top of page
Buscar
Foto del escritorgizarteee

Asalto a la fortaleza digital

Publicado en elpais.com · by Jesús Rodríguez · February 27, 2021

Planeados y ejecutados desde algún rincón nebuloso del planeta, durante 2020 (el año uno de la pandemia) 60 ciberataques pusieron en jaque la seguridad nacional de España y el soporte digital de algunas de sus infraestructuras críticas, es decir, los servicios esenciales que hacen que el país funcione y cuyo listado es secreto. Agresiones en silencio. De forma barata y anónima. Un asalto “crítico” cada semana. Casi el doble que en 2019.


Detrás había Estados (siempre se apunta a Rusia, Corea del Norte y China, aunque hay operaciones con bandera falsa), el crimen organizado y los piratas informáticos. Cada vez mejor engranados: unos financian, otros gestionan y los técnicos (graduados o autodidactas) hacen el trabajo sucio: abren las puertas de un sistema y venden la llave digital al mejor postor. Hay abundante oferta y demanda en la dark web.


Los objetivos principales: ganar dinero y lograr influencia. La mecánica no varía, las metas sí. Se trata de espiar, desestabilizar, engañar, estafar, robar la propiedad intelectual, desacreditar o conseguir una ventaja comercial sobre un país o una empresa. Y, descendiendo hasta la base, perjudicar al ciudadano y vulnerar su privacidad hasta el punto de que pierda la confianza en el sistema.





Los dos grandes centros españoles de defensa y respuesta ante los incidentes de seguridad cibernética (denominados CERT, Computer Emergency Response Team) son públicos. Uno se dedica a defender las redes y los sistemas de la Administración (el Centro Criptológico Nacional); el otro, los de las empresas privadas, las universidades y los ciudadanos (el Instituto Nacional de Ciberseguridad). En total, reportaron el año pasado más de 200.000 ataques de distinto nivel. 73.000 fueron contra las Administraciones Públicas. De los 130.000 privados, un tercio consistió en estafas. Y, en general, con una agresividad mayor que nunca. Tampoco se libraron las Fuerzas Armadas, cuyo Mando Conjunto del Ciberespacio (que protege las redes militares), por boca de uno de sus analistas, un teniente coronel, afirma haber analizado 700 ataques contra sus sistemas el año pasado: “Para que sea incidente tiene que haber impacto, y estos lo tuvieron”.


Más allá del aspecto técnico, en las comisarías españolas se presentaron 216.000 denuncias por delitos informáticos en 2020. ¿Son muchas o pocas? No se sabe, ya que ninguna Administración parece capaz de vislumbrar la cifra negra, los miles de casos que no se notifican por vergüenza o miedo: ciudadanos y compañías (a veces cotizadas en Bolsa) con sus ordenadores horadados, sus páginas colapsadas, sus datos secuestrados, su identidad robada, su información sustraída y comercializada en el mercado negro, y víctimas de fraudes y chantajes, que no quieren además ver erosionada su reputación haciéndolo público. Así que prefieren pagar rescates, y lo hacen en criptomonedas imposibles de rastrear por la policía. Las Fuerzas de Seguridad del Estado confirman que se investiga un mínimo de los ataques. Un informe llevado a cabo en 2019 por la consultora Deloitte concluía que el 76% de las empresas había sufrido algún ciberincidente. Y con éxito para el agresor. La mayoría nunca salió a la luz.


Y si no se notifican, no pueden ser investigados. No se puede realizar un perfil del agresor ni de su modus operandi; no se pueden encontrar trazas ni conocer su nacionalidad y su tecnología, ni desentrañar sus patrones de comportamiento. La huella que dejan —la que dejamos todos con nuestra navegación— la olfatean los policías y analistas de datos patrullando la Red y cribando con sus herramientas tecnológicas el big data. Hasta llegar a un servidor y, tal vez, a una dirección privada (IP). Y no siempre, al culpable. “Pero cuando no tienes ni una colilla cuyo rastro seguir —como los policías de antes—, si no obtienes evidencias que relacionar con ataques anteriores —a las que denominamos ‘indicadores de compromiso’—, pierdes la capacidad de investigación”, explica el inspector Francoso, jefe de Análisis de la Oficina de Coordinación Cibernética (OCC). “El estudio de un ataque te lleva a prevenir otro. Es clave hacer un estudio forense de cada incidente y cruzar esa información con las policías de todo el mundo. Los alertamos y nos alertan.


Por eso, cuando un operador crítico del Estado advierte un incidente, está obligado a notificárnoslo, y efectuamos un informe para adelantarnos a futuros ataques. Y si vemos indicios de delito, se lo comunicamos a la Guardia Civil y al Cuerpo Nacional de Policía para su instrucción”. Según fuentes de la industria privada, un solo laboratorio analiza cada día más de 40.000 muestras distintas de malware, es decir, de software malicioso. Una cifra que se duplica cada año. Algo que confirma el matemático Marcos González, subdirector del Instituto Nacional de Ciberseguridad (Incibe): “Cuando hay un incidente, pedimos que nos remitan ese archivo contaminado y nuestro equipo de 25 analistas lo disecciona. Y damos cuenta a la ciudadanía sobre los riesgos. Tenemos operativo el teléfono 017 las 24 horas, para que los ciudadanos y las pymes nos notifiquen sus ataques”.


Tal y como manifestó recientemente David DeWalt, presidente de la compañía de seguridad informática McAfee, las mafias invisibles que cubren en todo el mundo el abanico de ataques contra la seguridad de Internet mueven anualmente en torno a 105.000 millones de dólares (cerca de 87.000 millones de euros), obteniendo más ingresos que el narcotráfico (dato que ya adelantaba un informe de Europol de 2019). Y con mayor impunidad. En España ya no hay apenas atracos a bancos a mano armada, cuando en los años noventa se perpetraba uno a diario. Hoy, a las entidades bancarias y a sus clientes se los golpea digitalmente. También los timos han desaparecido de la calle. Y se pueden adquirir kilos de heroína en la dark web. La manipulación política y comercial fluye de una forma más sutil y, sobre todo, más personalizada: “Las elecciones hoy se ganan en lo digital, no en las plazas de toros”, apunta Samuel Álvarez, ingeniero y consultor de ciberseguridad. Todo transcurre en la Red. Pero nadie sabe quiénes son ni dónde están los malos. “Su servidor puede estar en Panamá, ellos en Siria y el terrorista en Francia”, explica un analista de la Guardia Civil. La tecnología es su aliada: cifra sus comunicaciones y les otorga anonimato.


Son ataques cada vez más dirigidos, menos indiscriminados, más sofisticados y mejor proyectados. Bombas inteligentes contra instituciones, empresas y ciudadanos concretos. Planes que se maduran durante años. En la punta de la pirámide de esos ataques (normalmente contra Estados y grandes compañías) se encuentran las llamadas “amenazas avanzadas persistentes”, elementos dañinos que una vez colados en un sistema quedan en letargo por tiempo indeterminado. Hasta que se los activa. Y se hacen con el control del equipo infectado. Y se extienden. Son como zombis. “Entran en tu ordenador y dejan una semilla de virus. Y pueden pasar años sin que nadie la detecte.


Y un día la activan y te puede echar abajo un proceso electoral”, explica un oficial del Ejército especializado en guerra electrónica. El comisario José García Serrano, de la Unidad Central de Ciberdelincuencia, incide en esa progresiva especialización: “Descendiendo unos peldaños, los malos antes enviaban correos falsos contra miles de destinatarios dispersos y aleatorios para ver quién picaba, pero ahora están dirigidos a objetivos predeterminados. Hacen una investigación previa, buscan puntos débiles de seguridad. Usan las redes sociales. Captan tropas desleales dentro de una empresa que les faciliten el acceso a la información. No tienen prisa. Sus golpes son más peligrosos y mejor diseñados que antes. Son más difíciles de detener y más caros de reparar. Van por delante de nosotros”.


La Red no fue concebida hace 30 años como un lugar seguro. Y nadie ha ejercido nunca sobre ella su soberanía. Es global, abierta, rápida, dinámica, de fácil acceso, con una enorme capacidad de anonimato y escasamente regulada. En ella está la información, los servicios, las ideas. Nuestros datos. Y tampoco son seguros los sistemas informáticos que utilizamos. No han sido concebidos bajo parámetros de ciberseguridad. Y aunque esté blindado el sistema de una infraestructura crítica (un aeropuerto, una refinería, un hospital…), pueden no estarlo las empresas que les prestan servicios, sus proveedores, socios y subcontratistas, los encargados del mantenimiento o sus empleados. “Ya no necesitan atacar a la cabecera del servicio esencial, sino a cualquiera de los que están conectados con él”, explica Juan Antonio Gómez Bule, politólogo, consultor y vicepresidente de Ecix Group. “Y si ese proveedor es vulnerable, provoca vulnerabilidad en toda la infraestructura crítica. Hay que generar una trazabilidad de la seguridad de la Red y cada producto debe estar certificado. Y eso ahora no ocurre. Y se cuelan”. Lo confirma José de la Peña, responsable del grupo SIC, dedicado desde 1991 a la ciberseguridad: “Todos los sistemas son susceptibles de ser atacados. Jamás son invulnerables. Es un juego de barreras y ataques. Si dejas un agujero y hay un beneficio, van a entrar. La delincuencia va a por el dinero, y los Estados, a por asuntos inconfesables, empezando por los secretos y las patentes de otros Estados. La Red es el oscuro objeto de deseo”.


Las herramientas tecnológicas que emplean los que atacan y los que defienden son las mismas. También los buenos atacan, aunque no lo hagan público. La Europol, el FBI, los ejércitos y las policías pueden robar o echar abajo el servidor del cibercriminal, buscarle puertas traseras o dejarle un señuelo (un honey pot), para que se aventure a entrar en el suyo y pillarlo. Los militares, en el Mando de Ciberespacio, realizan continuas maniobras, verdaderas pruebas de estrés, desde su C4D (Centro de Mando, Control y Conducción de Ciberdefensa), donde el campo de batalla es la Red. Se trata de disuadir. Como durante la carrera nuclear. Y en caso de conflicto, “dejar sordo, mudo y ciego al enemigo”, según su comandante en jefe, el general Rafael García Hernández.


Es una cuestión de inversión en talento y en I+D. “Y en ese nuevo orden capitalista sin reglas que es la web, el que consigue la nueva tecnología, arrasa”, explica el diplomático Nicolás Pascual de la Parte, embajador especial para las Amenazas Híbridas y la Ciberseguridad. Existe consenso de que ningún Estado se puede defender en solitario de esos riesgos sin fronteras. Necesita la colaboración internacional y el apoyo del sector privado, que dispone de la tecnología y de los técnicos (por ejemplo, los operadores de telefonía móvil como Telefónica, o grandes tecnológicas como Indra, pero también microempresas especializadas en escuchar las redes sociales, detectar virus o monitorizar el tráfico sospechoso).


En España, el sector de la ciberseguridad cuenta, según el Incibe, con más de 1.200 proveedores con 6.000 productos y servicios. Hasta la Presidencia del Gobierno, el Centro Nacional de Inteligencia (CNI) o los militares reconocen que en esa materia tiran de compañías, herramientas, ingenieros y analistas del sector privado, en especial durante la crisis digital unida a la covid. Israel (en guerra permanente) sale en todas las quinielas como el país puntero. Y detrás, Estados Unidos y el Reino Unido. En Francia y Alemania la seguridad cibernética es una razón de Estado. En España, la transferencia de conocimiento entre el sector público y el privado es mejorable, según coinciden los expertos consultados. “Y en esta carrera enseguida te quedas atrás”, comenta el teniente coronel Emilio Rico, del Mando del Ciberespacio. “Y esas empresas te tienen que dar capacidades: no solo un producto, sino su desarrollo completo. Normalmente es software que se integra en tus plataformas”.


Todo está en la Red, incluidas las oportunidades de un mercado abierto y también los yihadistas, que ya son captados, reclutados, radicalizados y adiestrados virtualmente, según explica el teniente coronel F. V., jefe de Unidad Central Especial 2 de la Guardia Civil (que se ocupa del terrorismo internacional): “Para ellos, la Red se ha convertido en una navaja multiusos en sus operaciones, su comunicación y su propaganda. Y eso lo hemos confirmado durante la pandemia”. En la UCE 2 cuentan con agentes encubiertos que, con mandato judicial e identidad supuesta, se introducen en foros y círculos cerrados para localizar a terroristas. Pero no siempre es fácil demostrar ante un juez que, por encima de su extremismo digital, su intención sea matar.


Todo pasa por la Red. Según datos del Banco Mundial, hay más de 4.000 millones de internautas en el mundo y una cifra similar ya se mueve en las redes sociales. Diversas fuentes hablan de más de 50.000 millones de dispositivos por todo el planeta conectados a la gran autopista de la información, la mayoría de ellos de uso cotidiano; desde el contador del gas, el frigorífico y las alarmas del hogar hasta los tornos de entrada de las empresas, los diagnósticos médicos y la agricultura digitalizada. Y son vulnerables. Es el Internet de las cosas (IoT). Y muy pronto las casas y los coches inteligentes se aprovecharán de la vertiginosa velocidad de información que les va a proporcionar la quinta generación de comunicaciones móviles (el 5G). Todo conectado y más rápido. En España, según el Instituto Nacional de Estadística (INE), el 93,2% de los ciudadanos de entre 16 y 74 años utilizó Internet en 2020, lo que se traduce en 33 millones de usuarios. Y esa práctica se eleva hasta el 99,98% entre los jóvenes.


Estamos hiperconectados. Nuestros negocios, estudios, salud y relaciones sociales. Nuestra vida. Y, sin embargo, no tenemos sensación de riesgo. Dudamos de si lo que ocurre en la Red es realidad o ficción. Dejamos nuestra existencia al descubierto. Regalamos nuestros datos. Tendemos a ser crédulos frente a la desinformación. El 90% de los incidentes graves se inicia a partir de un fallo humano. Un correo en apariencia inofensivo. Puede ser una falsificación exacta de una comunicación de nuestro banco o de la Agencia Tributaria en tiempos de IRPF. Lo abrimos. Explota. Y se inicia la epidemia. Que provoca, por ejemplo, que toda la información de nuestros sistemas operativos quede cifrada y solo puedan liberarlos los piratas a cambio de un rescate. A ese modelo de ataque lo denominan ransomware. Es el más frecuente y lucrativo. Le puede ocurrir a una central nuclear o a un taller de chapa y pintura. En mayo de 2017, el denominado Wannacry atacó en siete horas a más de 200.000 equipos en 150 países; y, en España, a tres operadores críticos: Telefónica, Gas Natural e Iberdrola. A partir de ese momento el Gobierno y la Unión Europea se dieron cuenta de que el asunto no iba en broma. En España, la respuesta fue la Estrategia Nacional de Ciberseguridad, redactada en La Moncloa y publicada en 2019. Pocos meses más tarde llegó la pandemia, acompañada por una ola de ataques a hospitales y farmacéuticas; desinformación, estafas, espionaje y propaganda, la infodemia. En plena era de la covid-19, los ataques se cebaron de forma especialmente virulenta con la estructura sanitaria. En su último informe de tendencias, publicado en octubre pasado, el Centro Criptológico Nacional citaba el ransomware contra centros médicos como una de sus grandes preocupaciones.


A esas técnicas de engaño cibernético los expertos las denominan “ingeniería social”. Un oficial del Ejército lo simplifica: “Cuando llevas jugando cinco minutos al póquer y no has detectado al pardillo, no lo dudes, el pardillo eres tú. Y eso en la red es dogma de fe: el producto eres tú”. “Tú eres un dispositivo andante; una red se sensores: recibes y emites información continuamente”, explica el consultor de seguridad Juan Antonio Gómez Bule. “Y lo mismo pasa con tu casa y tu empresa. Y si no te proteges, date por perdido. Hay grandes brechas de seguridad, en especial en las pymes. Es un tema que no se toma en serio. Y nunca sabes cuándo vas a ser el objetivo. O ya lo eres y no lo sabes. Meter dinero en ciberseguridad no es un gasto, es inversión, para empezar, en la reputación de tu empresa. Y eso hoy cotiza”.


“La pandemia ha supuesto para todos un curso acelerado de digitalización”, afirma Javier Candau, jefe de ciberseguridad del Centro Criptológico Nacional (el CERT gubernamental, integrado en el CNI y encabezado por la directora del servicio de inteligencia, Paz Esteban). A partir de la instauración del estado de alarma, el 14 marzo de 2020, el teletrabajo se generalizó en todo el país. Y las compras. Más del 90% de los hogares están en el ciberespacio. Muchos tenemos un ordenador en casa conectado con la red corporativa de nuestra empresa o ministerio. Y eso implica riesgos. En poco tiempo nos hemos dado cuenta de las vulnerabilidades no solo de la Red, también de las herramientas y aplicaciones. Para el coronel Candau, la avalancha de teletrabajo y el Internet de las cosas “han ampliado nuestra superficie de exposición a un ataque. Hay más incidentes. Y más graves. Y esa va a ser la tendencia”.


Para Félix Arteaga, investigador del think tank Real Instituto Elcano, “la ciberseguridad debe acompañar a la digitalización de la sociedad, evitar sus riesgos y favorecer los negocios. Y eso se ha logrado de una forma correcta en las infraestructuras críticas del Estado. Y las empresas cotizadas tienen sus centros de respuesta, a veces más potentes que la Administración. Sin embargo, no se ha completado ese ecosistema de ciberseguridad con el sector privado. Sigue sin haber una conexión entre lo público y lo privado. Nuestra exposición es cada vez mayor; estamos desprotegidos y eso incrementa la fragilidad del sistema. Hay que aumentar la conciencia social y la capacidad industrial. La ciberseguridad debe ser una verdadera política pública”.


¿Quién debería hacerlo? ¿Quién manda en la ciberseguridad? En España no hay un ciberzar, una cabeza ejecutiva, una ventanilla única. El mando es, al menos, bicéfalo, se reparte entre Presidencia del Gobierno y el CNI. Sin olvidar los ministerios de Asuntos Económicos y Transformación Digital, Interior, Defensa, Justicia y Exteriores. “Se ha optado por una gobernanza suave”, explica Javier Candau, del Centro Criptológico Nacional (dependiente del CNI). “Nadie manda en todo, sino que se ha constituido el Consejo Nacional de Ciberseguridad, que depende del Consejo de Seguridad Nacional, que dirige el presidente del Gobierno”. Además, como endeble canal de comunicación entre lo público y lo privado, está el Foro Nacional de Ciberseguridad, que carece de presupuesto. Y a finales de 2020 se anunció la creación de la Comisión Permanente contra la Desinformación (bautizada por la oposición conservadora como “ministerio de la verdad”), que ya está en funcionamiento. Su objetivo es detectar y enfrentarse a las fake news, está coordinada por la Secretaría de Estado de Comunicación y sus cometidos no han sido explicados en profundidad por la Presidencia del Gobierno, de la que depende. En el sector cibernético (público y privado) muchos recelan de ella.


Algunas fuentes envidian la figura del National Cyber Security Centre (NCSC) del Reino Unido, un organismo que coordina todas las responsabilidades de la ciberseguridad en aquel país, incluso las infraestructuras críticas, excepto las cuestiones militares, y cuenta con un presupuesto de más de 2.000 millones de euros. “El problema en España es que no hay un elemento único de dirección”, reflexiona Arteaga. “No hay un mecanismo real de coordinación público-privado; no hay una política de I+D; no hay un programa nacional de investigación. Y en la cima, el Departamento de Seguridad Nacional (DSN), dependiente de La Moncloa, media y marca la estrategia, y el CNI tiene los medios. Pero no hay una mano ejecutiva y cada ministerio va por libre. Y luego están en el País Vasco y Cataluña con sus CERT y las grandes empresas con los suyos”.

Cuando se visitan todos los organismos públicos de ciberseguridad (que se encuentran en Madrid menos el Incibe, que el presidente Rodríguez Zapatero instaló en León), se tiene la sensación de que, como todo en España, funcionan muy bien por separado, pero que ponerlos de acuerdo debe de ser complicado. El músculo lo tienen el Departamento de Seguridad Nacional (DSN) y el CNI.


El primero, por su carácter estratégico; el segundo, por el poder de la inteligencia. El general Miguel Ángel Ballesteros dirige el primero desde el búnker de La Moncloa, a tres minutos del despacho de Pedro Sánchez. Es el asesor del presidente en materia de seguridad nacional. El DSN debería ser el eje de toda la política de ciberseguridad, y así lo define el general en su despacho: “Este departamento es el punto de integración de toda la información y el punto de contacto con la UE”. Sin embargo, no tiene un presupuesto propio ni tampoco encabeza el Consejo Nacional de Ciberseguridad, una atribución que tiene la directora del CNI, Paz Esteban. “Al principio se pensó en rotar esa presidencia del Consejo entre DSN, CNI, Interior, Defensa y Economía, pero luego se decidió que no se moviera del servicio de inteligencia y así se ha quedado…”, comenta una de las personas que lo integran. En cualquier caso, todo confluye en el presidente del Gobierno.


El CNI es el organismo más sabio del esquema de ciberseguridad en España a través de su brazo tecnológico, el Centro Criptológico Nacional (CCN), que cuenta con un servicio de defensa y alerta temprana. En este negocio, el CNI manda mucho. Y nadie lo duda en el ecosistema de la ciberseguridad. Desde su sede, al oeste de Madrid, se ocupa de todos los ciberincidentes relacionados con la Administración General del Estado: los órganos constitucionales (jefatura del Estado, Congreso y Senado), las empresas estatales (tan potentes como Adif, Correos, Navantia o Red Eléctrica) y organismos como la Comisión Nacional del Mercado de Valores (CNMV). No así de los sistemas militares. Y no se detiene en resolver la parte técnica del incidente, va más allá, investiga si los ataques provienen de otros Estados y también tiene la atribución (por ley) de la contrainteligencia, el contraespionaje y la gestión de los secretos oficiales.

Quizá el máximo poder del CNI en ciberseguridad son las sondas que mantiene desplegadas en los equipos informáticos de 350 organismos públicos de los citados, según confirma el coronel Candau. Son dispositivos de hardware y software que instalan los técnicos del centro y actualizan por control remoto y que monitorizan el flujo de Internet entrante y saliente de esos organismos. Tamizan y detectan intrusiones y el tráfico sospechoso; los filtran y envían a su sistema central para su análisis exhaustivo. Toda esa arquitectura de seguridad se basa en la alerta temprana. ¿Esas sondas respetan la privacidad de las comunicaciones de los empleados públicos? Según un documento del centro, “en ningún momento se centra en el análisis del contenido del tráfico que no sea relevante en la detección de una amenaza”.


A las afueras de Madrid, en El Pardo, en un edificio semioculto a la orilla del Manzanares, se encuentra otra estructura clave en la ciberseguridad nacional. Es la Oficina de Coordinación Cibernética (OCC) del Ministerio del Interior. Se ocupa de la seguridad digital de las infraestructuras críticas, un inventario secreto de 400 “operadores esenciales”, de los que un 80% son empresas privadas, que cubren los sectores de energía, transporte, salud, financiero, telecomunicaciones, información, agua, energía nuclear, químico, espacio, Administración, alimentación y navegación. Si alguno sufriera un ataque y contagiara al resto de operadores, se podría desatar una reacción en cadena de imprevisible desenlace. El día del juicio final cibernético. Desde aquí luchan por evitarlo. No se puede acceder con teléfono móvil, igual que en el Mando Conjunto del Ciberespacio y en el CNI. Está al frente el comisario Juan Carlos López Madera y su personal está compuesto por policías y guardias civiles vestidos de traje oscuro. Aquí todos son analistas. Se encuentran inmersos en la elaboración del primer Plan Estratégico contra la Cibercriminalidad. Pura inteligencia. Hay que prevenir.


La pandemia y el cibertrabajo han despertado a la bestia digital, que ya no va a volver a su guarida. Cuando la covid-19 sea un mal recuerdo, el virus cibernético seguirá extendiendo sus tentáculos en su realidad sin fronteras. Y carecemos de vacuna. Lo confirma el veterano consultor Juan Antonio Gómez Bule, con 30 años en el negocio: “Si tú eres el objetivo, date por fastidiado, porque no sabes cuándo ni cómo te van a atacar. O si ya lo has sido”.




8 visualizaciones0 comentarios

Comments


Publicar: Blog2_Post
bottom of page