El talento escasea en el campo de la tecnología cuántica aplicada a la ciberseguridad

Damián Tuset Varela, jurista especializado en inteligencia artificial y nuevas tecnologías, ha publicado el manual «Fundamentos legales de la ciberseguridad en la computación cuántica y su impacto en la seguridad nacional» para esbozar el impacto de estas tecnologías en los sistemas de información a nivel estatal. «Uno de los grandes desafíos que enfrentamos en este campo es la escasez de talento en ciberseguridad», afirma. 

Tuset apunta a «una dependencia significativa de la tecnología extranjera». «Muchos países, incluidos los nuestros, dependen de tecnologías y sistemas desarrollados en otros países, lo que crea vulnerabilidades; por ejemplo, si dependemos de hardware y software de Estados Unidos o China, eso nos hace vulnerables a sus decisiones políticas y operaciones de inteligencia», señala.

Además, recuerda que los riesgos cibernéticos «están interconectados con otros tipos de riesgos, como los geopolíticos, económicos y sociales», por lo que «un ataque cibernético puede tener implicaciones económicas, como la pérdida de confianza en los mercados financieros, y también puede afectar la estabilidad social o política de un país».

El letrado, que además ejerce como jefe de sección en la Secretaría General Técnica del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, expone en conversación con Confilegal las oportunidades y riesgos que representan estos avances en el campo jurídico.

¿Qué implica el avance de la tecnología cuántica en la ciberseguridad de los Estados, empresas y particulares?

Comencemos explicando el concepto de tecnología cuántica para aquellos menos familiarizados. Básicamente, esto implica utilizar las peculiaridades de la mecánica cuántica para llevar a cabo tareas que serían poco prácticas o completamente imposibles con tecnologías más convencionales.

Dentro de este término general, se encuentran desarrollos intrigantes como la computación cuántica, donde los ‘qubits’, en lugar de los bits tradicionales, ejecutan cálculos a un ritmo que supera con creces el de sus homólogos clásicos. Además, existe la criptografía cuántica, que aprovecha las propiedades de la mecánica cuántica para fortalecer aún más el cifrado y descifrado de mensajes.

La utilización de la tecnología cuántica es inmensamente prometedora para mejorar la seguridad de las comunicaciones. Un excelente ejemplo de esto es la capacidad de la criptografía cuántica para facilitar la producción de claves de cifrado que son casi impenetrables, a menos que se disponga de la clave correcta.

Además, un elemento esencial de la mecánica cuántica es que la medición de tales sistemas no se puede ejecutar sin alterarlos. Supongamos que un intruso intenta espiar un mensaje cifrado cuánticamente: el acto de interferencia notifica inmediatamente a los usuarios auténticos de la presencia no autorizada.

Actualmente, los sistemas de cifrado se basan en problemas matemáticos complejos que son difíciles de resolver, incluida la factorización de números grandes en sus factores primos. Sin embargo, las computadoras cuánticas poseen el poder de realizar cálculos mucho más rápido por exponentes, por lo que muchos de estos sistemas de cifrado son inútiles. Estos avances pueden tener consecuencias nefastas para las personas, las empresas y los países que dependen de la seguridad de los datos.

¿Qué deben saber y conocer los juristas que se dediquen a esta área? ¿Hay algún agujero que por lo general se tenga que cubrir en este sentido?

Todos aquellos juristas que quieran dedicarse a esta área deberán conocer no sólo todas las normas nacionales en materia de Derecho digital, sino también la normativa europea y estándares internacionales. Además, conviene tener una base técnica sólida para poder comprender lo que se está tratando y poder ofrecer soluciones prácticas a las necesidades planteadas. 

El principal “agujero” es, por tanto, la falta de conocimientos técnicos en materia informática o tecnológica. Hoy día muchos de los programas formales no son capaces de adaptarse a la velocidad de las nuevas tecnologías y de las nuevas herramientas, por lo que autoformación es más importante que nunca. Lógicamente, conforme van surgiendo programas de educación al respecto, es conveniente recibir tal formación pues no sólo sirve para complementar sino para actualizar conocimientos.

En cualquier caso, existen cimientos informáticos que son necesarios, tenemos a nuestra disposición y que necesitamos aprender, ya no sólo para este ámbito, sino en general en el mundo del Derecho. 

¿Cuál es la normativa que rige estas situaciones a nivel nacional e internacional?

La ciberseguridad a nivel nacional e internacional está regulada por una serie de normativas y estándares que atienden tanto a aspectos regionales como globales. En el ámbito europeo, por ejemplo, tenemos la Directiva SRI, que fomenta la cooperación en ciberseguridad entre los países de la UE y promueve la creación de entidades gubernamentales para supervisar y colaborar en este campo.

Además, la Agencia de Ciberseguridad de la Unión Europea, ENISA, apoya a los Estados miembros y a la UE en temas de ciberseguridad y es la encargada de implementar la Directiva SRI. Existen tres propuestas muy importantes de la UE en esta materia: la Ley de ciber resiliencia -una propuesta de reglamento sobre los requisitos de ciberseguridad para los productos con elementos digitales –, la Ley de Ciberseguridad, y la Ley de Ciber Solidaridad– pensada para mejorar la respuesta a las ciber amenazas en toda la UE y que incluye un Escudo Europeo de Ciberseguridad y un mecanismo global de ciber emergencia para crear un mejor método de ciberdefensa – .

A nivel nacional, contamos con un Código de Derecho de la Ciberseguridad que incluye las principales normas en materia de ciberseguridad, como son la Estrategia Nacional de Ciberseguridad 2019, la Ley que establece medidas para la protección de las infraestructuras críticas, el Real Decreto-ley 7/2022, que establece requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación o el Esquema Nacional de Seguridad.

A nivel internacional, las normas ISO, en particular la familia ISO 27000, establecen estándares para la seguridad de la información y la gestión de la ciberseguridad. Por ejemplo, la ISO 27001, que es certificable, y la ISO 27002, que es una guía de buenas prácticas, son fundamentales en este ámbito. Además, la ISO 27701 se centra en la protección de la privacidad de los datos personales.

La Directiva SRI y ENISA son claves para la ciberseguridad a nivel europeo, mientras que, a nivel nacional, hay diversas regulaciones y estrategias en cada país. A nivel internacional, las normas ISO, especialmente la familia ISO 27000, son fundamentales para establecer estándares en la seguridad de la información y la gestión de la ciberseguridad. La cooperación y el cumplimiento con estas regulaciones y estándares son esenciales para abordar las amenazas transfronterizas en ciberseguridad.

Sin embargo, aún no existe una normativa específica y exclusiva sobre ciberseguridad cuántica, que es un campo especialmente novedoso y emergente. 

¿Opina que hace falta alguna modificación o actualización legislativa?

En un mundo donde las tecnologías y las amenazas evolucionan constantemente, es crucial que la legislación sea flexible y capaz de adaptarse rápidamente a estos cambios. Para seguir siendo relevantes y eficaces, las leyes y reglamentos deben revisarse y modernizarse periódicamente. Tanto a nivel nacional como internacional, se debe mejorar la cooperación frente a las ciber amenazas transfronterizas.

Además, aumentar la concienciación y la educación sobre ciberseguridad tanto para individuos como para empresas es crucial para equipar a todas las partes para enfrentar los desafíos en este ámbito. Estos esfuerzos resultarían beneficiosos para todos los involucrados.

Desde luego es necesario una reforma tanto de las leyes del procedimiento, en especial de la Ley de Enjuiciamiento Criminal, como las leyes sustantivas, para adaptar nuestro ordenamiento jurídico a la realidad actual. En cualquier caso, como veíamos en la cuestión anterior, la normativa en esta materia se ve influenciada, en gran medida por reglamentos europeos, que son de directa aplicación a nuestro país sin necesidad de transposición. 

¿Se puede considerar una carrera tecnológica? ¿Quiénes serían los actores más relevantes?

En efecto se puede considerar una carrera tecnológica, especialmente desde un punto de vista geopolítico. Las naciones de todo el mundo están invirtiendo fuertemente en tecnologías de ciberseguridad, no solo para proteger sus propias infraestructuras y sistemas, sino también para desarrollar capacidades ofensivas. Esta carrera está motivada por el deseo de mantener o ganar ventaja estratégica sobre otros países.

La ciberseguridad es un ámbito en el que la ventaja tecnológica puede tener implicaciones significativas para la seguridad y la influencia geopolítica de un país. Por lo tanto, es esencial que los países sigan invirtiendo en el desarrollo de capacidades cibernéticas y en la promoción de la cooperación internacional en este ámbito.

Los actores más relevantes en este contexto serían desde gobiernos, organizaciones internacionales, organizaciones de estándares (como la ISO) y, muy especialmente, las ‘big tech’, esto es, las empresas de tecnología. 

Y en el mismo sentido, ¿qué representa el mayor riesgo?

Bueno, hay varios factores que representan un gran riesgo en el contexto de la ciberseguridad geopolítica. Primero, están las capacidades ofensivas de naciones rivales. Países con habilidades cibernéticas avanzadas pueden atacar infraestructuras críticas de otros países, lo que podría tener graves implicaciones para la seguridad nacional y hasta desencadenar conflictos más amplios.

Otro riesgo importante es el desarrollo y proliferación de armas cibernéticas. Estas herramientas, una vez desarrolladas, pueden caer en manos equivocadas, como grupos terroristas o delincuentes cibernéticos.

Además, la falta de normas internacionales claras en el ciberespacio aumenta el riesgo de malentendidos y escalada de conflictos. A diferencia de otros ámbitos, no hay un consenso claro sobre qué constituye un acto de agresión en el ciberespacio o cuáles deberían ser las consecuencias apropiadas para las acciones ofensivas.

También está el riesgo del efecto cascada. Un ataque a una infraestructura crítica, como la red eléctrica, podría tener un efecto dominó en otros sistemas y sectores, causando daños extensos y paralizando la economía y la sociedad.

Y no podemos olvidar la desinformación y manipulación de la información. La capacidad de difundir desinformación y manipular la opinión pública a través de internet y redes sociales puede tener un impacto significativo en la política interna de un país y en sus relaciones internacionales.

Las vulnerabilidades en la cadena de suministro también son un gran riesgo. La dependencia de tecnología y software desarrollados en otros países crea vulnerabilidades que pueden ser explotadas por actores malintencionados.

Noticias Relacionadas:

Policía y Guardia Civil libran una guerra silenciosa y eficaz contra el yihadismo en el ciberespacio

Francisco Pérez Bes: «Los procuradores, por su posición estratégica en la cadena de gestión, deben implementar medidas de seguridad adecuadas a ese riesgo»

Los equipos «in house» carecen de experiencia en tecnología y privacidad, según los consejeros generales de Estados Unidos

Los despachos de abogados arrancaron 2024 con una fuerte demanda y beneficios, según Thomson Reuters

CMS asesora a Miura Partners y Bianna Business en un nuevo negocio de alquiler de equipos para el tratamiento de residuos

Banco Sabadell rechaza la oferta de fusión de BBVA, entiende que generará más valor en solitario