Los piratas cibernéticos apuntan a los flancos débiles del sector público
Los ataques han crecido un 29% desde 2019, y el año pasado se produjeron más de 32.000 incidentes considerados como graves, muy graves o críticos
Los ciberataques de Rusia contra la OTAN han subido un 300% por la guerra en Ucrania
No es un fenómeno nuevo, pero sí ha adquirido una gran magnitud en los últimos años. El crimen cibernético se ha convertido en una preocupación cada vez más extendida, responsable de cuantiosas pérdidas económicas y de daños reputacionales difíciles de reparar. Nadie escapa de ... su voracidad, desde los millones de españoles que utilizan a diario dispositivos conectados a internet hasta las empresas que manejan datos susceptibles de ser secuestrados para luego pedir un rescate. Los actores vulnerables incluyen también a las administraciones, que son a día de hoy otra de las víctimas preferidas de los 'hackers' por la información tan crítica que atesoran y, sobre todo, porque si el ataque es exitoso paraliza por completo sus sistemas informáticos, con los consiguientes perjuicios para la ciudadanía.
Los crecientes niveles de conectividad, la adopción acelerada del teletrabajo durante el coronavirus y un contexto geopolítico marcado por la invasión rusa de Ucrania son algunos de los factores que han propiciado que estas bandas organizadas, con estructuras cada vez más profesionalizadas, hayan intensificado, tanto en número como en peligrosidad, los asaltos dirigidos a entidades públicas.
Apenas hay que remontarse en el tiempo para recordar casos que han dejado KO a distintos organismos de nuestro país. A comienzos de este mes, el Ayuntamiento de Sevilla se vio obligado a volver al papel y al boli por culpa del pirateo cometido por el grupo de origen holandés Lockbit, que paró los servicios que el consistorio prestaba de manera telemática, como la petición de citas o el pago de tributos locales, pidiendo 1,5 millones de euros a cambio de recuperar la normalidad. Aunque el equipo de Gobierno insistió en que no pagó nada, se calcula que el daño causado asciende a unos cinco millones de euros.
El Ayuntamiento de Sevilla instaura 'el vuelva usted mañana' en las oficinas afectadas por el hackeo
Diez días después del ataque, los usuarios siguen sin poder completar trámites con la administración local
En una jornada clave como fue la celebración de las elecciones generales el 23 de julio, 'hackers' prorrusos conocidos como NoName057 dejaron inaccesible durante horas la página web del Ministerio del Interior. Meses antes, piratas informáticos agrupados en el colectivo RansomHouse atacaron el Hospital Clínic de Barcelona, así como tres centros de atención primaria de la Ciudad Condal, provocando la suspensión de intervenciones quirúrgicas no urgentes y consultas externas. Después, difundieron en la 'dark web'o web oscura los datos robados. El año pasado, el Punto Neutro Judicial, la red de telecomunicaciones gestionada desde el Consejo General del Poder Judicial (CGPJ) que conecta los órganos judiciales con otras instituciones, sufrió una vulneración de seguridad, al igual que el Consejo Superior de Investigaciones Científicas (CSIC). Con anterioridad, el Ministerio de Trabajo o el Servicio Público de Empleo Estatal (SEPE) fueron los objetivos de estos delincuentes… cualquier institución está bajo amenaza.
Las cifras oficiales del número de incidentes gestionados por el Centro Criptológico Nacional (CCN), adscrito al CNI y responsable de velar por la ciberseguridad de las instituciones públicas, muestran una tendencia alcista en los últimos ocho ejercicios, con un incremento del 331%. Desde 2019, el año previo a la crisis sanitaria, hasta 2022, el aumento es del 29%, al pasar de los 42.997 a los 55.695, una cantidad, eso sí, ligeramente por debajo de los 69.202 incidentes registrados en 2021. Atendiendo al nivel de riesgo, el 58% de los casos ocurridos durante 2022 fueron catalogados como alto (28.525), muy alto (3.749) o crítico (75).
Ciberincidentes gestionados por el CCN-CERT
Centro Criptológico Nacional - Computer Emergency Response Team
En número
Por riesgo
82.530
Alto
Muy alto
Crítico
69.202
2019
24.324
3.172
37
38.192
55.695
2020
50.195
6.931
62
42.997
20.807
12.916
26.472
43.853
4.610
139
2021
18.232
28.525
3.749
75
2022
2014
15
16
17
18
19
20
21
22
Fuente: Centro Criptológico Nacional / Computer Emergency Response Team
ABC
Ciberincidentes gestionados
por el CCN-CERT
Centro Criptológico Nacional /
Computer Emergency Response Team
En número
2019
12.916
18.232
2020
20.807
2021
26.472
2022
2019
38.192
2020
42.997
2021
82.530
69.202
2022
2022
55.695
Por riesgo
Alto
Muy alto
Crítico
2019
24.324
3.172
37
50.195
6.931
2020
62
43.853
4.610
139
2021
28.525
3.749
75
2022
Fuente: Centro Criptológico Nacional /
Computer Emergency Response Team
ABC
Desde el CCN justifican el aumento en el número de incidentes gestionados a la evolución tanto de su Sistema de Alerta Temprana como de las capacidades de detección en tiempo real de ciberamenazas que el CCN-CERT tiene desplegadas en los organismos de la Administración Pública. «Se atribuye también a esta situación –dicen– la mejora de las capacidades de detección de los propios organismos de la Administración, que disponen de capacidades propias para detectar ciberamenazas y, como consecuencia, se está produciendo una notificación proactiva de incidentes».
Según datos del CCN, en 2022 el 29% de los incidentes fue notificado por el propio organismo afectado a través de la herramienta LUCÍA, del CCN; en 2023, este porcentaje asciende al 54%. «La participación de los organismos en la Red Nacional de SOC (Centros de Operaciones de Ciberseguridad) y la integración de la Administración Pública en esta iniciativa liderada por el CCN-CERT también está contribuyendo al intercambio de información de incidentes», agregan.
Sin embargo, cuando se producen, estos ciberataques ocasionan un grave daño a sus víctimas. El Informe Anual de Seguridad Nacional 2022, elaborado por el Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, reconoce que el coste de sufrir un ciberataque es cada vez mayor. Solo para hacerse una idea, ya que el cálculo no se restringe a las administraciones públicas, el valor de los daños causados por ciberataques a lo largo y ancho del planeta alcanzará unos 10,5 billones de dólares anuales en 2025, frente a los tres billones del 2015, de acuerdo a McKinsey. Las fechorías cibernéticas, además, representan ya alrededor del 1,5% del PIB mundial, más que el tráfico de armas, drogas y trata de personas juntos.
Marc Martínez, socio responsable de ciberseguridad de KPMG en España, asegura que el aumento generalizado de ciberataques, tanto al sector público como al privado, se explica porque es un negocio muy rentable para los cibercriminales: «Todo lo que invierten lo recuperan y, por tanto, no van a parar. Si las organizaciones ponen controles para limitar que se vuelva a repetir un ataque, ellos automáticamente inventan nuevas vías de entrada para lograr sus objetivos».
Sector sanitario
Los organismos señalados en rojo por estos grupos comprenden desde aquellos que poseen datos médicos de los ciudadanos, «porque se genera una alarma social importante, haciendo que el atacado tenga más incentivos para pagar el rescate», hasta los que trabajan con información confidencial de la población como pueda ser el Ministerio de Hacienda.
David López, Cybersecurity Product Manager de IPM, a Ricoh Company, hace hincapié en la situación que atraviesa el sector sanitario, que califica como «preocupante» porque «está siendo bombardeado por este tipo de ciberincidentes». Uno de los clientes de la firma, de hecho, sufrió un ataque el año pasado y los responsables de seguridad les comentaron que se habían perdido datos, de modo que los médicos no podían comparar la analítica de un paciente con el historial porque no estaba disponible. «La sanidad a día de hoy es donde la administración tendría que hacer más esfuerzos para protegerse», reivindica. El experto percibe un ligero avance en este aspecto gracias a los fondos europeos, si bien advierte del clásico freno que acompaña a la administración, donde «todo es un poco más complicado como consecuencia de la burocracia que hay detrás».
Igual que ocurre en el ámbito de la empresa privada, recuerda que existen diferencias notables entre unas administraciones y otras en términos de presupuesto para invertir en materia de ciberseguridad: «Un ayuntamiento del País Vasco nos decía recientemente que están teniendo incidentes de seguridad casi a diario, pero que, con los recursos limitados que tienen, se les hace muy complicado hacerles frente».
Marco normativo
El Esquema Nacional de Seguridad (ENS), cuya última actualización se aprobó en mayo de 2022, se concibió precisamente como el marco de referencia para que, con independencia de su tamaño, todas las administraciones públicas y sus proveedores de servicio cumpliesen, obligatoriamente, unos requisitos mínimos para garantizar la seguridad de la información que manejan. «Esta versión incorpora nuevos controles sobre los datos que se manejan de la ciudadanía, el teletrabajo, el movimiento de ciertos sistemas a la nube… Trata de adaptar los controles al mundo actual», sintetiza Marc Martínez, de KPMG.
La revisión también dota de mayor importancia a los mecanismos de prevención proactivos y, para ello, introduce el principio de 'vigilancia continua', con el que se pretende que haya una evaluación permanente del estado de la seguridad de los activos para así medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración. Martínez subraya en este sentido que la nueva versión establece una serie de procedimientos y planes previos con los que los organismos públicos han de contar, una suerte de protocolo para que cuando ocurra un ciberincidente, el esfuerzo de recuperación sea más eficiente. «Muchas organizaciones –continúa– están trabajando en mejorar los procedimientos de copia de seguridad de la información para que si les pasa algo puedan recuperar su actividad a partir de ellas sin tener que abonar el importe del rescate». Una puesta al día necesaria ante una problemática en auge.
Entre las iniciativas encaminadas a reforzar las políticas de las administraciones en esta materia destaca también el proyecto piloto para consolidar el despliegue de la Red Nacional de Centros de Operaciones de Ciberseguridad (SOC, por sus siglas en inglés), puesto en marcha por el Centro Criptológico Nacional, que estará en funcionamiento durante todo el año 2023, y cuyo propósito es estimular el intercambio de información relativa a incidentes en la red.
Una de las compañías que participan en la iniciativa es Aiuken Cybersecurity. Juan Miguel Velasco, el director general, explica que su papel se basa en la aportación de datos y estadísticas, en un ejemplo claro de colaboración público-privada. «Ahora se están teniendo reuniones de coordinación y se está haciendo un inventario de quién dispone de centros y quién no. Lo que ofrece el CCN-CERT es que si no lo tienen, cuenten con el suyo. Va a ser un avance importante en la protección de las administraciones públicas», valora. Según detallan desde el CCN a este periódico, el número de organismos adheridos «crece de forma diaria» y, en la actualidad, ya son 150 las entidades públicas y privadas que forman parte de la misma.
Puntos débiles
A pesar de que las medidas adoptadas para afrontar el cibercrimen, los expertos creen que existen asignaturas pendientes en nuestro país. Velasco, de Aiuken Cybersecurity, cree que la normativa nacional para la protección de las administraciones públicas es de las mejores del mundo, pero echa en falta mayor ambición en lo que respecta a la Red Nacional de SOC. «A finales de este año, en Arabia Saudí cualquier empresa o administración pública tendrá que contar obligatoriamente con un centro de operaciones de seguridad montado, bien sea propio o externo. Si no, recibirá una multa», pone como ejemplo. En nuestro país, en cambio, solo es una recomendación. «Si la entidad cuenta con un centro, sí es obligatorio que forme parte de la red, pero si carece del mismo, no hay obligación de que lo tenga. Sería ideal que todas las administraciones públicas dispusieran de un SOC, igual que todas las comunidades poseen un centro de atención de emergencias. Deberían tener el 112 de seguridad», compara.
La preparación ante las amenazas de los 'hackers' pasa también por acabar con dos elementos que, a juicio de este experto, todavía merman la capacidad de actuación de los organismos públicos de territorio patrio. El primero es la obsolescencia tecnológica, es decir, la antigüedad de los equipos informáticos. «Esto hace muy vulnerable a la administración pública española», advierte. Como informó ABC, cuando el SEPE quedó noqueado por un potente virus informático del tipo ransomware en 2021, el organismo reconoció que la aplicación para pagar las nóminas tenía más de 30 años.
Niveles de inversión
El segundo elemento a mejorar es el presupuesto dedicado a esta partida. «La percepción es que sigue habiendo una falta de inversión y que el dinero de la transformación digital no está llegando a la ciberseguridad de las administraciones, con las excepciones de grandes ayuntamientos que van muy adelantados», ahonda. Una situación a la que no ayuda la burocracia de los organismos públicos. «Tenemos una administración que, por la transparencia, está ralentizando mucho la llegada de esos fondos», remata. Por otro lado, defiende la conveniencia de externalizar más servicios porque «los funcionarios no pueden ser expertos en ciberseguridad».
Luis Corrons, especialista en seguridad de Avast, reclama fortalecer lazos entre las diferentes administraciones (central, autonómica y local) para compartir conocimientos y mejores prácticas, algo que puede traducirse en un ahorro de tiempo y un avance significativo en la seguridad: «Somos como un reino de Taifas, pero colaborando más estrechamente y aprendiendo de lo que les viene bien a los demás se gana en eficiencia».
No basta solo con reforzar estos aspectos, sino que los propios empleados de las instituciones deben estar preparados. «Los errores humanos y los engaños a los que podemos ser sometidos son una de las vías de entrada más comunes para realizar ataques», indica. Tal y como recoge el informe 'The Global Risks Report 2022', elaborado por el Foro Económico Mundial, el 95% de los problemas de ciberseguridad son atribuibles al error humano. Igual de esencial es que los sistemas y el software que se usan estén siempre actualizados, ya que de esta manera se corrigen agujeros de seguridad. «En caso contrario, dejamos la puerta abierta para que alguien se meta directamente sin que podamos hacer nada para pararlo».
Confianza cero
Por su parte, Marc Martínez, socio responsable de ciberseguridad de KPMG en España, habla de la aplicación del denominado modelo 'confianza cero'. «Implica que cada equipo conectado a la red tenga solo los privilegios necesarios para desempeñar su función, es decir, que no cuenten con un nivel de acceso muy elevado, de forma que se evita que si un atacante accede al sistema salte a otro y propague el ataque hacia otras máquinas que podrían ser más interesantes que la inicial», comienza por destacar el experto, que, en línea con el resto de expertos consultados, pone énfasis en la necesidad de concienciar a los usuarios. «Muchas veces estos ataques tienen éxito porque alguien hace algo que no debería. Hay que seguir trabajando en ello para que todo el mundo esté alerta de las posibles vías por las que podemos ser objetivo de un ciberatacante».
Los pirateos informáticos, antes percibidos como algo anecdótico, se han sofisticado y cuentan ahora con redes organizadas que se dedican a su desarrollo con ingentes recursos. Con el aumento de la superficie de exposición a raíz de la imparable transformación digital, la administración se ha convertido en una de las presas favoritas de los ciberdelincuentes... blindarse lo mejor posible y, sobre todo, saber cómo actuar una vez que ocurre el ataque, es la única salida.
Esta funcionalidad es sólo para suscriptores
Suscribete
Esta funcionalidad es sólo para registrados
Iniciar sesiónEsta funcionalidad es sólo para suscriptores
Suscribete