Francisco Pérez Bes, abogado digital: “Los poderes públicos deben ser los primeros en invertir en ciberseguridad”

Francisco Pérez Bes ha sido siempre un abogado adelantado a su tiempo. Hace 25 años, recién aprobada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal —norma ya derogada— este experto ya vio que el Derecho Digital podría convertirse en una práctica autónoma y que con el paso del tiempo tendría tanta importancia como el Derecho Fiscal, Laboral o Mercantil.

En una entrevista concedida a Economist & Jurist, Pérez Bes ha analizado los retos de la ciberseguridad para este año 2025 que ahora arranca.

Este experto es uno de los fundadores de ENATIC, asociación de abogados digitales, entidad que ahora prepara su próximo Congreso Nacional. Su trayectoria profesional se ha centrado en el entorno digital, del que es uno de sus referentes como experto en regulación tecnológica y en cuestiones de ciberseguridad. “Para enfrentarte al Derecho Digital tienes, primero, que ser jurista y, luego, incorporar esta capa tecnológica que no deja de evolucionar”, señala el entrevistado.

A lo largo de su extensa carrera profesional fue responsable del comité de protección de datos de una empresa como Agbar; formó parte de Autocontrol de la Publicidad, como director adjunto de la Secretaría Técnica del Jurado; y fue compliance officer de una multinacional como Ladbrokes, antes de ser designado como secretario general del Instituto Nacional de Ciberseguridad de España (INCIBE). Actualmente presta sus servicios en Ecix Tech, donde entre sus cometidos está el asesoramiento en cumplimiento digital para los clientes de esta consultora jurídico-tecnológica.

Sus cuentos sobre ciberseguridad se han convertido en un clásico para enseñar a los menores esta actividad: “Ahora incorporamos fichas y una serie de preguntas para que el padre o madre puedan trasladar mejor los mensajes educativos en los niños”.

Desde su punto de vista “la ciberseguridad está en constante evolución. A nivel tecnológico estamos viendo muchos avances. La tecnología se implementa para ayudar a las empresas y ciudadanos a prevenir y evitar incidentes y fraudes, pero al mismo tiempo esta tecnología es utilizada por los ciberdelincuentes para mejorar sus capacidades de ataques. Eso hace que los ciberdelitos crezcan, como nos dicen las estadísticas”.

Al mismo tiempo revela que “también crece la preocupación política por esta cuestión. Especialmente desde la Unión Europea son conscientes de la amenaza que supone la ciber-inseguridad en esta sociedad digital e hiperconectada que queremos poner en marcha. Sin una regulación robusta, clara y que sea aplicable, las empresas no van a asumir estas obligaciones que el legislador quiere que asuman, que —además— deberían ir acompañadas de inversiones tecnológicas, pero también organizativas”.

Al final “se trata de coordinar la regulación con inversiones tecnológicas y responsabilidad de las empresas y de los ciudadanos. Sólo trabajando juntos y de forma coordinada podremos luchar con éxito contra estos ciberdelitos y evitar que esta tendencia vaya a más”.

Este abogado ha lanzado al mercado ‘Cuentos de ciberseguridad’, una obra para menores única en su género. (Imagen: ENATIC)

Sobre el crecimiento de esta lacra, Pérez cree que han confluido varios factores en el tiempo: “En primer lugar la comercialización de dispositivos electrónicos inseguros por falta de regulación. Eso hacía que muchos fabricantes (especialmente extranjeros) primaban sacar el producto rápido para ganar cuota de mercado sacrificando de alguna manera la seguridad del usuario. Y eso ha llevado que hay muchos dispositivos como rooters, pulseras o juguetes interconectados no tuvieran un nivel suficiente de seguridad”.

Para este experto “desde esta perspectiva, el uso cada vez mayor de la tecnología por parte del usuario amplía su superficie de exposición, con lo cual la vulnerabilidad del usuario se multiplicaba y eso incrementa la probabilidad de que se produzcan más incidentes de seguridad”.

Esta circunstancia se une a que “no había tanta concienciación y sensibilización como empieza a haber ahora en ciudadanos y profesionales”. Además, en el ámbito empresarial, muchas organizaciones implementaban tecnología sin verificar su nivel de seguridad, lo que sumado al desconocimiento de los usuarios generaba luego la tormenta perfecta para que estos ciberincidentes se hayan multiplicado en estos últimos años. Muchos de ellos eran evitables, pero sin una adecuada política de prevención se ha generado un impacto importante en las empresas afectadas y una repercusión mediática notable”.

Cómo frenar la tendencia

De cara a revertir esta situación, Francisco Pérez Bes indica que “la capacidad de detección de incidentes es un elemento positivo porque demuestra las capacidades de nuestros organismos de disponer de un marco de inteligencia cibernética que nos permite conocer y prevenir muchos incidentes, pero sigue siendo fundamental que los ciudadanos afectados denuncien a las fuerzas y cuerpos de seguridad o a los CSIRT cuando se produzca un incidente que pudiera ser constitutivo de delito”.

Al final, para este jurista, “se trata de trabajar alineados con los fabricantes, que deben sacar productos al mercado ciberseguros con los ciudadanos deben estar concienciados desde los poderes públicos y las empresas acerca de la importancia de la ciberseguridad y de cómo evitar determinados riesgos. En este contexto es fundamental la educación de los niños y de los trabajadores. Toda esta estrategia debería permitir reducir el número de incidentes de seguridad”.

El experto constata que las empresas cada vez más invierten en ciberseguridad, “las más grandes, son conscientes del impacto que tiene un ciberataque en la cuenta de resultados y, lógicamente se toman más en serio la ciberseguridad de su organización. Somos testigos de cómo refuerzan sus equipos, contratando más profesionales como es la figura del CISO, clave en estas organizaciones, y fomentando y promoviendo una mejor protección de datos. Sin embargo, muchas de ellas temen notificar incidentes por la amenaza de la sanción y su impacto en la reputación o en la propia continuidad del propio CISO en su trabajo”.

Desde su punto de vista “técnicamente se están gestionando mejor los incidentes, gracias al apoyo externo que tienen las empresas. Al mismo tiempo los CERT estás más capacitados para prestar este tipo de ayuda. En la práctica, quizás sea la parte de cumplimiento legal y de comunicación donde haya más margen de mejora en lo que respecta a la gestión de incidentes de seguridad”.

Mención aparte merecen las empresas públicas u organismos estatales “que han sido blanco de los ciberdelincuentes en estos últimos años. La noticia del posible hackeo a la Agencia Tributaria, luego desmentido, genero mucho estrés e incertidumbres en las empresas. Pero es que antes hubo otros ciberataques al SEPE, o al propio CSIC que sufrió un doble hackeo. Al final lo que nos demuestra esta situación es que nadie está a salvo de nada. Las administraciones públicas, al igual que las empresas privadas, deben actuar con responsabilidad y diligencia porque manejan mucha información de carácter sensible”.

Francisco Pérez Bes en la presentación del Informe sobre el sector legal de Aranzadi, junto a Óscar Cortes, Rosario Baquero y Cristina Retana. (Imagen: La Ley Aranzadi)

Nueva Ley de Ciberseguridad

La llegada del ministro Óscar López a la cartera de Transformación Digital y Función Pública ha reabierto el debate sobre si es necesario aprobar una nueva Ley de Ciberseguridad: “Hay que estudiar el tema con calma porque aún tenemos que trasponer varias directivas, como es el caso de NIS2 o de infraestructuras críticas. Lo lógico sería hacerlo de forma armonizada y coordinada”.

“No sabemos el contenido de esa nueva norma, aunque todo parece indicar que va a estar centrada en reordenar el marco de gobernanza público de la ciberseguridad, probablemente convirtiendo al INCIBE en una entidad pública empresarial o creando una Agencia Nacional de Ciberseguridad. En cualquier caso, lo importante es mejorar la coordinación entre los organismos con competencia en ciberseguridad en nuestro país”, apunta.

En este contexto considera que la trasposición de NIS2 “va a ser un punto de inflexión importante en cuanto a la gestión de los ciberincidentes de seguridad, aunque todavía no se ha traspuesto. El sector se queja de que hay muchas normas y que no son capaces de asimilar tantas obligaciones y normativas que en ocasiones son parecidas. Pero hay que entender que Europa está construyendo una estrategia en materia de ciberseguridad que le dará sentido a todo esto de cara al futuro cercano”.

A su juicio la irrupción de las herramientas de inteligencia artificial (IA) está planteando nuevos riesgos y situaciones: “Habrá que ver desde el punto de vista práctico como lo gestionan las empresas y el propio regulador. No pasa desapercibido el cambio en la dirección de la Agencia Española de Protección de Datos (AEPD), ahora con una bicefalia, presidente y adjunto que habrá que ver cómo van a plantear la protección de los datos personales en este escenario hipertecnológico y con riesgos y desafíos cada vez mayores. Pero, efectivamente, la coordinación con la AESIA va a ser importantísimo”.

Desde su punto de vista “en los próximos cinco años se avecinan muchos retos tecnológicos importantes; confiemos que la nueva dirección de la AEPD, presidida por dos grandes profesionales, dispongan de recursos y herramientas suficientes para poder garantizar la protección de los derechos del ciudadano sin menoscabar la capacidad tecnológica y de innovación que requiere las empresas españolas”.

Declaración fundacional de ENATIC en octubre del 2011, con algunos abogados ilustres como Rodolfo Tesone, Pere Huguet, Francisco Pérez Bes o Rafael García del Poyo. (Imagen: ENATIC)

Gestión de incidentes

En cuanto a la gestión de ciberataques y otros incidentes de seguridad, Francisco Pérez Bes, señala que “lo primero que hay que evitar es la precipitación ante una brecha de seguridad. Y aunque los tiempos son escasos para la notificación de la misma, es recomendable evitar cualquier tipo de mensaje hasta que no sepamos lo que ha sucedido. Por eso es tan importante disponer de protocolos y políticas que, adecuadamente implementados, permitan a las empresas gestionar estas situaciones de una manera adecuada”.

Recuerda además que “es importante la coordinación en la actuación de los departamentos afectados en la empresa, y que se sepa quién va a asumir la gestión del mismo y con qué equipo de trabajo. Se trata de dar una respuesta de forma pautada y pensando en la posible evolución del incidente. En los casos de ransomware, es desaconsejable pagar rescates para recuperar los datos. Esos pagos lo único que hacen es que esas bandas criminales tengan más recursos económicos y sigan extorsionando a otras empresas”.

En esta estrategia de respuesta “las empresas ya cuentan, en muchas ocasiones, con su ciberseguro y disponen de equipos de reacción, aunque la prevención es ahora más importante que nunca. En cualquier caso, la actuación diligente es la garantía de poder gestionar eficazmente una situación de crisis provocada por un incidente de seguridad, sobre todo a la hora de gestionar la responsabilidad que se vaya a derivar de esta situación. Si el plan de inversiones ha sido adecuado, nuestra probabilidad de gestionar bien aumenta considerablemente”.

Para este experto “debe de quedar claro que si la empresa quiere ser digital debe invertir en ciberseguridad; lo contrario sería una contradicción. Es fundamental tener un plan de prevención y respuesta que forme parte del plan de negocio, ya que los riesgos en ciberseguridad son riesgos del propio negocio.  Las empresas deben invertir en tecnologías defensivas, pero también educar a sus profesionales para que conozcan el impacto de un incidente en la empresa, así como sensibilizar a órganos de gobierno y accionistas sobre estas cuestiones”.

Al final, “no es tanto un tema tecnológico como de gestión empresarial. Es una parte del negocio que hay que tener en cuenta porque impacta de forma directa sobre nuestra actividad empresarial. Hablar de ciberseguridad no es solo un tema tecnológico. Antes al contrario debe tratarse como un aspecto transversal que debe incorporar muchos otros aspectos de la empresa y del negocio”, concluye Francisco Pérez Bes.