España sufre tres ciberataques críticos al mes de otros estados

Su diagnóstico es claro: «Que los incidentes de ciberseguridad aumenten de 50.000 a 105.000, que será más o menos con los que acabaremos 2023, no es relevante; es más, demuestra que tenemos mucha más capacidad de detectarlos que otros países, por tanto somos más eficaces. Para nosotros el parámetro principal es el número de ciberataques críticos que se producen, y hemos pasado de 75 en 2022 a los 120 con los que finalizaremos este año. Eso quiere decir que o somos más vulnerables, o que hay un procedimiento de ataque que tiene éxito y no lo hemos sabido atajar, o que algo falla».

Pero ¿qué se entiende por incidente crítico? «Que sea clasificado así puede deberse a que se ha dañado la imagen de un organismo público por un ataque de denegación de servicios, como podría ser que echen abajo la web del Tribunal Constitucional, algo que como impacto no tiene mucho porque no genera dinero ni compromete datos pero en cambio traslada la impresión de debilidad del Estado…«, explica.

Noticia Relacionada

El Centro Criptológico Nacional avisa: «Estamos por detrás en gobernanza de la ciberseguridad»

Pablo Muñoz

Candau aboga por la creación de una agencia nacional con funciones ejecutivas

«Pero lo más habituales -prosigue- son ataques de ramsomware, que te dejan las redes inoperativas, como los sufridos por los ayuntamientos de Sevilla, Jerez, Leganés, Castellón, la Diputación de Segovia... Eso es un impacto crítico; que te tiren la red, te hayan robado datos o no. Lo que vemos en 2023 es que hay mucho interés de los atacantes en sustraer información para comercializar, para extorsionar… En muchos de esos 120 incidentes críticos hubo compromiso de datos, lo que es una característica de los ataques de estado. Los autores no los van a difundir, no nos vamos a enterar, los medios de comunicación no van a poder publicar nada porque el responsable nunca va a hacerlos públicos... Pero son los más dañinos porque hay gobiernos que saben mucho de nosotros, de la información que manejan los organismos públicos, clasificada, que afecta a la seguridad nacional y también a muchos ciudadanos. Por eso son críticos».

Uno de los grandes problemas que hay es que este tipo de agresiones se sabe de dónde proceden, pero es muy difícil demostrarlo judicialmente: «Cuando se producen, analizas las evidencias que deja el atacante en la red, pero son genéricas. Tú las unes todas, pero presentarlo como prueba en un procedimiento es complicado porque es una valoración de Inteligencia más que judicial».

Y hay otro problema: «A veces no sabes si el actor es un estado, lo que situaría el incidente en el ámbito de la ciberinteligencia, o si es alguien que busca beneficio económico y te extorsiona, lo que sería un caso claro de cibercrimen. Son temas, por tanto, que a veces se encuentran en una zona gris».

La semana pasada se analizaron estas amenazas y otros temas de la máxima relevancia en las XVII Jornadas STIC CCN-CERT/V Jornadas de Ciberdefensa ESPDEF-CERT, organizadas por el Centro Criptológico Nacional y el Mando de Ciberdefensa. Se trata de un evento anual clave tanto a nivel nacional como internacional al que asistieron de forma presencial 3.000 profesionales de 36 países -se rechazó a otros 1.500 en números redondos por falta de aforo- y que este año tenía el lema «Compartir para ganar».

Para Candau el mayor peligro ahora es que actuamos con «procedimientos de antes de la pandemia». «Las administraciones, como es lógico, confían mucho unas en otras. Cuando necesitan un dato de otro organismo público lo piden y se les da. Si el Punto Neutro Judicial, por ejemplo, pide información de un ciudadano a la Agencia Tributaria ésta se lo facilita. Pero llegó el Covid 19, empezamos a trabajar en remoto y se originó un problema serio, porque no podemos confiar en que esos usuarios sean los que dicen ser y detrás no se esconda un atacante. Hemos pasado de unas redes aceptablemente cerradas a otras bastante abiertas y tenemos que ir a otras que estén blindadas. Esto es el tema que más nos preocupa porque de él derivan muchos ataques: de estados, de cibercrimen, de ramsomware»…

«En todas estas intrusiones -añade- sucede lo mismo: los atacantes se fijan en un organismo, van a la 'dark web', buscan credenciales comprometidas, suplantan a un usuario autorizado... A veces fallan, pero vuelven a buscar y al final, después de cuatro, cinco o seis intentonas entran en el sistema. A partir de ahí buscan, recopilan datos, introducen un ramsomware y no solo eso; pueden saltar a otras administraciones con las que la primera entidad pública atacada tiene contactos y el problema ya no es solo local, sino que un asunto de credenciales puede afectar a todas ellas».

Candau no esconde la magnitud del reto, pero transmite tranquilidad: «Las administraciones públicas están bien entrenadas, hay buenos sistemas de vigilancia y somos capaces de detectar mucho». Las cifras le dan la razón: «De esos 55.000 incidentes de ciberseguridad de los que hablaba, antes el 29 por ciento nos llegaba de las Comunidades autónomas, de entidades locales… Gestionábamos unos 16.000 de esta procedencia. Ahora ese porcentaje ha subido al 52 por ciento, porque han implantado mejores herramientas de detección, de modo que estamos más cerca de la realidad. No obstante, creo que aún estamos lejos de tener una fotografía exacta de la situación; deberíamos llegar a 200.000 incidentes, de los que entre 150.000 y 160.000 serán bajos o medios; es decir, detectados y parados a tiempo. Cuando ya clasificamos el incidente de alto, es que puede tener un poco de impacto, y si pasamos a muy alto o críticos no hay duda: lo tienen».

«En el futuro -continúa- tendremos más peligros. Las redes 5G hay que cuidarlas; con la Inteligencia Artificial el atacante podrá elaborar correos mucho más dirigidos que al usuario le haga muy difícil poder detectarlos, de modo que ya no será una barrera, porque no tendrá la opción de decidir si ese mail lo abre o no. Le será imposible discernir si el que lo ha enviado es su jefe u otra persona. Y a más largo plazo está también el reto de la computación cuántica… Pero ahora, insisto, el principal problema que tenemos es el de la identidad digital».

«Hemos evolucionado mucho en la transformación digital y no tanto en la ciberseguridad -reflexiona este responsable del Centro Criptológico Nacional-. Si el valor que da un ministerio son los servicios que pone a disposición de los ciudadanos, las administraciones necesitan protegerse como lo que valen. Muchas veces consideramos la ciberseguridad un gasto y no una inversión, cuando evita pérdidas multimillonarias». Y concluye: «Hay que concienciar al usuario, no demonizarlo, prepararlo para que sepa qué puede hacer y qué no».