Así funcionará el nuevo escudo 'anti-hackers' que protegerá a Europa de los ciberataques del Kremlin

El mecanismo, cerrado en una reunión que concluyó de madrugada, incluye una red de intercambio de información entre los Estados y un fondo para ayudar a los países atacados
El principal escollo ha estado en las reticencias de los gobiernos a compartir información que atañe a un tema tan sensible como la seguridad
Exclusivo para socias y socios

Concentración por la muerte de Alexéi Navalni en febrero en Barcelona. Lorena Sopêna // Europa Press

Tenía que acordarse sobre la bocina y se ha conseguido. El escudo de la Unión Europea contra los ciberataques está más cerca que nunca de hacerse realidad tras el pacto al que llegaron la Comisión, el Parlamento y el Consejo el miércoles de la semana pasada bien entrada la madrugada. El trílogo (la reunión entre las tres instituciones de la UE destinada a acordar legislación) se demoró hasta la 1 de la mañana, pero la ocasión lo requería. Era la última oportunidad de sacar adelante una legislación fundamental para que la Unión Europea y sus socios estratégicos puedan protegerse de los ataques de, entre otros, los hackers rusos, cuya actividad ha llegado a cotas máximas tras la invasión de Ucrania. Ahora, con el acuerdo ya sobre la mesa, el Parlamento podrá aprobar la llamada directiva de cibersolidaridad justo en el último pleno de esta legislatura.

La urgencia era justificada. Las guerras convencionales, aquellas que se luchan en el campo de batalla con soldados y tanques, parecen más propias del siglo pasado que del mundo de 2024. Ahora, la confrontación bélica ha dado paso a un nuevo modelo, las guerras híbridas, en las que cobran una importancia fundamental los ciberataques y la capacidad de los hackers. Todo ello hace que la UE tenga que reforzar su defensa ante esta nueva amenaza que puede inutilizar infraestructuras críticas como hospitales, instituciones o parlamentos. “En este caso creo que había una coincidencia muy grande entre las tres instituciones en la importancia y la urgencia de que esto saliera porque los ciberataques están aumentando cada vez más y más”, describe en conversación con infoLibre Lina Gálvez, eurodiputada de la Alianza Progresista de Socialistas y Demócratas (S&D) y ponente de la directiva.

Un acuerdo necesario

Con el pacto llevado a cabo en el trílogo de la semana pasada, la UE consigue una estructura de defensa preparada para enfrentarse a la amenaza de los ciberataques. Con la entrada en vigor de esta directiva de cibersolidaridad, el club comunitario dispondrá de un escudo contra los ataques, que se construirá por la unión de los diferentes hubs (o centros de ciberseguridad) de cada uno de los países miembros.

Su asociación será completamente voluntaria y gracias a ella se irá construyendo, poco a poco, una red de intercambio de información entre los diferentes Estados miembros en materia de ciberseguridad que irá haciendo al escudo cada vez más potente. Además, está prevista la creación de un fondo europeo que sirva para ayudar a los países cuyas infraestructuras críticas hayan sido dañadas por ataques informáticos.

Precisamente, en el mecanismo de intercambio de información entre países ha estado uno de los principales escollos para sacar la directiva. Hay que recordar que la ciberseguridad es competencia única de los Estados, por lo que todo cambio o integración a nivel europeo en esta materia tiene que contar con el visto bueno de cada uno de los países. Por ello, los Estados, muy celosos de su información propia, tenían ciertas reticencias sobre la forma en la que los datos se iban a compartir con el resto de los miembros y con la Comisión y el rol que iba a jugar con la Agencia. “Los Estados eran muy sensibles a que, en un momento de ataque, no pudieran tener controlado el perímetro de difusión de esa información y por eso eran reticentes a compartirlo con la Comisión. Para solucionar este punto, se llegó a un equilibrio en el que se compartiría la información con la Comisión, pero no necesariamente en el momento crítico en el que se está desarrollando el ataque, sino que podría hacerse después”, explica Gálvez.

Otro de los grandes conflictos en la negociación tuvo que ver con el dinero destinado a la directiva, que provocó desavenencias entre el Parlamento y el resto de instituciones. El presupuesto de la UE se proyecta para siete años, algo que supone un riesgo ya que puede haber imprevistos durante esa fase de tiempo que complican ajustarse a los límites. Es el caso de lo que ha sucedido con las partidas destinadas al ámbito digita: ante la gran cantidad de leyes aprobadas por los 27 durante esta legislatura, esa parte del presupuesto ha sufrido una presión mayor de la previsto. “Esto fue un problema desde el primer momento porque para el parlamento era muy importante que no se extrajeran fondos de la partida que estaba prevista originalmente para la formación de la ciudadanía en digitalización”, describe Gálvez. En este contexto cabían dos opciones: o buscar otra partida de la que obtener el dinero o reducir el presupuesto para la directiva. Finalmente, se llegó al acuerdo de que habría una pequeña reducción pero también una movilización de partidas para que el dinero no salga de ese presupuesto previsto para la formación de la ciudadanía.

Construir la confianza

Con todo, la eurodiputada se muestra muy satisfecha con la forma final de la directiva, que tan solo falta por ser aprobada por el Parlamento en la última sesión plenaria prevista para la semana del 22 de abril y por los países miembros. En ambos casos, Gálvez se muestra convencida de que no habrá mayores dificultades y todo será ratificado en tiempo y forma para que el mecanismo comience a ponerse en marcha lo antes posible y no salte a la siguiente legislatura.

Una vez todo sea aprobado, toca comenzar a hacer el trabajo para que el escudo europeo contra los ciberataques pueda funcionar a su máxima potencia. Y esto no solo se consigue mediante la inversión en infraestructuras o en innovación tecnológica, sino también construyendo confianza entre los países para que intercambien información entre ellos y favorezcan la integración de todos en la red de ciberseguridad. “La competencia de los Estados miembros era la dificultad de base, ya que intentábamos construir instituciones transfronterizas en un ámbito de competencias nacionales. Todo ha quedado muy medido para que se vaya construyendo una confianza mutua y así que, en el futuro, el sistema vaya funcionando cada vez mejor”, señala Gálvez.

La UE intenta crear en tiempo récord un escudo contra ciberataques para protegerse de Putin

Así, la construcción de esa confianza mutua irá atrayendo a cada vez más países que, con su incorporación, aportarán más datos y harán aún más potente la red. “Existe el riesgo de que haya países que no participen de entrada, pero lo veo de manera muy aislada. Creo que el sistema es lo suficientemente flexible y da los suficientes incentivos para que poco a poco participen, porque la cooperación es la única forma de protegerse de un problema grave y global”, señala la eurodiputada.

Seguridad y crecimiento económico

Cuando el escudo funcione a pleno rendimiento, será una de las patas claves para la autonomía estratégica de la UE. La posible vuelta de Donald Trump a la Casa Blanca parece haber sido el aldabonazo definitivo para que los 27 pongan la defensa en el centro de sus prioridades. Sin embargo, y pese a su importancia en el ámbito de la seguridad, la directiva de cibersolidaridad también será beneficiosa a nivel económico.

La intención de la directiva es, además de proteger, favorecer la digitalización de la industria europea, su crecimiento y su autonomía. La ley pretende ir generando un tejido de empresas especializadas en ciberseguridad de alto valor añadido, dando preferencia a corporaciones de dentro de la UE a la hora de participar en la reserva prevista por la directiva para ayudar a los países atacados. Así, solo en el caso de que dentro de la UE no haya capacidades se recurriría a empresas no comunitarias.

Más sobre este tema