“Necesitamos una «tinderización» de la ciberseguridad, que haga transparente su funcionamiento para el usuario”

Fiscal de la 46ª promoción (2006), licenciado en Derecho por la Universidad de Deusto. Desde julio de 2022, ocupa el cargo de Fiscal adscrito a la Sección de Criminalidad Informática de la Fiscalía Provincial de Gipuzkoa. Durante casi 13 años, hasta marzo de 2020, desempeño el cargo de Delegado de Criminalidad Informática en la Fiscalía Provincial de Gipuzkoa. Además de su trabajo en la fiscalía, ha realizado importantes contribuciones académicas en el ámbito del derecho y la tecnología. Es coautor de libros como Investigación Tecnológica y Derechos Fundamentales y Memento de ciberseguridad. También ha sido invitado como ponente en reconocidas conferencias y eventos relacionados con la seguridad de la información y la criminalidad informática, como RootedCON y Sec/Admin. Ha asumido roles docentes en diversas instituciones educativas, impartiendo clases en el curso de Experto Tecnológico e Informática Forense de la Universidad de Extremadura, el Máster en Ciberdelincuencia de la Universidad de Nebrija y el curso de Experto en Derecho Digital de la Universidad de Deusto. Por otro lado, ha representado a la Fiscalía General del Estado en diversas actividades de colaboración internacional. Ha contribuido en iniciativas conjuntas con la Escuela Judicial de Emiratos Árabes Unidos en Abu Dhabi, la Academia de Derecho Europea, la Agencia Española para la Cooperación Internacional y el Desarrollo en Santa Cruz de la Sierra (Bolivia) y el Programa de Asistencia contra el Crimen Trasnacional Organizado (El PAcCTO) en Quito (Ecuador).

¿Cuáles son los ciberdelitos más comunes con los que os soléis encontrar? Y, en este sentido, ¿cuáles son los que más os preocupan?

En cuanto a delitos informáticos, las estadísticas de la Fiscalía General del Estado son claras: por goleada, los más numerosos son las estafas, seguidas por los delitos relacionados con la pornografía de menores.

Pero, aquí la cuestión es cuáles son los delitos que ni siquiera llegamos a ver, no porque no estén reflejados en las estadísticas, sino, porque no tenemos capacidad para verlos. Con esto me refiero a grandes exfiltraciones de datos, ransomware masivo… Este tipo de delitos se ven rara vez y suelen ir ligados a un arduo trabajo policial, dentro de alguna macrooperación y, frecuentemente, en colaboración con otros países.  De repente, “cazan” a una persona que puede ser el administrador de alguna organización que se lucra mediante ataques de ransomware, o realizando chantajes a empresas, a las que se amenaza con la publicación de datos obtenidos en una exfiltración anterior. No son unicornios rosas, porque existen, pero son raros de ver, e infinitamente más complejos de investigar.

Si hablamos de lo que más me preocupa, en el plano de las estafas te diría que son los delitos que cada vez tenemos más dificultades para perseguir. Y, en lo referente a la pornografía de menores, el hecho de que hemos pasado de la distribución, es decir, de usuarios que utilizaban redes de intercambio de archivos para obtener este material y que contribuían a su difusión, a la creación de contenido. Estamos dejando el perfil de usuario consumidor y para pasar al perfil de usuario productor de pornografía.

En líneas generales, ¿es fácil sentar a un ciberdelincuente en el banquillo?

No, no es nada fácil. Estamos en una situación que se podría comparar a la que teníamos en la persecución del tráfico de drogas a principios de los 80. Aquella época en la que se cogía a los pequeños “camellos” en la calle, no estaba regulada la existencia de una fiscalía especial como la Fiscalía Antidroga, no había operaciones con la Audiencia Nacional, etc. Ese periodo anterior a las operaciones contra los grandes capos, que se produjeron cuando se empezó a tener medios.

Ahora, en cuanto a ciberdelitos, estamos en esa situación, capturando a “pequeños camellos”. Aunque es cierto que, ocasionalmente, caen en las redes de la policía y, por tanto, llegan a los banquillos personas con un mayor rango dentro de alguna organización criminal.

¿Tiene la justicia las herramientas necesarias para hacerlo? ¿Qué echas en falta en este sentido?

Siempre digo con bastante ironía que me encantó la reforma de 2015 de la Ley de Enjuiciamiento Criminal porque, como está muy enfocada a dar cumplimiento tanto al Convenio de Budapest sobre ciberdelincuencia, como a la distinta normativa coetánea de la Unión Europea, nos solucionó los problemas que teníamos en 2001. Con un poco de suerte, en 2040 nos habrá solucionado los problemas que tenemos ahora.

El inconveniente es que se utilizan herramientas tan ambiciosas, desde el punto de vista el legislador, que son prácticamente imposibles de aplicar. No sirven, salvo en operaciones muy específicas (como puede ser la inspección remota de equipos informáticos, prevista en el artículo 588 septies de la Ley de Enjuiciamiento Criminal). Digamos que esto solo es válido en operaciones de gran formato y, para el delincuente que está detrás de un proxi o de una red de anonimización, nos bastaría con algo mucho más sencillo, que no está contemplado en la Ley de Enjuiciamiento Criminal. Por hacer una comparativa, diseñaron una especie de nave espacial y se olvidaron de proveernos de una simple fragata para nuestros mares.

Y no estoy hablando en hipótesis. Pongo un ejemplo: hay una herramienta tecnológica disponible para el FBI que es NIT (Network Investigative Technique), que explota una vulnerabilidad de Tor para obtener la localización e identificación real de un sujeto que esté operando detrás de esta red. Esto sería infinitamente más útil, por ejemplo, para poder localizar a un sujeto; llevar a cabo una entrada y registro en su domicilio; incautar sus equipos, poder examinarlos y obtener datos para, en definitiva, poder presentar un caso sólido en los tribunales. Esa posibilidad no la tenemos.

De hecho, no es tanto una cuestión de herramientas de la justicia, sino de que la ley autorice que la justicia permita a la policía la utilización de herramientas que existen y que están en el mercado.

¿Cuáles son los mayores desafíos a los que os enfrentáis con respecto a los ciberdelitos, en comparación con otro tipo de delitos?

La base del problema es el avance de la criptografía: cifrados más potentes y difíciles de romper, el hecho de que los propios malware disponen de técnicas internas de enmascaramiento o de que las comunicaciones entre los delincuentes se cifran… En definitiva, el cifrado es una herramienta que los criminales están utilizando en su propio beneficio, con el objetivo de securizar sus transmisiones y ocultar sus datos y sus botines. En este sentido, la justicia no le puede poner puertas al campo. No se puede prohibir la criptografía.

Y, a partir de ahí, también influye el progresivo grado de sofisticación de las herramientas que tienen los delincuentes a su alcance por un proceso, además, de banalización en su uso. Las herramientas son cada vez más de “botón gordo”. Te facilitan tu herramienta lista para delinquir y, además, ponen a tu disposición un sistema de asistencia al usuario por si tu troyano no roba bien. Se está produciendo una alta profesionalización de bandas que dan soporte a pequeños delincuentes, que obtienen lucro con unos conocimientos muy escasos, simplemente, acudiendo a un mercado que les está ofreciendo lo que conocemos como crime as a service.

Después de lo que hemos hablado… ¿Podemos decir que tienen mayor impunidad los delitos si se llevan a cabo en el mundo digital?

Sí, por supuesto. En el mundo analógico siempre hay un culpable. No puedes matar a una persona desde la otra punta del globo o robarle desde otro continente. Tienes que estar presente. Y la presencia del delincuente implica la posibilidad de su aprehensión y que sea llevado ante la justicia.

Cuando hablamos del mundo de las tecnologías, tenemos que recordar que Internet nace, precisamente, para hacer irrelevantes las fronteras. Con lo cual, nos encontramos ante ese problema territorial.

Dicho esto, claro que también se atrapa a los ciberdelincuentes, pero, lo cierto es que, para coger a un atracador que se haya llevado un botín de un millón de euros de un banco, hacen falta coches patrulla y buenos agentes, adecuadamente entrenados. El mismo robo, de un millón de euros, cometido desde la habitación de un “niñato” en la otra punta del planeta, implica montar un dispositivo enorme.

En cuanto a la regulación en ciberseguridad, como en otros ámbitos, se va adaptando a la realidad. Un ejemplo es la puesta en marcha del Reglamento de Inteligencia Artificial de la UE, un proyecto legislativo pionero, que se votó a mediados de junio. Pero ¿va a la velocidad correcta o, con respecto al mundo digital, la legislación va por detrás?

Nunca va a la velocidad correcta. Recordemos que el primero correo electrónico se mandó en 1971 y, en pleno año 2005, se hablaba de las nuevas tecnologías y se hacía referencia al email. No era precisamente nuevo. También es cierto que la tecnología avanza a un ritmo frenético. De hecho, las generaciones más jóvenes consideran que Facebook es una red social para viejos (y eso los que han oído hablar de él).

¿Qué podemos hacer para mejorar esta situación? Y, en concreto, ¿qué puede hacer el regulador?

El problema que tenemos con esta legislación es que trabajamos en modo científico loco. Parece que todo lo que podemos hacer, tenemos que probarlo o hacerlo. Y esto no pasa solo en el plano de las ciencias computacionales, pasa también con la genética y otros campos de conocimiento. A veces suena un poco a capítulo de Los Simpson, pero, lo cierto es que estamos jugando con fuerzas cuya comprensión no alcanzamos del todo. Y esa es la cuestión, que igual es un botón que no habría que pulsar y nos estamos pasando de listos.

Y, en cuanto a la Inteligencia Artificial, ¿qué opinas sobre cómo se está abordando la legislación en este sentido?

En lo que a la inteligencia artificial se refiere, para empezar, tengo que decir que soy bastante escéptico del término. Para mí, la inteligencia artificial es lo que se conoce ahora como inteligencia artificial general. Es decir, una inteligencia con consciencia de sí misma y capacidad para tomar iniciativas. En cuanto a la toma de decisiones, lo que ahora tenemos son máquinas muy listas que, en base a una alimentación masiva de datos y a algoritmos que les permiten aprender de esa información con la que han sido alimentadas, ofrecen respuestas muy rápidas a problemas muy complejos. Pero, todavía no tienen iniciativa propia. Esa barrera la establece un fenómeno que en ciencia computacional se conoce como la singularidad. La barrera de singularidad no la hemos cruzado, ni creo que estemos cerca de cruzarla, o, por lo menos, eso espero.

En cualquier caso, lo que sí empieza a haber es un fenómeno muy preocupante: el funcionamiento de estos algoritmos de machine learning en modo black box. Se empezó a ver el problema con los vehículos de conducción autónoma, que se diseñan de una cierta forma para que tengan un conocimiento básico de las reglas de circulación. Pero, a medida que se entrena a estas máquinas, van aprendiendo y van generando nuevos algoritmos para la resolución de nuevos problemas. Al principio conducen por un circuito de pruebas, en el que no se producen los eventos que pueden suceder en una carretera real (un niño que sale corriendo detrás de una pelota, una señora que cruza la calle, un conductor agresivo…). Pero, las máquinas van aprendiendo a reaccionar y generan un nuevo código. El problema es que llega un momento en el que los propios ingenieros, que están detrás del proyecto, reconocen que son incapaces de saber qué hace la máquina, porque ha aprendido por sí misma. Además, existe otro factor: el aprendizaje se hace una manera que no es accesible al programador, por tanto, ya no sabemos cómo piensa esa máquina.

En mi caso, me fascina pensar cómo van a legislar eso. Es decir, establecer la responsabilidad sobre decisiones tomadas a través de un sistema informático más o menos avanzado, tiene una dificultad relativa. Se puede determinar si es responsabilidad del diseñador del software, del diseñador del hardware, del cliente que lo utiliza de forma adecuada o no… Hasta ahí lo podemos acotar. Pero, desde el momento en el que la máquina se autoprograma, a través de datos que percibe directamente, y aprende a resolver problemas que nunca le habían sido planteados y que no estaban en el código original… ¿A quién le podemos achacar la responsabilidad?

En una de tus ponencias hablas sobre el caso Alcasec y analizas el ciberataque que sufrió el Punto Neutro Judicial (PNJ), la red de telecomunicaciones que conecta los órganos judiciales con otras instituciones del Estado y que gestiona el Consejo General del Poder Judicial (CGPJ). ¿Consideras que es un caso aislado o la administración pública está demasiado expuesta a este tipo de ataques?

Hay que diferenciar entre superficie de exposición y riesgo. En nuestro caso, la administración pública tiene una superficie de exposición inmensa porque vivimos en un estado del bienestar en el que la administración presta muchos servicios y, por tanto, tiene muchos frentes que cubrir. Pero, superficie de exposición no siempre significa riesgo. El riesgo supone que esa superficie de exposición es, además, vulnerable al ataque.

Es evidente que las administraciones públicas están implementando mecanismos de ciberseguridad. El Centro Nacional de Inteligencia (CNI), a través del Centro Criptológico Nacional (CCN), es el garante último de la seguridad de las administraciones públicas. El problema es que vivimos en un estado descentralizado, en el que los centros de poder y toma de decisiones están cada vez más atomizados, sobre todo, en lo que a decisiones tecnológicas se refiere. Con lo cual, las comunidades autónomas tienen sus propias fuentes regulatorias y sus propias agencias de desarrollo tecnológico e, incluso, los municipios empiezan a tener también sus propios centros tecnológicos. En este sentido, es mucho más fácil actuar en una administración estatal, con un centro decisor que establece qué políticas y esquemas de seguridad se implementan o qué medios se utilizan, y todo el mundo procede de manera uniforme, que en un sistema descentralizado, con múltiples centros de decisión.

¿Por qué Alcasec atacó a través de la administración de justicia del País Vasco? Porque, en ese momento, le resultó el punto más vulnerable. Nada más.

¿Cuánta “culpa” de estos ataques tiene la falta concienciación y de formación de los usuarios?

Muchísima. Aquí nunca pasa nada, hasta que pasa. Somos un país mediterráneo, con esa filosofía de vida. Tenemos usuarios que son, incluso, reticentes a instalarse aplicaciones de doble factor de autenticación en sus dispositivos. La gente percibe los dispositivos informáticos que pone a su disposición el empleador como algo que les tiene atados y, en muchos casos, no los cuidan bien.

¿Cuál es tu visión sobre el futuro de la ciberseguridad y los ciberdelitos? ¿Hacia dónde debemos ir?

Siempre hemos dicho que tiene que haber un evento colosal que ponga en el ojo de la atención pública esta cuestión. Pero, quizá sea más fácil una reinvención de la tecnología, algo que haga obsoletos los esquemas actuales (no sé si será la computación cuántica o algún otro uso tecnológico). A lo que me refiero es a que Internet no se inventó para ser segura, sino para que funcionara; para que la información viajara de un punto a otro, por cualquier línea viable. Y, además, la seguridad siempre se ha sido pensada por y para expertos.

Por eso, yo propongo “tinderizar” la ciberseguridad, un concepto que ya comenté en una ocasión en INCIBE. Me explico: antes teníamos páginas de contactos en las que hacía falta introducir un formulario larguísimo, con tus gustos, aficiones, características físicas, etc., y un algoritmo calculaba la compatibilidad con otros usuarios. Y, de repente, aparece una aplicación en la que lo único que tienes que hacer es deslizar el dedo para un lado o para otro, y ya está. Y lo que ocurre es que esa app se come todo el pastel del mercado. Por eso, creo que lo que necesitamos en este sentido, es una “tinderización” de la ciberseguridad, que haga transparente su funcionamiento para el usuario. Que no haya que preocuparse de saberse cinco contraseñas o de cuándo toca cambiarlas. Hay que huir de complicarle la vida al usuario y, por el contrario, complicársela más a los ciberdelincuentes.

by