Hace un par de años, el condado de Suffolk –localizado en el área metropolitana de Nueva York, en Long Island– retrocedió a los años 90. No para revivir el fin de la Guerra Fría, la liberación de Nelson Mandela o el juicio político de Bill Clinton por su affaire con Monica Lewinsky, no. Recuperaron el lápiz, el papel, el teléfono fijo y el fax durante semanas para intentar contrarrestar los efectos del ciberataque que paralizó sus sistemas informáticos. Los piratas consiguieron robar miles de datos confidenciales por lo que fue necesario desactivar el correo electrónico de los 10.000 trabajadores de la administración pública, mientras que en Nueva York trataban de limpiar el software maligno para evitar daños mayores. La intrusión ha costado hasta ahora 3,4 millones de dólares en la recuperación tras el ataque y otros dos millones en la investigación forense. La pregunta del millón es: ¿están preparadas las instituciones públicas para lo que viene?
El mapa del tesoro, la conectividad
En los últimos años, y sobre todo tras los avances de conectividad impulsados por la pandemia del covid, la Administración Pública en su conjunto ha ampliado el catálogo de servicios disponibles en formato digital. Ayuntamientos, Diputaciones Provinciales, Cabildos, etc…. se valen de la tecnología para reducir los tiempos de espera y simplificar gestiones administrativas. Así, las transacciones cotidianas resultan más sencillas y eficaces. Un cambio de proceder al que fácilmente se ha acostumbrado el ciudadano. Según el INE casi el ocho de cada diez personas de entre 16 y 74 años utilizaron en 2022 páginas web o aplicaciones móviles de alguna administración. Niveles que posicionan a España por encima de la media de la Unión Europea. La actividad más usual es la descarga de formularios oficiales seguida de las interacciones relacionadas con el acceso a la información y la concertación de citas reservas relacionadas con la Administración.
Tal nivel de penetración enfrenta a España a numerosos retos en el ámbito de la ciberseguridad. “La incorporación de tecnologías emergentes y la proliferación de servicios expuestos desde Internet han tenido como resultado una evolución en el panorama de ciberamenazas a las que las administraciones públicas deben hacer frente”, advierte a Forbes Pablo Martín, socio responsable de Sector Público de Deloitte Cyber.
Ciertamente, el público es uno de los sectores que más ha sufrido el abordaje de los piratas informáticos en los últimos años por la cantidad de datos sensibles y personales que posee sobre la población. Nadie es inmune a estas amenazas que roban, perturban, afectan nuestra tranquilidad e incluso la seguridad nacional. El Servicio Público de Empleo Estatal (SEPE), la Agencia Tributaria, el Museo del Prado, el Consejo General del Poder Judicial, los ayuntamientos de Sevilla, Requena, Durango… Los datos compilados por el Centro Criptológico Nacional –garante de la seguridad de los servicios de tecnologías de la información y comunicaciones en las diferentes entidades de la Administración Pública– muestran una tendencia al alza. Si en 2018 el organismo gestionó un total de 38.192 incidentes, en 2022 la cifra se incrementó un 45% y superó los 55.000 (de los cuales 71 fueron críticos). Es decir, 150 ataques diarios de media sin descanso durante los fines de semana.
La administración es un caramelo para los atacantes porque “maneja una gran cantidad de información, mucha de ella de alto valor, y a menudo utiliza sistemas más antiguos”, explica a Forbes Marc Martínez, socio responsable de Ciberseguridad de KPMG en España. Además, los cibercriminales que buscan lucrarse ‘secuestrando’ los datos o interfiriendo en el funcionamiento normal de las instituciones “han pulido sus técnicas por lo que el impacto que estos criminales pueden tener en la vida digital de las administraciones públicas también”, cuenta a Forbes Juan Campillo, Cyber Security Product Markting director de Telefónica Tech.
Si a todo ello sumamos “el incremento de la tensión entre estados-nación a raíz de la situación geopolítica actual añade aún más presión”, detalla el experto de Telefónica Tech, el cóctel es explosivo. Hace unos años era impensable que determinados países o sus organizaciones cibercriminales afiliadas atacaran abiertamente a instituciones públicas pero en la actualidad “su capacidad de desestabilizar el funcionamiento normal de las sociedades occidentales, sus instituciones democráticas o sus servicios críticos a través de ataques cibernéticos es grande y se explota continuamente”, argumenta Campillo.
Saquear un valioso botín
La piratería informática no siempre fue criminal. Algunos trataban de divertirse e impresionar a sus compañeros. Es el caso de Steve Wozniak y Steve Jobs. En la década de los 70, los fundadores de Apple idearon una caja azul (la primera herramienta de pirateo digital del mundo) con la que manipulaban los sistemas telefónicos, engañaban a las compañías telefónicas permitiendo llamadas de larga distancia de forma gratuita. Una práctica ilegal, por supuesto, aunque para Jobs, tenía mucho que ver con el sentido de la aventura: “Era la magia del hecho de que dos adolescentes pudieran construir esta caja con piezas por valor de cien dólares y controlar cientos de miles de millones de dólares en infraestructura en toda la red telefónica de todo el mundo”. Con el paso de los años, la adrenalina de la aventura ha sido sustituida por el atractivo de las millonarias ganancias.
Según la firma especializada Cybersecurity Ventures, si el negocio del cibercrimen se midiera como un país, sería la tercera economía mundial después de EE UU y China. El coste total podría alcanzar los 10,5 billones de dólares anuales en 2025. De ahí que el Informe sobre Riesgos Mundiales 2023 del Foro Económico Mundial, sitúe la ciberseguridad entre los diez principales riesgos actuales y futuros a escala mundial.
“Lo que busca el cibercriminal es monetizar una vulnerabilidad. Así que o bien usan la información para perpetrar nuevos ataques de sobornos, chantajes extorsiones, phishing y fraudes o venden lo conseguido a terceros en la darknet”, matiza a Forbes Marcos Gómez, CISO del Instituto Nacional de Ciberseguridad (INCIBE) y subdirector del Centro de Respuesta a Incidentes de Seguridad (INCIBE-CERT). Nóminas, DNI, pasaporte, números de cuentas bancarias, direcciones físicas, números de teléfonos, fichas clínicas… Datos críticos que son jugosamente comercializados en el mercado negro.
Tanto es así, que se espera que este espacio ilegal alcance para 2028 un volumen de negocio superior a los 1.300 millones de dólares. Una rentabilidad que propicia la evolución de las organizaciones criminales en grupos mejor organizados: Noname057, RansomHouse o Lockbit.
Barbanegra, uno de los más malvados piratas del Caribe, medía dos metros, lucía tricornio de plumas y tras cada abordaje encendía unas mechas de cañón que adornaban su barba. Pero, en la actualidad, los asaltantes implementan unas medidas de seguridad sumamente eficaces para ocultar su origen y procedencia por lo que administraciones y empresas se ven obligados a avanzar en la inversión y el refuerzo de sus políticas de ciberseguridad.
En ese sentido, en España las regulaciones al respecto comenzaron hace un lustro (la primera Estrategia de Ciberseguridad Nacional data de 2013). “Se han puesto los mimbres de las obligaciones que las administraciones deben cumplir en materia de ciberseguridad, pero evidentemente hay que seguir mejorando porque la ciberseguridad al 100% no existe. Es factible pensar que siempre puede haber una amenaza o un riesgo nuevo”, interpreta Marcos Gómez, subdirector de INCIBE-CERT y CISO de INCIBE.
Como recuerda a Forbes Mónica Valle, especialista en ciberseguridad y directora de Bit Life Media, “los buenos tienen que defender todo el castillo, mientras que los malos sólo tienen que encontrar una pequeña grieta para adentrarse”. Y, uno de los eslabones más débiles de la cadena son los pequeños ayuntamientos. Actualmente, hay en España casi 5.000 municipios con menos de mil habitantes. Lugares donde “la ciberseguridad no ha sido la prioridad en estos últimos años para los consistorios y ayuntamientos pequeños, ya que debían enfrentarse a otros retos muy desafiantes, como el de la transformación digital y mejora de servicios a los ciudadanos”, comenta el responsable del sector público de Deloitte. “No es cuestión de preguntarse si ocurrirá, sino de cuándo y de si, para entonces, estaremos suficientemente preparados para responder adecuada y organizadamente”, señala el Centro Criptológico Nacional en uno de sus últimos informes.
Por eso, una de las claves pasa por seguir aumentando el presupuesto dedicado a la prevención y detección y a la respuesta una vez que el ataque está en marcha. De acuerdo con las cifras del último Barómetro Ciberseguridad elaborado por la consultora Adjudicaciones TIC, en 2023 la Administración ha invertido 81 millones de euros en proteger sus infraestructuras, un 33,1% menos que el pasado año por la convocatoria de las elecciones generales. No obstante, Pablo Martín, socio responsable de Sector Público de Deloitte Cyber sostiene que “estos últimos meses se está notando un gran empuje de la inversión gracias a la llegada de nuevos fondos específicos coordinados a nivel provincial y autonómico”. El Gobierno destinará más de 500 millones de euros de los fondos europeos Next Generation en los próximos tres años para ampliar servicios, pero también en detección y retención de talento en ciberseguridad (hasta treinta millones de inversión). Estos empleados de alta cualificación son un bien escaso. Según Observaciber –primer observatorio público especializado en ciberseguridad con el apoyo de la Secretaría General de Administración Digital–, la cifra actual de personal demandada es de 85.000 en España, en Europa más de 400.000 y en el mundo más de cuatro millones.
Las joyas de la corona
Cortar el suministro de agua o electricidad a una ciudad sitiada, explosionar sus puentes, atacar su medio de subsistencia… Los adversarios siempre han buscado utilizar infraestructuras críticas como palanca contra sus oponentes. Sin embargo, tal y como explican diversos expertos a Forbes, hasta ahora el ataque normalmente se limitaba a tiempos de guerra. Pero, a raíz de la invasión rusa de Ucrania la amenaza de cibersabotajes contra infraestructuras críticas de Occidente se ha incrementado. Y es solo el principio. Según Deloitte, cada vez serán más frecuentes los intentos de perturbar los recursos y servicios críticos, “con ataques previstos contra la agricultura y el agua, los sistemas financieros, la seguridad pública, el transporte, la energía y las infraestructuras de comunicación domésticas, espaciales y submarinas”.
En sociedades desarrolladas y altamente tecnificadas dependemos de servicios esenciales que, en el caso de verse comprometidos, afectarían al Estado de bienestar. Y, aunque la obligación de garantizar la seguridad de estas infraestructuras es de las administraciones públicas, las empresas del sector privado tienen una alta responsabilidad en la materia porque gestionan una parte sustancial de los datos de los ciudadanos.
Es conveniente recordar que más del 90% de las infraestructuras críticas del país están en manos de operadores privados (más de 500 empresas en total). De ahí que el principal desafío sea para los expertos que la tecnología de estos terceros actores esté convenientemente certificada en seguridad. “Existe un interés material en garantizar su privacidad, ya que cualquier ataque que los comprometa generaría una disrupción económica tangible para todos los actores implicados”, aclara Juan Campillo, Cyber Security Product Markting director de Telefónica Tech.
El problema es que los avances tecnológicos, la reducción de los costes y tamaños de los procesadores o las tarjetas de memoria y la sofisticación de las baterías siembran el terreno para la proliferación de dispositivos físico-digitales que dificultan esta labor. “Ya no hablamos solo de que la seguridad física esté perfectamente instalada, sino también la protección de la infraestructura en el ámbito digital con auditorías y planes de protección digital para que sean resilientes ante cualquier ataque. Todo se integra”, destaca el CISO de INCIBE. Este organismo de referencia en ciberseguridad da soporte a la protección de estas infraestructuras monitorizando hasta 900.000 activos: sistemas, tecnologías, dominios… para detectar y notificar cualquier tipo de amenaza o riesgo. Son un complemento a Iberdrola, Endesa, Repsol, Iberia, Telefónica, Banco Santander o BBVA. Existe una ‘responsabilidad compartida’ que requiere de “una colaboración estrecha entre organismos públicos y empresas privadas, pero también entre la ciudadanía y los usuarios, que tenemos que poner de nuestra parte para concienciarnos en esta nueva cultura de seguridad”, aconseja Mónica Valle.
La batalla cibernética no ha hecho más que empezar.