L‘Agència de Ciberseguretat de Catalunya (ACC) és l’entitat encarregada d’executar les polítiques públiques en ciberseguretat i seguir l’estratègia de la Generalitat de Catalunya en aquest camp. L’any 2024, l’ens púbic va gestionar un total de 3.372 ciberincidents al país, el que suposa un 26% més que un any anterior (2.664), una tendència a l’alça també es deixa veure en un context global. Al davant de l’ACC hi ha, des del mes de gener d’enguany, Laura Caballero, que adverteix de la seriositat del panorama actual i es marca com a un dels reptes de futur “aconseguir engrescar els més joves a triar aquesta especialitat i que tingui molta més incidència entre les noies”.

Quines són les principals amenaces en els temps actuals?

Vivim un moment crític en l’àmbit de la ciberseguretat, amb amenaces cada cop més sofisticades i diverses. Un exemple és l’ús dels hipertrucatges (deepfakes en anglès), que permeten suplantar identitats amb força precisió. L’ús de la intel·ligència artificial (IA) amb males intencions, combinada amb la viralitat de les xarxes socials, representa un risc per a la democràcia i la confiança i pot suposar un augment en la quantitat i eficàcia de determinades estafes. A més, el 2024 ha estat un any rècord en atacs de ransomware especialment contra sectors crítics, amb una clara tendència a la industrialització d’aquest tipus d’atacs. L’increment d’aquest tipus d’atac ens ha de mantenir en alerta també des del proveïdors de components tecnològics i solucions digitals perquè els atacs a la cadena de subministrament són un vector d’entrada d’amenaça important amb fuites que alimenten fraus digitals.

L’àmbit sanitari és un dels principals objectius de les amenaces de tercers, però quins altres camps acostumen a estar sota el focus dels ciberdelinqüents?

Els sectors que encapçalen els llistats en nombre d’atacs rebuts són educació, governs i salut i els segueix les telecomunicacions. Així ho mostren els estudis de checkpoint de l’any passat. Efectivament, el sector sanitari és un dels que rep més atacs perquè dona més benefici als cibercriminals. A l’Agència en el 2024 hem gestionat 676 incidents de seguretat en el sector sanitari del total de 3.372 que engloba la resta d’àmbits. Hem de pensar que els ciberdelinqüents funcionen com empreses i busquen el millor rendiment. En aquesta línia, sabem que una dada sanitària es ven millor i més cara: si la comparem amb les dades de comptes bancaris, s’estima que es poden arribar a pagar 1.000$ per una dada sanitària, mentre que per una bancaria es demanen uns 15$.

“La dada sanitària es ven millor i més cara: si la comparem amb les dades de comptes bancaris, s’estima que es poden arribar a pagar 1.000$ per una dada sanitària, mentre que per una bancaria es demanen uns 15$”

Com pot ajudar la mecànica quàntica a crear infraestructures digitals més segures?

La tecnologia quàntica ofereix noves eines per protegir les dades davant dels riscos emergents. Un exemple clau és la criptografia quàntica, com la distribució de claus quàntiques (QKD), que permet detectar qualsevol intent d’intercepció durant la comunicació. També s’estan desenvolupant algorismes post-quàntics, com la criptografia basada en gelosia, per resistir futurs atacs d’ordinadors quàntics. A Catalunya, el 4,8% de les empreses de ciberseguretat ja integren aquesta tecnologia, un senyal clar que aquesta combinació no és només futurista, sinó una realitat en expansió.

La intel·ligència artificial (IA) per a molts experts en ciberseguretat és una arma de doble tall. Com pot ajudar la IA?

És cert que la intel·ligència artificial (IA) té una doble vessant. Per una banda, pot ser utilitzada per cometre estafes més sofisticades i perfeccionar-les fins al punt de fer-les molt difícils de detectar. Aquesta capacitat per generar continguts realistes i adaptar-se als sistemes de defensa representa un repte important per a la ciberseguretat. D’altra banda, la IA també s’utilitza per identificar, protegir, detectar, respondre i recuperar-se davant de les ciberamenaces. Permet analitzar grans volums de dades en temps real, optimitzar algoritmes de defensa i desenvolupar solucions per fer front a ciberatacs cada cop més precisos. A Catalunya, el 42,7% de les empreses de ciberseguretat ja fan servir IA, fet que mostra una adopció significativa d’aquesta tecnologia per millorar la protecció de dades i reforçar la seguretat digital.

També l’utilitzeu a l’Agència?

El gran volum de dades i la complexitat de l’entorn ens exigeixen aplicar tecnologies d’IA per actuar amb celeritat i eficàcia. Per un cantó, els assistents intel·ligents reforcen la feina diària dels equips i de l’altre, utilitzem eines d’IA avançades i desenvolupem models propis per automatitzar i optimitzar tant l’anàlisi de dades com les operacions. Tenim clar que l’èxit de la ciberseguretat depèn directament de la capacitat d’evolucionar amb tecnologies intel·ligents i escalables.

Com es poden detectar les estafes fetes per IA?

Cada cop és més fàcil generar continguts falsos amb eines d’intel·ligència artificial, i cal que la ciutadania estigui preparada per identificar-los. A l’Agència, oferim diferents consells per a la ciutadania i els riscos de la IA que estan disponibles al nostre web. En el cas de les imatges, recomanem fixar-se especialment en les cares. Molts hipertrucatges són transformacions facials, així que cal observar bé els ulls, la textura de la pell, les galtes i el front. També hi ha detalls subtils que poden trair la manipulació, com els reflexos estranys a les ulleres o una barba que no sembla natural. Pel que fa als vídeos, hi ha alguns indicadors clau: El parpelleig dels ulls, que sovint és poc natural o inexistent, i el moviment dels llavis, que pot no estar ben sincronitzat amb l’àudio. També és útil analitzar si hi ha zones pixelades o deformades, tant a les cares com al fons. I un altre detall important: Molts vídeos amb hipertrucatge solen ser molt curts, perquè és més fàcil generar-los així. En l’àudio, els hipertrucatges es poden detectar si hi ha una pronunciació estranya, sons metàl·lics o una entonació monòtona i poc natural. Quan l’àudio va acompanyat d’efectes sonors o és una cançó, pot ser més difícil de detectar, però encara així cal estar alerta.

“Cada cop és més fàcil generar continguts falsos amb eines d’intel·ligència artificial, i cal que la ciutadania estigui preparada per identificar-lo”

I els missatges?

És important parlar dels missatges que rebem al mòbil o al correu electrònic. Siguin generats amb IA o no, hi ha bones pràctiques que hauríem d’adoptar sempre. Per exemple, comprovar que el remitent sigui conegut i que no hi hagi cap lletra o símbol sospitós en el seu nom. Si el missatge està ben escrit, ens hem de preguntar què ens demana ja que sovint els estafadors intenten crear una sensació d’urgència perquè actuem sense pensar. En aquests casos, el millor és contactar amb la persona o entitat per un altre canal i confirmar si realment ens han enviat aquell missatge. Si no estem segurs que una informació sigui real, sobretot no la difonguem amb els nostres familiars i amics i si creiem que es tracta d’una estafa, al web de l’Agencia hem posat a disposició de la ciutadania una bústia per avisar-nos i que nosaltres puguem alertar a la resta de persones perquè no hi piquin:

Considera que les administracions públiques catalanes estan preparades per afrontar els reptes de ciberseguretat propis de 2025?

Les administracions són moltes i heterogènies. El nostre objectiu és que Catalunya compti amb un model de ciberseguretat estratègic i de país, que garanteixi la integritat democràtica així com el futur del teixit socioeconòmic.  L’Agencia de Ciberseguretat de Catalunya vetlla directament per protegir els sistemes de la informació i comunicació del govern de Catalunya i els àmbits essencials del seu sector públic. En aquest sentit, la nostra entitat va gestionar, com comentava, 3.372 ciberincidents (+26% respecte al 2023), la majoria relacionats amb fuites de credencials i accessos il·legítims. Aquest any hem pogut constatar que millorem en la detecció primerenca d’amenaces, concretament, el 2024 hem detectat 6.900 milions d’atacs, un 38% més que l’exercici anterior. I treballem constantment en la prevenció, des de la formació i les campanyes de comunicació específiques per públics identificats com a vulnerables fins a la realització de simulacres. S’han realitzat 60 simulacres en hospitals i 5 campanyes de conscienciació ciutadana per reforçar la protecció contra ciberatacs. Jo diria que el nostre model es basa en estar preparats i paral·lelament col·laborem amb altres actors per fer extensiu aquest model de país perquè també comptin amb el coneixement i eines necessàries per fer front a aquests riscos. 

Al lloc web de l’Agència de Ciberseguretat de Catalunya, s’explica que enguany serà un any clau per adaptar-se a la Directiva NIS 2. Com afecta en el món de l’empresa?

El govern espanyol està tramitant la nova Llei de Coordinació i Governança de la Ciberseguretat, que transposa la normativa europea NIS2. Aquesta norma amplia molt l’abast: segons la memòria d'impacte de l'avant projecte, s'estima que passarem de 300 entitats essencials a gairebé 1.800, i s’hi afegeixen unes 4.000 entitats importants. Això suposa un repte important per a les empreses, tant pel que fa a l’adaptació com al cost: així, segons la memòria, s'estima que per a una entitat essencial pot arribar als 2 milions d’euros l'adequació a la llei, i per a una d’important, uns 180.000 euros. S'espera que a partir del 2025, aquestes entitats hauran d’implementar mesures de ciberseguretat com la gestió d’incidents, la protecció de la cadena de subministrament, l’ús de xifratge, la formació del personal i l’autenticació multifactor. A més, totes hauran de designar un responsable de seguretat de la informació, i en el cas de les essencials, aquest haurà de passar per un procés d’acreditació. L’Esquema Nacional de Seguretat es podrà utilitzar com a marc de referència per demostrar el compliment. És molt important que entenguem aquestes normatives no com una càrrega, sinó com una eina de protecció essencial. La revolució digital i la innovació han d’anar acompanyades de mesures que garanteixin el funcionament segur dels serveis essencials, importants i crítics, així com la protecció de dades personals i informació sensible.

“La revolució digital i la innovació han d’anar acompanyades de mesures que garanteixin el funcionament segur dels serveis essencials, importants i crítics, així com la protecció de dades personals i informació sensible”

Pel que fa a l’àmbit formatiu, creu que a Catalunya s’ofereixen prou estudis per cobrir les necessitats del futur?

El problema no és tant la falta d’oferta formativa, actualment. Comptem amb centres d’estudi que ofereixen 62 cursos de formació professional en ciberseguretat i 14 graus, màsters i postgraus de ciberseguretat. El repte és aconseguir engrescar els més joves a triar aquesta especialitat i que tingui molta més incidència entre les noies. Les dones que estudien ciberseguretat són el 10%. Si anem a les xifres del total de professionals de la ciberseguretat que calen, s’estima que la bretxa ha augmentat al llarg del 2024 en un 12,8 %, de manera que la necessitat de professionals no coberta se situa en unes 13.500 persones. La ciberseguretat és una de les tecnologies més tensionades al mercat laboral ja que només es presenten, de mitjana, 3,3 professionals per oferta.En aquest punt, L’Agència està treballant amb la ciberacadèmia, un projecte de formació en ciberseguretat orientat als 12 perfils de ciberseguretat més demandats alineats amb l’Agència Europea de Ciberseguretat, per tal d’accelerar el nivell de professionals disponibles.

Com es pot revertir la situació per fomentar la presència del talent femení?

Crec que no és fàcil, hem d’assumir un compromís per part de tothom en què la igualtat estigui a la capçalera en la llista de prioritats. Aquest compromís l’hem de fer nostre com a societat, des del sector i les institucions. Des de fa anys, l’Agència de Ciberseguretat treballa diferents accions a través del Pla Estratègic de Dones en ciberseguretat: promovem el talent de les dones amb la menció especial en ciberseguretat dels Premis DonaTIC, incentivem la participació de dones en fires i congressos de ciberseguretat, així com en les visites que organitzem a l’Agència i també fem campanyes de divulgació específiques i recurrents com la de “les nenes i les TIC”. Tenim molts deures i no n’hi prou en fer accions puntuals. La presència de la dona continua sent clarament minoritària (el 22%), els sous són més baixos perquè les dones ocupen posicions pitjor retribuïdes i els plans d’igualtat tenen menys implementació en les empreses mitjanes o petites. Per tant, ens cal situar la igualtat com a prioritat de manera transversal.

“La presència de la dona continua sent clarament minoritària, els sous són més baixos perquè les dones ocupen posicions pitjor retribuïdes i els plans d’igualtat tenen menys implementació en les empreses mitjanes o petites”

Quins referents femenins destacaria avui en el sector de la ciberseguretat a Catalunya?

En el moment en què jo havia de triar estudis, hi havia molt pocs referents, però qui em va inspirar a estudiar telecomunicacions va ser Maria Jesús Almazor, actual CEO de Ciberseguretat i Cloud a Telefónica Tech 1. Actualment, tenim dones que poden ser referents per a moltes joves. Rosa Ortuño, per exemple, fundadora i CEO d’OPTIMUM TIC, lidera una empresa de ciberseguretat amb una plantilla paritària i una trajectòria molt sòlida.També destaca Jen Easterly, exdirectora de l’Agència de Ciberseguretat i Infraestructura dels Estats Units (CISA), una figura clau en la seguretat nacional digital. Penso que és molt important que cada cop en siguem més a primera línia i que siguem visibles. Voldria pensar que amb això ajudem a fer que les nenes d’avui siguin els referents tecnològics i de ciberseguretat del demà i a que veiem un món on la seguretat vagi de la ma de la igualtat.