“La ciberseguridad hoy en día no es un aspecto tecnológico, sino estratégico”

Ingeniero y responsable de ciberseguridad del Gobierno de Navarra desde 2014, Roumen Boyanov defiende que la ciberseguridad es hoy una cuestión estratégica y de confianza. Advierte: “Ignorar las ciberamenazas puede hacer desaparecer una organización”.

¿Cuál es su visión general y estrategia en materia de ciberseguridad? 

La ciberseguridad hoy en día no es un aspecto tecnológico, sino estratégico. No protegemos redes de comunicaciones ni ordenadores sino las actividades que motivan la existencia de una organización, es decir, aseguramos el funcionamiento sin interrupciones y el crecimiento empresarial. Ignorar las ciberamenazas implica que la organización pueda desaparecer tras un ciberataque que ha paralizado su actividad durante semanas impactando gravemente en su facturación y reputación. No lo digo yo, lo dice el World Economic Forum que situó a las ciberamenazas entre los 10 factores de mayor riesgo para la sociedad.

Por ello, hoy en día preferimos hablar de ciberresiliencia frente a ciberseguridad. En el caso de Gobierno de Navarra esto significa gestionar el riesgo digital para garantizar la continuidad de los servicios públicos y seguir contando con la confianza de la ciudadanía y la empresa navarra.

Los cibercriminales también forman parte de esta realidad. Para cometer un ciberdelito no hace falta contacto físico, la distancia no importa y no se requiere una gran inversión inicial (basta con un ordenador). Al estar conectados a Internet las 24h del día las posibilidades de lucro son enormes. Unamos a esto que la atribución es compleja y por tanto, también lo es la aplicación de un castigo. Esto se debe a que para los ciberdelitos no existen las fronteras, en cambio para la investigación policial y la aplicación de la justicia sí, incluso hoy en día.

¿Cómo ha evolucionado la estrategia de ciberseguridad del Gobierno de Navarra en los últimos años?

En el ámbito interno de Gobierno de Navarra, en 2025 se ha intensificado el trabajo para hacer realidad el objetivo de la ciber-resiliencia. Esto ha exigido doblar la inversión en ciberseguridad por parte del Departamento de Universidad, Innovación y Transformación digital y que necesariamente tendrá que seguir creciendo en los próximos años. El esfuerzo actual consiste en pasar de un enfoque fundamentalmente basado en la prevención a desarrollar capacidades de respuesta ante crisis graves y tratar de detectar los ciberataques de forma temprana. Nuestra estrategia de ciberseguridad está alineada con estándares internacionales como la ISO27001, ISO22301 y nacionales como el Esquema Nacional de Seguridad. Actualmente estamos trabajando en la NIS2. La legislación es una palanca para mejorar.

Concretando, esta estrategia se basa en cuatro pilares: El equipo humano es la pieza más importante: los profesionales de ciberseguridad son el talento tecnológico más especializado, más codiciado y que mejor se paga. Tecnología de primera línea, fundamentalmente americana. Procesos definidos y repetibles: sin ellos nada es posible. La analogía es clara: ¿Recuerdas el anuncio de Pirelli en el que salía un jugador brasileño de futbol llamado Ronaldo que decía que la potencia sin control no sirve de nada? Partners: trabajar en equipo con empresas especializadas del sector para contar con servicios de vanguardia. Hablamos de operaciones de cibeseguridad en modalidad “co-gestionada” como se conocen en la industria. 

¿Qué papel están teniendo tecnologías como la inteligencia artificial o la computación cuántica en la ciberseguridad gubernamental?

Lo primero es saber que cualquier tecnología emergente representa tanto un riesgo como una oportunidad. En este caso, ambas están al alcance tanto de los buenos como de los malos. Empoderan a ambos.

La IA lleva años como parte esencial de la defensa: sobre todo como Machine Learning que nos ayuda a detectar patrones y a clasificarlos como buenos o malos, la interacción con las máquinas en lenguaje natural, en lugar de complejos interfaces y sin necesidad de conocer como están estructurados los datos, empodera a técnicos menos cualificados a realizar tareas en un tiempo récord.

En cuanto a la computación cuántica, hoy es un reto a medio plazo, diez o quince años, pero en el que hay que entrar ya. Estamos siguiendo de cerca el avance del cifrado poscuántico para garantizar tanto que nuestras comunicaciones como la información que almacenamos de forma cifrada actualmente sigan siendo seguras cuando esa tecnología se generalice. Esto implica una labor de años que está comenzando con identificar los activos susceptibles de riesgo. 

¿Cuáles considera que serán los mayores riesgos emergentes en el futuro cercano?

Los riesgos emergentes estarán muy vinculados al avance de la IA generativa, la conexión a la red del equipamiento industrial (IoT), por ejemplo, de electromedicina en el ámbito sanitario, la alta dependencia de proveedores globales y el impacto de los ataques cuánticos.

Dentro de la IA, está llegando la nueva disrupción: “los agentes IA” que son robots autónomos y con los que entramos en un terreno donde no sabremos si tenemos una persona o una máquina al otro lado de la pantalla, que intensificarán la manipulación de las redes sociales (desinformación y creación de opinión). 

Con respecto de los ataques cuánticos lo que creemos hoy confidencial por estar cifrado de forma robusta, dejará de serlo si no empezamos a actuar para conseguir resultados a largo plazo.

También creo que veremos un crecimiento de las amenazas híbridas como estrategia geopolítica, la combinación de acciones militares y ciberataques por actores-estado para magnificar el impacto. En la guerra de Ucrania y en el reciente conflicto entre Israel y Palestina estamos viendo que los ciberataques ya son parte del arsenal militar. 

Por otra parte, las amenazas tradicionales no sólo permanecerán sino que no dejarán de crecer, me refiero al secuestro de información paralizando la actividad de las organizaciones (ransomware), la exfiltración de datos, uso fraudulento de información y la ingeniería social (engañar a las personas).

Nuestro reto será anticiparnos, construir la ciber-resiliencia y mantener una confianza digital sólida en los servicios públicos.