El Gobierno de Cataluña cree a día de hoy, con el referéndum de independiente del próximo 1 de octubre (1-O) a la vista, que sus estructuras esenciales son un “objetivo” de los ciberataques. Lo afirma en el preámbulo de la Ley por la que se crea la Agencia Tributaria de Ciberseguridad de Cataluña, publicada recientemente en el Boletín Oficial del Estado (BOE).

Este organismo, que se nutrirá del Presupuesto autonómico, gestionará todo lo relacionado con la prevención y persecución de los ataques informáticos y a los sistemas de información en la comunidad autónoma. Es una de las principales aspiraciones del Gobierno catalán especialmente desde finales de 2014, después de que Cataluña sufriera un bloqueo de webs y redes sin precedentes coincidiendo con consulta independentista del 9-N.

El Ejecutivo catalán no quiere que la historia se repita. Sin embargo, a pesar de que la posibilidad venía recogida ya en el Estatuto de Cataluña, la Ley que habilita su creación, a partir de las estructuras de la actual Fundación Centro de Seguridad de la Información de Cataluña (Cesicat), no ha sido aprobada hasta el pasado 25 de julio en el parlamento catalán, antes de su publicación en el BOE.

Por ello, no es seguro que la agencia esté a pleno rendimiento antes del 1-O. La Ley establece un plazo de un año a contar desde la entrada su entrada en vigor. Para ello, se deberán aprobar unos estatutos y las normas necesarias para su desarrollo. Sin embargo, fuentes de la Generalitat consultadas no han precisado cuando podrá llevarse a cabo el trasvase de los recursos del Cesicat a la nueva agencia para que esta pueda echar a andar.

Cataluña, ante la beligerancia de las redes

Según asegura la norma, firmada por el propio presidente de la Generalitat de Cataluña, Carles Puigdemont, “la protección ante las ciberamenazas se ha convertido en un pilar básico”, porque, como demostró la irrupción del virus Wannacry, el pasado mes de junio, hay una actividad organizada en la red que persigue perjudicar a gobiernos y empresas de relevancia.

Pero también porque de unos años a esta parte, los ciberataques parecen haberse cebado con Cataluña a raíz del avance del proceso independentista. “En los últimos tiempos, la beligerancia de las actuaciones en la red dirigidas hacia Cataluña, en general, y, concretamente, hacia la Administración de la Generalidad y sus servicios públicos, hace necesario abordar una actuación decidida para la protección de la información, las infraestructuras y los intereses de la Generalidad y de las personas e instituciones públicas y privadas de Cataluña”, justifica la norma que crea la Agencia de Ciberseguridad catalana.

Unos 10.000 ataques diarios

Los datos parecen dar la razón al gobierno catalán. Según datos solicitados al Instituto Nacional de Ciberseguridad (Incibe), Cataluña es la comunidad autónoma que más incidentes –no se refiere explícitamente a ciberataques– registra en España, con el 19,5% del total, de acuerdo con los registros del último trimestre de 2016 y lo que va de 2017. El pasado año, la cifra diaria alcanzaba los 10.290. Este año se sitúan en 8.722, algo menos.

La mayor parte de estos casos se refieren a los conocidos como bots, o redes de ordenadores personales (ordenadores zombis) controlados por una persona o una organización para cometer fraudes o robar datos personales, como contraseñas. En este sentido, de los miles de incidentes diarios, muchos son ciberdelincuencia a pequeña escala.

Otros, en cambio, son más peligrosos. Como ejemplo, un grupo de hackers accedieron a datos personales de miles de Mossos d’Esquadra en abril de 2016.

Sin embargo, en lo que se centran buena parte de los temores del Gobierno catalán es en que el referéndum del 1-O se repita lo que ya ocurrió los días 8 y 9 de noviembre de 2014, cuando se celebró en plena celebración de la consulta para la independencia, los ordenadores y servidores de la Generalitat fueron atacados generando bloqueos en las redes. El Gobierno del entonces presidente, Artur Mas, hizo una lectura política del ataque y encomendó la investigación al Cesicat, germen ahora de la Agencia de Ciberseguridad.

Este, en declaraciones a TVE recogidas por La Vanguardiael secretario de Telecomunicaciones, Ciberseguridad y Sociedad Digital de Cataluña, Jordi Puigneró, afirmaba que la Generalitat está haciendo «todo lo posible» para que el referéndum no se viera afectado por ciberataques, después del aprendizaje del 9-N.

Cómo y cuándo se creará

Así pues, la nueva Agencia de Ciberseguridad de Cataluña tendrá entre sus cometidos la investigación de estos eventuales golpes a la seguridad en el ámbito de sus competencias, capacidad que hasta el momento no tenía el Cesicat, que era una organización sin ánimo de lucro con el cometido de seguir los programas y planes de actuación en la materia.

Una vez se disuelva la Cesicat y se cree sobre sus cimientos la nueva agencia, una entidad ya de derecho público y con personalidad jurídica propia, esta podrá, entre otras cosas, coordinar la ciberseguridad en Cataluña. Ello incluirá la facultad de investigar toda vulneración de las infraestructuras tecnológicas o los sistemas de información en el territorio.

Mientras la nueva agencia se pone en marcha, el Cesicat continuará ejerciendo sus funciones y, una vez se cree jurídicamente la agencia, cederá todos sus activos materiales, el personal y los recursos presupuestarios asignados. Asimismo, la Agencia de Ciberseguridad se subrogará en los contratos y convenios suscritos por la Cesicat.