Panorama institucional de la gobernanza de la ciberseguridad en España
| Autor | Cristina Del-Real |
| Cargo | Assistant Professor Universidad de Leiden (Paises Bajos) |
| Páginas | 15-51 |
Revista de Estudios Jurídicos y Criminológicos
ISSN-e: 2345-3456
N.º 6, julio-diciembre, 2022, pp. 15-51
Panorama institucional de la gobernanza de la ciberseguridad en
España
The institutional landscape of cybersecurity governance in Spain
CRISTINA DEL-REAL
Assistant Professor
Universidad de Leiden (Paises Bajos)
c.del.real@fgga.leidenuniv.nl
https://orcid.org/0000-0003-3069-4974
Resumen: Mantener seguro el ciberespacio es una tarea compleja que supone un reto constante
para las instituciones públicas. A la primera oleada de desinterés político por la ciberseguridad le
ha seguido una renovada preocupación por la soberanía digital, la defensa de la ciberseguridad
nacional y, más recientemente, la protección de la ciudadanía en el ciberespacio. Para cumplir
estos objetivos, los Estados han desarrollado normativas, instituciones y prácticas basadas en
diferentes narrativas. Este estudio analiza las instituciones involucradas en la gobernanza de la
ciberseguridad en España a través de cuatro prácticas: cultura de ciberseguridad, respuesta a ciber
incidentes y ciber crisis, protección de infrastructuras críticas e investigación criminal. El artículo
aporta evidencias coincidentes con la conclusión de que España ha adoptado la narrativa de la
gobernanza multi-stakeholder a través de competencias distribuidas entre diferentes actores. Este
enfoque se ha materializado en fragmentación institucional y a la falta de claridad sobre el sistema
de ciberseguridad en España. El artículo finaliza con propuestas de políticas públicas que podrían
contribuir a una mayor unidad, coordinación y claridad del sistema de gobernanza de la
ciberseguridad.
Abstract: Securing cyberspace is a complex task and an ongoing challenge for public institutions.
The first wave of political disinterest in cybersecurity has been followed by a renewed concern
for digital sovereignty, the defence of national cybersecurity and, more recently, the protection
of citizens in cyberspace. States have developed regulations, institutions and practices based on
Recepción: 13/04/2022
Aceptación: 12/12/2022
Cómo citar este trabajo: DEL-REAL, Cristina. “Panorama institucional de la gobernanza de la seguridad
en España”, Revista de Estudios Jurídicos y Crimin ológicos, n.º 6, Universidad de Cádiz, 2022, pp. 15-
51, DOI: https://doi.org/10.25267/REJUCRIM.2022.i6.03
Panorama institucional de la gobernanza de la ciberseguridad en España
16
different narratives to meet these objectives. This study analyses the institutions involved in the
governance of cybersecurity in Spain through four practices: cybersecurity culture, cyber
incident and cyber crisis response, critical infrastructure protection and criminal investigation.
The article provides evidence that coincides with the conclusion that Spain has adopted the
narrative of multi-stakeholder governance through distributed competences among different
actors. This approach contributes to institutional fragmentation and a lack of clarity about the
cybersecurity system in Spain. The article ends with proposals for public policies that could
contribute to greater unity, coordination and clarity in the cybersecurity governance system.
Palabras claves: actores, gobernanza en red, cultura de ciberseguridad, respuesta a incidentes,
protección de infraestructuras críticas.
Keywords: actors, networked governance, cybersecurity culture, cyber incidents response,
critical infrastructure protection.
Sumario: 1. INTRODUCCIÓN. 2. GOBERNANZA DE LA CIBERSEGURIDAD. 2.1.
Antecedentes históricos. 2.2. Marcos conceptuales. 3. RIESGOS VS AMENAZAS. 4.
ANTECEDENTES EUROPEOS. 5. ESTRUCTURA DE LA GOBERNANZA DE LA
CIBERSEGURIDAD EN ESPAÑA. 6. PRÁCTICAS DE CIBERSEGURIDAD. 6.1. Promoción
de la sociedad digital y cultura de ciberseguridad. 6.2. Respuesta a incidentes de ciberseguridad
y gestión de ciber crisis. 6.3. Protección de infrastructuras críticas. 6.4. Investigación criminal. 7.
CONCLUSIONES. 8. REFERENCIAS.
1. INTRODUCCIÓN
En los últimos años, el ciberespacio se ha convertido en uno de los lugares preferidos por
los criminales para llevar a cabo sus acciones ilícitas. Las investigaciones criminológicas
realizadas hasta la fecha evidencian que, mientras el crimen tradicional está
disminuyendo, el cibercrimen
1
aumenta
2
. Las oportunidades que ofrecen el anonimato, la
inmediatez o la ausencia de fronteras que caracterizan al ciberespacio son a la vez una
ventaja para los cibercriminales y organizaciones cibercriminales y un reto para la
ciberseguridad. Entre otras cuestiones, la aparición de las ciberamenazas ha desafiado los
tradicionales instrumentos del Estado para controlar la delincuencia y garantizar la
seguridad nacional, al no encontrarse estos alineados con las necesidades del
ciberespacio.
1
Para consultar definiciones sobre “cibercrimen”, ver por ejemplo MAIMON, D.; LOUDERBACK, E. R.,
“Cyber-Dependent Crimes: An Interdisciplinary Review”, Annual Review of Criminology, vol. 2, 1, 2019;
MCGUIRE, M.; DOWLING, S., Chapter 2: Cyber-enabled crimes -fraud and theft, Home Office, 2013,
fecha de consulta 7 abril 2020; PAYNE, B. K. “Defining Cybercrime”, en The Palgrave Handbook of
International Cybercrime and Cyberdeviance, Springer International Publishing, Cham, 2019.
2
Ver, p. ej., BUIL-GIL, D.; MIRÓ-LLINARES, F.; MONEVA, A.; KEMP, S.; DÍAZ-CASTAÑO, N.,
“Cybercrime and shifts in opportunities during COVID-19: a preliminary analysis in the UK”, European
Societies, 2020; MIRÓ-LLINARES, F.; MONEVA, A., “What about cyberspace (and cybercrime alongside
it)? A reply to Farrell and Birks ‘Did cybercrime cause the crime drop?’”, Crime Science, vol. 8, 1, 2019.
Cristina Del-Real
17
La literatura ha señalado algunas de las razones por las cuales las acciones maliciosas en
el ciberespacio
3
han supuesto un reto para los instrumentos del Estado. En primer lugar,
porque su lucha requiere de herramientas y técnicas diferentes a las tradicionales
4
. Como
veremos más adelante en el artículo, esta necesidad de adaptación a las herramientas y
técnicas utilizadas por las ciberamenazas ha producido que España desarrolle nuevos
organismos –o secciones dentro de organismos tradicionales– con el objetivo de adaptar
las capacidades del Estado a las amenazas a la ciberseguridad. En segundo lugar, existe
una confusión terminológica sobre los problemas de ciberseguridad, que se traslada en
confusiones en la regulación. Conceptos como ciberamenazas, ciber-riesgos, cibercrimen,
ciber crisis o el propio concepto de ciberseguridad son utilizados desde distintas
definiciones. Por ejemplo, el propio concepto de “ciberamenaza” no se utiliza de forma
consistente ni por la literatura académica ni por la industria. Atendiendo a la RAE, la
(ciber)amenaza sería la “acción de (ciber) amenazar”; es decir, supone la existencia de
indicios de una voluntad de producir un mal o de la inminencia de este. Se pueden
encontrar ejemplos en los que la “ciberamenaza” se utiliza como sinónimo de actores
maliciosos en el ciberespacio (e.g., cibercriminales, grupos de hackers patrocinado por
un Estado)
5
. Sin embargo, también existen autores que utilizan “ciberamenaza” como
sinónimo de vulnerabilidad en un sistema informático
6
, o incluso como sinónimo de
“acción maliciosa en el ciberespacio”, como se puede observar en el último Informe sobre
la Cibercriminalidad en España del Ministerio del Interior
7
.
En tercer lugar, si bien estas imprecisiones terminológicas son comprensibles en un
contexto en constante evolución, pueden producir confusiones jurídicas y jurisdiccionales
que hacen difícil su abordaje desde las políticas públicas. Así, las acciones maliciosas en
el ciberespacio no respetan las tradicionales delimitaciones jurídicas, lo que puede
3
Como se argumenta en este párrafo, los conceptos relacionados con la ciberseguridad son objeto de amplio
debate. Por ello, en este artículo se ha optado por utilizar el génerico “acciones maliciosas en el
ciberespacio”, utilizado en la Estrategia Nacional de Ciberseguridad 2019, para incluir así tanto el
cibercrimen tipificado en los instrumentos penales, el hacktivismo, así como actuaciones localizadas en la
zona gris, como las ciber-operaciones relacionadas con el comportamiento de los Estados en un contexto
geo-político.
4
Al res pecto BURNS, R. G.; WHITWORTH, K. H.; THOMPSON, C. Y., “Assessing law enforcement
preparedness to address Internet fraud”, Journal of Criminal Justice, vol. 32, 5, 2004; HINDUJA, S.,
“Perceptions of local and state law enforcement concerning the role of computer crime investigative teams”,
Policing: An International Journal of Police Strategies & Management, vol. 27, 3, 2004.
5
MAVROEIDIS, V.; HOHIMER, R.; CASEY, T.; JESANG, T., “Threat Actor Type Inference and
Characterization within Cyber Threat Intelligence”, en 2021 13th International Conference on Cyber
Conflict (CyCon), IEEE, Tallinn, Estonia, 2021, fecha de consulta 2 noviembre 2022, en
https://ieeexplore.ieee.org/document/9468305/.
6
MALINA, L.; SRIVASTAVA, G.; DZURENDA, P.; HAJNY, J.; RICCI, S., “A Privacy-Enhancing
Framework for Internet of Things Services”, en Network and System Security. 13th International
Conference, NSS 2019, Sapporo, Japan, December 15–18, 2019, Proceedings, vol. 11928, Springer Cham,
2019 (Lecture Notes in Computer Science).
7
LÓPEZ GUTIÉRREZ, J.; SÁNCHEZ JIMÉNEZ, F.; HERRERA SÁNCHEZ, D.; MARTÍNEZ MORENO,
F.; RUBIO GARCÍA, M.; GIL PÉREZ, V.; SANTIAGO OROZCO, A. M.; y GÓMEZ MARTÍN, M. A.;
Informe sobre la Cibercriminalidad en España, Dirección General de Coordinación y Estudios y Secretaría
de Estado de Seguridad. Ministerio del Interior. Gobierno de España, Madrid, España, 2022, fecha de
consulta 11 enero 2022.
Para continuar leyendo
Solicita tu prueba