Desinformación, ciberataques y las respuestas institucionales en España

emotet
La OCDE en un informe presentado bajo el titulo «Hechos no falsificaciones: abordar la desinformación, fortalecer la integridad de la información», nos dice que España es uno de los 9 países que ha desarrollado estrategias para abordar la desinformación y reafirmar la necesidad de garantizar información confiable en sus respectivos países(1), esos otros países que acompañan a España son: Australía, Estonia, Latvia, Lituania, Portugal, Países Bajos, Italia y USA.
El informe desarrolla su contenido en base a tres objetivos:
  1. Mejorar la transparencia, la rendición de cuentas y la pluralidad de fuentes de información.
  2. Fomentar la resiliencia de la sociedad ante la desinformación;
  3. Mejorar las medidas de gobernanza y la arquitectura institucional para mantener la integridad del espacio de la información
Mathías Cormann, secretario general de la OCDE, afirma que la creciente desinformación es un problema que ninguna democracia puede resolver por sí sola, y como respuestas para contrarrestar la desinformación, comparte tres recomendaciones concretas(2):
  1. Apoyar un periodismo independiente y diverso.
  2. Fomentar la rendición de cuentas y la transparencia de las plataformas en línea.
  3. Ayudar a desarrollar la alfabetización mediática de los ciudadanos para fomentar el consumo crítico de contenidos, abordar el desafío de la desinformación y su efecto corrosivo sobre la confianza.
El Informe C presentado por la Oficina C sobre la desinformación al Congreso de España, sobre el cual hice referencia en mí artículo anterior, destaca que la desinformación es un fenómeno en el que “confluyen las operaciones de influencia en la información y la injerencia extranjera. Las primeras engloban el uso del conjunto diverso de desórdenes informativos y manipulativos de distinta índole y la segunda incluye esfuerzos coercitivos que pueden combinar otras acciones como ciberamenazas, presión financiera o de otro tipo.” (3)
Según ese Informe la desinformación es un asunto de seguridad nacional, porque representa una amenaza sistémica con potencial para desestabilizar los Estados y los procesos democráticos.
Cuando la OCDE hace referencia a España, destaca dos iniciativas concretas para abordar el fenómeno de la desinformación, ellas son:
1.- El Programa Democracia para apoyar el diálogo social y los intercambios de conocimiento entre España y otros países tanto europeos, como de américa latina y el Caribe, a los fines de reforzar los valores democráticos, creado en el 2023.
2.- La creación del Foro para enfrentar la desinformación en materia de Seguridad Nacional en el año 2022.
Particularmente sobre ese Foro contra las campañas de desinformación en Seguridad Nacional, tanto en este informe presentado por la OCDE como en el informe presentado al Congreso de España no hay referencias que nos permita profundizar en su impacto o actividades relevantes desde su creación.
La Estrategia de Seguridad Nacional de España, actualizada en el 2021, tampoco hace referencia al mencionado Foro, pero es importante destacar que desde esa actualización, se incorporó en el mapa de riesgo a las campañas de desinformación que según nos dice  la Estrategia de Seguridad Nacional, presenta los siguientes elementos: (4)
  1. -Voluntad de generar confusión y socavar la cohesión social.
  2. -Uso coordinado de distintos medios para la creación y difusión de contenidos dirigidos a audiencias amplias.
  3. -Intención maliciosa con fines de desprestigio o influencia sobre el objetivo del ataque.
Así como lo advierten todos los estudios sobre la amenaza de la desinformación, la Estrategia de Seguridad Nacional de España, reafirma que las campañas de desinformación suponen una grave amenaza para los procesos electorales y que además agrava la peligrosidad cuando esas campañas son promovidas por actores extranjeros, tanto estatales como no estatales, que desarrollan aparatos de propaganda con la intención de polarizar a la sociedad y minar su confianza en las instituciones. (5)
Para enfrentar esa amenaza la Estrategia de Seguridad Nacional de España destaca la necesidad de impulsar medidas que permitan:
  1. Hacer un uso sistemático de la detección, alerta temprana y notificación.
  2. Coordinación de la respuesta, siempre en línea con las pautas y el trabajo desarrollado en el seno de la Unión Europea.
  3. Colaboración público-privada, especialmente con los medios de comunicación y proveedores de redes sociales.
  4. Sensibilización de la ciudadanía son aspectos clave a la hora de detectar y hacer frente a las campañas de desinformación.
El compromiso del Gobierno de España por elaborar una Estrategia Nacional de Lucha contra las campañas de desinformación, está prevista en el primer eje de la Estrategia de Seguridad Nacional, que es definida como: Una España que protege la vida de las personas y sus derechos y libertades, así como el orden constitucional.
Precisamente en el camino para concretar la estrategia mencionada en el párrafo anterior, puedo interpretar, se puede enmarcar las dos iniciativas que se han impulsado en España, ambas, orientadas a una mayor y mejor comprensión sobre la amenaza que representa las campañas de desinformación, ellas son:
1.- El documento presentado en septiembre 2022 titulado: «Lucha contra las campañas de desinformación en el ámbito de la seguridad nacional: propuestas de la sociedad civil» presentado como el resultado de una iniciativa pública-privada promovida por el Departamento de Seguridad Nacional.(6)
2.- El informe presentado al Congreso de Diputados en enero 2023 titulado: Desinformación en la era digital, sobre el cual hice referencia en mí artículo anterior. (7)

El diseño institucional del Foro

El Foro contra las Campañas de Desinformación en el ámbito de la Seguridad Nacional es presentado como un espacio de colaboración público-privada, en el que se recomienden iniciativas para fomentar el conocimiento de la amenaza de las campañas de desinformación y la realización de actividades conjuntas y participativas.
Su creación está registrada en el Acuerdo por el que se crea el Foro contra las campañas de desinformación en el ámbito de la Seguridad Nacional, su composición y funcionamiento, está desarrollado en la Orden PCM/541/2022, de 10 de junio, por la que se publica el Acuerdo del Consejo de Ministros de 31 de mayo de 2022. (8)
El Acuerdo mencionado inicia justificando su creación en la necesidad de promover una cultura de Seguridad Nacional que favorezca la implicación activa de la sociedad en su preservación y garantía como requisito indispensable para el disfrute de la libertad, la justicia, el bienestar, el progreso y los derechos ciudadanos, tal y como expresamente lo señala la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, en su artículo 5.1.
Así mismo, el mencionado instrumento normativo exige al Gobierno poner en marcha acciones y planes que tengan por objeto aumentar el conocimiento y la sensibilización de la sociedad acerca de los requerimientos de la Seguridad Nacional, de los riesgos y amenazas, del esfuerzo de los actores y organismos en salvaguardar y asumir la corresponsabilidad en las medidas de anticipación, prevención, análisis, reacción, resistencia y recuperación respecto a los riesgos y amenazas.
Según el Acuerdo adoptado el mencionado Foro estará integrado por:
  • Seis personas en representación de la Administración General del Estado, empleadas y empleados públicos con nivel 28 o superior.
  • 10 personas en representación de organismos de la sociedad civil, procedentes del ámbito académico, sector privado, asociaciones y/o entidades sin ánimo de lucro.
Además podrá contar con personas expertas independientes y de la ciudadanía.
El Foro estará presidido por el titular del Departamento de Seguridad Nacional, y la representación de la sociedad civil está determinada por un representante de los siguientes sectores:
  1. Comisión Nacional de los Mercados y Competencia.
  2. Asociación de periodistas propuesta por la asociación con mayor representación a nivel nacional.
  3. Organizaciones independientes de verificación a propuesta de la asociación de periodistas con mayor representación a nivel nacional.
  4. Universidades españolas, designadas entre académicos a propuesta de la Conferencia de Rectores de las Universidades.
  5. Centros de investigación en el campo de la inteligencia artificial, a propuesta del Consejo Superior de Investigaciones Científicas.
  6. Centros de análisis de la realidad jurídica y sociopolítica nacional e internacional a propuesta del Centro de Estudios Políticos y Constitucionales.
  7. Asociaciones del sector industrial digital, a propuesta de la asociación empresarial del sector digital más representativa a nivel nacional.
  8. Sector de publicidad, a propuesta de la Comisión Nacional de Mercados y Competencia.
  9. Asociaciones de usuarios de nuevas tecnología de la información a propuesta del Consejo de Consumidores y Usuarios.
El Foro contará con un Pleno que será responsable de:
  1. Adoptar acuerdos.
  2. Promover y elaborar estudios e iniciativas que permitan, directa o indirectamente, aumentar el conocimiento y la sensibilización de la sociedad acerca de los riesgos y amenazas generados por las campañas de desinformación susceptibles de comprometer la Seguridad Nacional, así como sobre el esfuerzo de los actores y organismos implicados en su salvaguarda y la corresponsabilidad de todos en medidas de anticipación, prevención, análisis, reacción, resistencia y recuperación respecto a dichos riesgos y amenazas, como contempla la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
  3. Crear grupos de trabajo específicos con la composición y funciones que para cada caso se disponga y con el objetivo de llevar a cabo el estudio y análisis de temas específicos relacionados con los fines del Foro.

Otras amenazas que acompañan a la desinformación

La Estrategia de Seguridad Nacional 2021 reconoce que si bien las campañas de desinformación tienen clara repercusión en la Seguridad Nacional, es necesario diferenciarla de otros factores como la información falsa, que en inglés es fake news o información errónea, en inglés  misinformation, y en tal sentido, agrega que es necesario entender que de hecho, las campañas de desinformación no contienen necesariamente noticias falsas, sino que pretenden distorsionar la realidad mediante contenido manipulado.
Y destaca el aumento del uso de las estrategias híbridas a través de las cuales, mediante acciones coordinadas y multidimensionales, tratan de explotar las vulnerabilidades de los Estados y sus instituciones con un objetivo de desestabilización o coerción política, social o económica.
Esas estrategias, destaca el documento Estrategia Nacional de Seguridad España 2021, se caracterizan por la dificultad de atribuir su autoría y por emplear medios que pueden incluir, además de acciones convencionales, otras como campañas de desinformación, ciberataques, espionaje, subversión social, sabotaje, coacción económica o el uso asimétrico de medios militares. (9)
En España durante las últimas elecciones generales de julio, así como en las autonómicas y locales, el Ministerio del Interior de España sufrió hackeo en su sistema, en julio lograron tumbar su página web, y sobre ese episodío un grupo organizado de hackers prorrusos, conocido con el nombre de NoName057, reivindicó en redes sociales el ataque informático contra la página web del Ministerio del Interior en plena jornada electoral. Esos mismos Hackers también realizar un ataque de denegación de servicios a Bankinter, Abanca, Grupo Caja Rural y Banco Cooperativo. (10)
Frente a la realidad que nos presenta las amenazas que a través de los avances tecnológicos se potencian y ponen en riesgo la confianza de la ciudadanía en la democracia y sus procesos de legitimación, los medios de comunicación permiten conocer que para las elecciones generales de España en julio 2023, el Gobierno conformó una Red de Coordinación para la Seguridad en Procesos Electorales, cuyo objetivo es adoptar todas las medidas necesarias para garantizar la seguridad en las elecciones generales del 23 de julio. (11)
Por cierto, importante destacar que la mencionada Red ya había sido activada en el 2019 y según noticia pública, el funcionamiento de esa Red responde a las recomendaciones de la Unión Europea para salvaguardar el derecho al voto de los ciudadanos en medio de un contexto internacional sujeto a nuevas amenazas sobre las comunicaciones y sistemas informáticos, además de a procesos de desinformación.
La web oficial de Moncloa (12) informa que esa iniciativa se orientada a la idea de integrar la Red Europea de Seguridad en Elecciones y destaca que son 4 áreas de acción de esa Red, a saber: proceso electoral, protección de datos personales, seguridad física y ciberseguridad, y desinformación
También nos permite conocer que la Red está formada por la Junta Electoral Central Presidencia del Gobierno, los ministerios del Interior, Defensa, Asuntos Económicos y Transformación Digital, Asuntos Exteriores, Unión Europea y Cooperación, la Agencia Española de Protección de Datos y la Sociedad Estatal de Correos y Telégrafos. la Agencia Española de Datos será la encargada de vigilar los ataques que puedan producirse en el tratamiento de los datos de carácter personal.
El Departamento de Seguridad Nacional participa en la Red como el responsable de coordinar la lucha contra las campañas de desinformación, tarea en la cual participan la Secretaría de Estado de Comunicación y la Dirección General de Comunicación, Diplomacia Pública y Redes del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación; por lo tanto, si partimos por recordar que el Departamento de Seguridad Nacional es quien preside el Foro contra la campaña de desinformación en el marco de la seguridad nacional, entonces podemos interpretar que el Foro tiene presencia en la Red aún cuando no se mencione expresamente su participación.
Una revisión al Real Decreto 207/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior (13) permite identificar en la estructura del ministerio, vigente para este momento en el que se escribe este artículo, dos instancias concretas que asumen entre sus responsabilidades la tarea de abordar la desinformación, ellas son:
  • La Dirección de Política Interior del Ministerio de Relaciones, que según el instrumento normativo mencionado, tiene entre sus atribuciones la planificación, dirección y coordinación de las actuaciones en materia de ciberseguridad en el ámbito electoral y de la Red de coordinación para la Seguridad en procesos electorales. Asimismo, la participación en órganos, grupos de trabajo o reuniones cuya finalidad sea garantizar la seguridad y la lucha contra la desinformación en los procesos electorales.
  • La Oficina de Ciberseguridad, a través de la cual se debe crear un Observatorio de Cibercriminalidad, que estarán bajo la responsabilidad de la Dirección de Coordinación y Estudio, que tendrá como finalidad el monitoreo e identificación de tendencias para detectar y hacer frente a nuevos retos y amenazas en dicho ámbito, recopilar, procesar y analizar información sobre ciberseguridad, cibercriminalidad y campañas de desinformación, con la finalidad de elaborar productos de inteligencia
Varias noticias recientes permiten acercarnos a una realidad que está allí como uno de los complejos desafíos que atentan contra la estabilidad y la capacidad de recuperar niveles adecuados de certidumbre para abordar el futuro, a continuación, haré referencia a algunas de ellas.
Empiezo con una publicación del 16 de marzo 2024, registrada en El Independiente bajo el titulo Los ciberataques, la amenaza más real y constante que proviene de Rusia, en cuyo contenido se advierte que España es un objetivo importante de ciberataques, pero también, afirma la nota, es un ejemplo por que se comparte información entre las distintas instancias, lo que permite que al detectarse una amenaza pueda bloquearse rápidamente.
El artículo nos dice que los ciberataques más frecuentes son el robo de datos, los ataques de denegación de servicio de ataque a grandes plataformas, los ataques a webs gubernamentales lo que daña la credibilidad del estado víctima de esa intervención, y las fake news, sobre todo, las realizadas con video gracias a la Inteligencia Artificial.
Además reconoce que España tiene un buen nivel en ciberseguridad y figura entre los cinco países más punteros del mundo pero también figura entre los más atacados, destacando que en España operan el Centro Criptológico Nacional y el INCIBE, más focalizado en pymes. (14)
Otro artículo, específicamente un reportaje sobre el tema publicado por el portal web Channel Partner (15), destaca que en el año 2023, según Josep Albors, director de investigación y concienciación de ESET España, los “principales ciberataques sufridos en España durante 2023 se han producido a gracias a que los atacantes han podido aprovecharse de sistemas mal configurados, desactualizados y, sobre todo, por la utilización de credenciales robadas, filtradas previamente y/o probadas al azar en ataques de fuerza bruta”.
Así mismo el mencionado reporte nos recuerda que los casos que llamaron más la atención mediáticamente fueron los ataques a Hospital Clínic, de Barcelona, y al Ayuntamiento de Sevilla, por los miles de ciudadanos afectados y por lo sensible de los datos sustraídos, sobre todo en el caso del centro sanitario barcelonés. En el sector privado, fueron sonados los problemas de ciberseguridad de Telepizza, Air Europa o Yoigo.
Dos noticias más, son oportunas de mencionar, pues los datos que nos aportan son útiles para tener una idea sobre la realidad en materia de los ciberataques y partiendo de allí valorar la importancia del tema:
La primera, tiene como fecha febrero 2024 y fue publicada por la plataforma web RedSeguridad, en ella se afirma que España se posicionó, durante el último semestre de 2023, como el país europeo que más ciberataques ha recibido, ocupando el tercer lugar a nivel mundial.
La información es presentada como una conclusión del Threat Report H2 2023 de Eset, un estudio que detalla la situación de las ciberamenazas tanto en España como a nivel global gracias a un análisis de su sistema de telemetría.16
La segunda noticia tiene fecha de enero 2024, y es publicada en la plataforma web IT Digital Security, allí se hace referencia al informe de Check Point Research, y se destaca que según el mismo, una de cada diez empresas a nivel mundial sufrió intentos de ransomware en 2023, lo que supone un aumento del 33% con respecto al año anterior. Sin embargo, si nos fijamos en los datos de nuestro país, se sufrieron de media 1.042 ataques semanales en 2023, lo que supone un descenso del 17%.
Y en esa noticia, hay una afirmación que hace Eusebio Nieva, director técnico de Check Point Software para España y Portugal, muy apropiada para cerrar éste artículo, cito: “las amenazas cibernéticas cada día son más complejas y frecuentes, por lo que es esencial que nos mantengamos al tanto de todas estas tendencias, prosigamos con nuestra labor de concienciación y las técnicas de protección continúen evolucionando”. 17
Destaco de esas palabras que el desarrollo institucional que cada país debe hacer para enfrentar las amenazas de esas estrategias híbridas mencionadas, deben atender a una realidad que es dinámica y cambiante, por lo tanto complejas, que requiere comprender muy bien la amenaza y que las iniciativas institucionales como el Foro contra campañas de desinformación en el marco de la Seguridad Nacional y la Red de Coordinación para la Seguridad en Procesos Electorales, no queden en una mera formalidad institucional, sino que a través de sus logros y acciones, se preserve y fortalezca la cohesión social, alimentando así la confianza ciudadana en los procesos electorales y en consecuencia en la democracia.
Carlos Romero Mendoza.
@carome31
Acerca de Carlos Romero 172 artículos
Director de Asociación Civil Eccos de Paz. Estudioso e investigador de temas locales y de participación ciudadana, con experiencia en docencia universitaria y autor de varios libros y artículos sobre institucionalidad local.