«No hemos detectado ataques aquí, pero hay que estar atentos»

–Sí, aunque no es la primera que ha habido. La primera oleada contra intereses ucranianos fue el 15 de febrero. Una semana después, con algo más de información, empezamos a configurar nuestras alertas. Allí está habiendo ataques para destruir información de empresas o instituciones.

–¿Qué nivel de alerta hay en el País Vasco?

–El nivel de alerta en Euskadi es alto, pero no lo hemos elevado. No hemos detectado ataques dirigidos aquí, ni fuera de Ucrania. No hay ataques a terceros países. Visto el contexto, en el que es verdad que hay que estar atento, no queremos generar ninguna alarma innecesaria.

–Ha habido recientes problemas en Mondragon Unibertsitatea y la Spri...

–Como responsable de un CERT no puedo confirmar ni desmentir información relacionada sobre incidentes que hayan podido suceder en organizaciones de nuestro territorio. Eso supondría automáticamente una vulneración del código ético de la comunidad de CERTs.

–¿Y no hay más ataques?

–Hay ataques todos los días y colapsos de webs que afectan a muchas organizaciones, muchas veces pidiendo dinero, pero no vemos otra cosa. Nada que afecte a sistemas financieros o elementos críticos o sensibles, que son los que pretenden generar indisponibilidad de servicios o campañas de desinformación para generar miedo o caos.

–Entiendo que no hay actividad maliciosa sobre infraestructuras esenciales vascas...

–En Euskadi, no. En España, no lo sé. Aquí hay ataques exitosos pero de los habituales y en un número que no llama la atención. No podemos ver vinculación con Ucrania. Nadie te dice que el enganche de Enagás en Irun para suministrar gas natural a Europa no funciona. Eso sí es lo que pasa en Ucrania.

–¿Las autoridades españolas no les han pedido que eleven la alerta?

–Nosotros hemos pedido a la gente que esté más alerta, pero insisto en que no hay actividad que justifique volverse loco. Hay incertidumbre, con lo que hay que tener más cuidado. No seria prudente, por ejemplo, mover a producción un sistema industrial crítico que no se hubiera probado antes. No hay evidencia clara de que haya ataques pero sí incertidumbre. Se nota en la Bolsa; no se destruyen empresas en España pero el Ibex parece una montaña rusa.

–Es evidente que no hay una ciberguerra hacia Euskadi, pero sí una sensación de que hay que tener más cuidado...

–Lo que hacemos es estresar el mensaje pero no demasiado. Es que no hay ataques de grupos cibercriminales rusos contra Euskadi.

–¿Se ha tomado alguna decisión ligada a la situación en Ucrania?

–En previsión de que la situación pueda cambiar, el pasado día 2, en el Gobierno Vasco, y de manera interna, dirigido a la parte pública y a industrias estratégicas, se ha creado una mesa de coordinación de ciberseguridad a petición del departamento de seguridad, que forma parte del BCSC, al que se incorpora el departamento de Desarrollo Económico. Objetivo; valorar la situación en el centro y que la información llegue rápidamente a donde tiene que llegar. También se ha ampliado la mesa para involucrar a las diputaciones y a los mayores ayuntamientos. Sin ningún carácter dramático. Es momento de estar atentos a las infraestructuras importantes. Hubo mesas similares en elecciones y con el Covid, por las vacunas, con otros actores.

–¿Y las empresas?

–Todo eso corresponde realmente a la Ertzaintza, que lleva el plan de protección de infraestructuras sensibles de Euskadi, en el que están adscritas unas setenta organizaciones.

–¿Qué puede pasar?

–Entramos en el terreno de las conjeturas. Eso que quede claro. Pero lo que puede pasar, no digo que sea probable pero sí posible, es que lo que hay dirigido hacia Ucrania circule por internet. Hoy en Euskadi no está sucediendo, pero no queremos cerrar los ojos a escenarios futuros peores que los actuales. ¿Podría pasar? Sí. ¿Está pasando? No. ¿Hay que estar atentos por si pasa? Sí. En ese escenario es en el que tiene sentido la mesa. Sin ninguna generación de alarma.

–¿Hay más sensación de que pueden pasar cosas malas?

–Correcto. Pero yo trabajo con datos. Yo no lo puedo afirmar. Prefiero hablar de prudencia y de prudencia. ¡Calma! Todas las organizaciones deberían estar siempre lo mejor preparadas posible.

–¿Y están preparadas las empresas en Euskadi?

–En general, no. Algunas tienen mayor grado de madurez porque su sector así se lo exige, como por ejemplo eléctricas o bancos. Otras tienen un nivel básico y otras están más expuestas. Se sigue viendo la ciberseguridad como un coste y no como un elemento de gestión de riesgos para el negocio. Falta visión estratégica sobre la ciberseguridad. El 50% de los proyectos presentados para recibir ayudas en este ámbito son muy básicos; eso te dice mucho del estado de la situación. Yo no digo que no podamos ir a un escenario peor, lo que sí digo es que hay que protegerse siempre. Cuando acabe el conflicto seguirá habiendo peligros.