“No somos un cuerpo policial”, aclara Javier Diéguez, director general de Cyberzaintza, Agencia Vasca de Ciberseguridad, creada recientemente como una red para dotar de herramientas a la sociedad vasca con el objeto de que tome el control de su seguridad digital. La entidad capitaneada por este ingeniero informático no parte de cero, sino que previamente ya existía, desde 2017, Basque Security Center, si bien estaba adscrito al Departamento de Desarrollo Económico. Sin embargo, el contexto actual, tras una pandemia que reforzó el uso de los medios digitales, apremió a que se configurara alrededor del Departamento de Seguridad, para que pudiera actuar sobre las instituciones públicas y la ciudadanía. “Se tomó la decisión de crear algo más ambicioso que cubriese un espectro más amplio”, revela Diéguez sobre su marco de competencia.

Así, la agencia, que se dio a conocer ayer en un acto presidido por el consejero de Seguridad, Josu Erkoreka, amplía su labor en la difusión de la cultura de la ciberseguridad en Euskadi a la ciudadanía y al sector público. En ese sentido, Javier Diéguez indica que su consejo de administración está formado por representantes del Gobierno Vasco, las tres diputaciones forales, los ayuntamientos de las tres capitales de la CAV y Eudel.

A nivel interno, además, la agencia colabora con otros países. “La Ertzaintza tiene sus redes de confianza en Europa, la Europol, y a nivel internacional, con la Interpol”, detalla el responsable de Cyberzaintza. Javier Diéguez concreta que cuando se trata de la investigación de un delito todo cauce surge en el ámbito policial. “Aunque cuando hay que hacer una acción que no necesariamente es policial, por ejemplo, desactivar un dominio que ha sido identificado como origen de una campaña maliciosa de correo electrónico, pueden acudir a Cyberzaintza para pedirnos que a través de las redes internacionales no policiales podamos pedir la desactivación temporal o definitiva de ese dominio”, ejemplifica.

De la experiencia previa con la que parten, desde Cyberzaintza concretan que en el ámbito empresarial hay “mucha reticencia a compartir experiencias negativas. Es una asignatura pendiente, no solo en Euskadi, sino en todo el sur de Europa”. El principal motivo para no darlo a conocer suele ser “el miedo a la pérdida de reputación”. “No es lo mismo sufrir un incidente y salir con cara de incredulidad a que tengas el mismo incidente y salgas a comunicarlo diciendo que sabes lo que hay que hacer”, afirma Diéguez, quien indica que “es importante gestionar bien los protocolos de actuación porque puede haber ámbitos a los que tengas que comunicar no de manera voluntaria, sino porque hay alguna regulación que te lo exige”.

Es en las empresas donde se suelen dar algunos tipos de cibercrimen concretos, como el espionaje industrial. A diferencia del ransomware, un tipo de estafa mediante coacción en el que uno es consciente del ataque porque no puede acceder a su información o utilizar su servicio, el espionaje “es más de guante blanco”. Alguien entra en el sistema pero no quieren que se sepa. “A lo mejor están dentro de un modo latente y en un determinado momento empiezan a filtrar información de determinado tipo de interés, pero van a intentar que no te enteres para poder extraer más información”, manifiesta.