ¿el suministrador de los sensores que proporcionan los datos para tomar la decisión?, etc. En definitiva, todavía hay un largo camino por andar en este tema.

7.- Empieza a extenderse el uso de la tecnología Blockchain. En este sentido ¿puede utilizarse el Blockchain como tecnología para fines delictivos?

Los ciberdelincuentes no dejan de ser personas que utilizan la tecnología existente y disponible para todo el mundo para sus propios fines. Este es el caso de la tecnología Blockchain que puede usarse para dar soporte a fines totalmente lícitos, o se puede usar para asegurarse la impunidad o la obtención del beneficio de acciones ilícitas. Un ejemplo de ello es el uso de criptomonedas, están basadas en las tecnologías de Blockchain, y que se están empleando a día de hoy como medio digital de pago por las organizaciones criminales para evitar de los mecanismos de control que los Estados poseen sobre las transacciones con monedas tradicionales. Otro ejemplo de tecnologías basadas en Blockchain usadas por las organizaciones criminales son los sistemas de mensajería segura, alternativos a otras aplicaciones más comerciales como Whatsapp o Telegram, que garantizan un nivel de anonimato muy elevado y escapan de una posible intervención legal de comunicaciones por orden judicial.

8.- Y para terminar, en el 2016 el caso de los papeles de Panamá o caso del despacho de abogados Mossack Fonseca, evidenció la necesidad de preservar el máximo nivel de seguridad informática en los despachos de abogados para garantizar la seguridad de sus clientes. ¿Qué tres consejos les podría facilitar a los responsables informáticos de los despachos de abogados en materia de ciberseguridad?

En primer lugar, hay que invertir en seguridad informática, no es de recibo que nos gastemos miles de euros en cajas fuertes, puertas blindadas, vigilantes de seguridad, etc., y que después, el activo más valioso de una organización que son sus datos, estén alojados en servidores de hace años, sin actualizar, sin antivirus, con firewalls obsoletos y administrados por mileuristas. Es difícil justificar el retorno de inversión en seguridad porque sólo se puede monetizar sobre el valor de los daños cuando se carece de un nivel adecuado de ella, pero la inversión en seguridad es siempre necesaria.

En segundo lugar, y como complemento a la anterior, llegar a un nivel de seguridad absoluta es imposible, por esto hay que estar preparado para poder dar continuidad al negocio ante un incidente y lo mejor que se puede hacer es implantar una política de copia de seguridad de nuestros datos. Es una medida barata, fácilmente implantable y que en la mayoría de ocasiones (fallos físicos de hardware, secuestro de datos, destrucción accidental o intencionada, etc.) nos va a suponer poder dar continuidad al negocio con un impacto leve.

Para terminar, y la más importante, hay que concienciar a los usuarios. Entre los informáticos de manera jocosa se dice que “el 90% de los problemas en seguridad informática tienen su origen en lo que hay entre la silla y el teclado”, y el problema es que es angustiosamente cierto. Es el usuario el eslabón más débil en la cadena de la ciberseguridad y para nada sirve gastarse miles de euros en seguridad informática y tener una política de copias de seguridad adecuada si nuestros usuarios no son conscientes de la importancia de adoptar unas medidas personales de seguridad acordes con los datos que se manejan, en este caso pertenecientes a sus clientes. Tener una política de contraseñas adecuada, no abrir emails de remitentes desconocidos o no confiables, no utilizar dispositivos USB sin control previo, cifrar los datos sensibles, etc., son medidas de coste nulo y que sin embargo aportan un gran nivel de seguridad. Siempre hay que tener en cuenta que los ciberdelincuentes son como el agua, siempre intentarán entrar por el lugar más accesible, si se lo ponemos difícil pasarán de nosotros y se irán a por otro.