Actualmente, debido al desarrollo tecnológico que el mundo ha experimentado, las ciberamenazas suponen uno de los mayores riesgos a enfrentar por empresas privadas, ciudadanos y Estados –en este último caso, sin distinción de su importancia económica, internacional o política. Por ello, estudiar el papel de Marruecos en el ciberespacio y la forma en que nuestro vecino concibe este dominio es de vital importancia para España. En el presente focus trataremos de observar la incidencia que las ciberamenazas pueden tener sobre Marruecos, la visión del régimen alauita sobre la ciberseguridad y la ciberdefensa, y en base a ello analizar si nuestro vecino dispone de la capacidad necesaria en el ciberespacio para suponer una amenaza relevante para nuestro país.
La importancia del sector ciber en Marruecos
Al igual que para el resto de estados, las ciberamenazas suponen para Marruecos, sus empresas y ciudadanos, un importante reto a abordar, especialmente teniendo en cuenta que, según datos de la empresa Kaspersky, Marruecos no solamente está entre los diez países con mayor volumen de ciberataques recibidos, sino que, además, se encuentra actualmente en pleno incremento de su volumen de transacciones de comercio electrónico y en general de digitalización de sus infraestructuras (Dumpis, 2021).
La Confederación General Marroquí de empresas (CGEM) estima que las empresas marroquíes son 3,5 veces más vulnerables a la cibercriminalidad que la media mundial, siendo especialmente vulnerables las pequeñas y medianas empresas –dato que ha experimentado recientemente la propia entidad, pues en el pasado mes de noviembre, su propia web fue hackeada por un ciberataque proveniente de Argelia (Challenge, 2021).
Sin embargo, estos datos no son sorpresivos en demasía teniendo en cuenta que, según los informes de Kaspersky, la mayoría de los marroquíes son indiferentes a la ciberseguridad y se encuentran completamente desinformados sobre los riesgos que ello supone.
Igualmente, el desconocimiento de la población marroquí del ciberespacio tampoco ha de sorprendernos si observamos que, según datos del Banco Mundial, hace solamente una década, apenas el 50% de la población marroquí tenía acceso a Internet, frente al 84% actual. O, dicho de otra forma, existe un volumen importante de ciudadanos marroquíes que han desembarcado recientemente en la red con unas capacidades prácticamente nulas a la hora de implementar medidas de autoprotección en Internet.
Marruecos en el ciberespacio
Con objeto de superar las carencias de ciudadanos y empresas respecto a la ciberseguridad y el ciberespacio, el Gobierno marroquí implementó en el año 2011 un programa de actualización de las normas legales y los protocolos técnicos de sus principales entidades públicas –proceso que culminó en el año 2014 con la entrada en vigor de la primera Estrategia Nacional de Ciberseguridad marroquí y la Directiva Nacional de Seguridad de los Sistemas de Información (DGSSI, 2014).
Además, como parte de este planteamiento de fortalecimiento de las competencias de Marruecos en el ciberespacio, el Gobierno marroquí decidió en el año 2014, por un lado, la vinculación, a través del Decreto Nº2-13-881, de todas aquellas actividades que directa o indirectamente estuvieran relacionadas con la criptografía con el Departamento de Defensa Nacional (Administration de la Défense Nationale (ADN)) –más concretamente, el decreto establecía que esta competencia debía ser adjudicada a la Dirección General de Seguridad de los Sistemas de Información (MA-CERT)–; y, por otro, creó un centro de alerta y gestión de incidentes informáticos cuya dependencia recaería también en la ADN.
En el año 2016, la ADN elaboró un decreto que establecía las medidas de protección que aquellos sistemas de información considerados como “sensibles” por las autoridades marroquíes debían contemplar –decreto que se completó en el año 2018, con el establecimiento mediante un decreto del Gobierno de los criterios mínimos exigibles a los proveedores de este tipo de servicios, contemplando entre otras medidas la realización de auditorías de seguridad.
No obstante, pese a la implementación de estas medidas, podríamos afirmar que, no fue hasta el año 2020 cuando el Gobierno marroquí comenzó a considerar el ciberespacio como un entorno estratégico, ya que, hasta la Ley Nº 5-20 de julio de 2020 y el Decreto Nº 2-21-406 Marruecos obviaba la “ciberseguridad” y las “ciberamenazas” de su sistema legislativo y judicial.
La Ley Nº 5-20 de julio de 2020 no solamente establece las normas y disposiciones de seguridad aplicables a los sistemas de información de las administraciones públicas (específicamente de las infraestructuras críticas), y de empresas privadas (operadores de red y telecomunicaciones, proveedores de servicios de internet y de ciberseguridad), sino que, además, diseña el marco de colaboración e intercambio de información entre los principales órganos y servicios estatales competentes en el campo de la ciberseguridad.
Concretamente, la ley crea dos figuras jurídicas relevantes, por un lado, la «Autoridad Nacional de Ciberseguridad» (Autorité nationale de la cybersécurité), a la que encomienda la implementación de la estrategia estatal en la materia, y que se correspondería con la Administración de Defensa Nacional (Dirección General de Seguridad de los Sistemas de Información – DGSSI); por otro, el «Comité Estratégico de Ciberseguridad» (Comité stratégique de la cybersécurité), encargado de establecer las responsabilidades de los órganos encargados de la ciberseguridad y las medidas relativas a la gestión de crisis relacionadas con los sistemas de información (Sbihi, 2021).
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
Be the first to comment