Uno de los principales ataques que ha sufrido el sector público en España fue el que le ocurrió a la sede electrónica del Servicio Público de Empleo (SEPE) que se produjo en marzo de 2021, que ya comentamos aquí [1].
Consecuencias del ataque
El incidente (un ciberataque ransomware de tipo Ryuk) se tradujo en una serie de números bastante importante: sus técnicos informáticos estuvieron movilizados 20 horas al día durante 3 semanas, los 7 días de cada una de ellas, haciendo más de 19.000 horas extras y se reinstalaron hasta 25 puestos de trabajo en la oficina, y que afectó a los sistemas Windows, pero por suerte no los sistemas CORE de este organismo (como Linux).
La importancia de la ciberseguridad en los sistemas informáticos del Estado
Fruto de este incidente, el Gobierno, en colaboración con el Centro Criptológico Nacional (CCN-CERT) y con la Secretaría General de Administración Digital, busca establecer y desarrollar un Centro Operativo de Ciberseguridad (o SOC) para la Administración General del Estado. Un SOC es un centro físico de seguridad informática que previene, monitoriza y controla la seguridad en Internet para una organización o empresa, una infraestructura de seguridad operativas las 24 horas del día los siete días de la semana.
Este nuevo organismo aparece recogido por primera vez en el Real Decreto 63/2018, del 13 de julio, donde se establece su principal objetivo: “reforzar las capacidades de vigilancia, prevención, protección, detección y respuesta ante ciberincidentes. Y también las relativas al asesoramiento y apoyo a la gestión de la ciberseguridad de un modo centralizado”.
Este SOC puede aportar capacidades complementarias a los otros centros de ciberseguridad ya existentes (no a reemplazarlas), desempeñando las siguientes funciones:
- Análisis de vulnerabilidades de aplicaciones y servicios.
- Centralizar servicios, eliminar duplicidades, conseguir un alto grado de especialización y reducir los costes individuales en todos los organismos adheridos.
- Monitorización y actualización de dispositivos de defensa perimetrales del sistema.
- Prestación de servicios horizontales de ciberseguridad.
- Servicios anti-abuso de identidad digital.
- Servicio de Alerta Temprana (SAT) en las conexiones a Internet, a redes interadministrativas comunes y a redes corporativas de las entidades.
La puesta en marcha de esta entidad se debe, además, a otros dos hechos destacados: que ya estaba previsto en la Estrategia Nacional de Ciberseguridad 2019, y que, para sufragar su inversión económica, 960 millones de euros, se recoge una partida en el reciente Plan de Recuperación, Transformación y Resiliencia (dentro del Componente 11) y será dirigidio,a través de una Unión Temporal de Empresas (UTE) formada por Telefónica e Indra por 46 millones de euros..
Este Centro de Operaciones de Ciberseguridad se ha ido desarrollando en los últimos 5 años, comenzó a finales de octubre de 2017 con el diseño conceptual de las comunicaciones de esta organización, y apenas dos meses después su diseño conceptual.
A partir de aquí se establecieron tres fases:
Fase 1 (2018)
En donde se estableció la determinación de tecnologías para los diferentes dispositivos informáticos que se utilizan, así como la definición de niveles de servicio.
A esto además hay que incluir la adquisición e instalación de la infraestructura técnica, la implantación de servicios básicos de ciberseguridad, y la incorporación de primeras entidades.
Fase 2 (durante 2019).
En ella se produjo la extensión de sus servicios a todo el ámbito de aplicación del ACM y la inclusión de nuevos servicios avanzados de ciberseguridad.
Fase 3 (desde 2020). El mantenimiento y mejora del servicio.
El (excesivo) miedo a ciberataques rusos
La invasión rusa a Ucrania ha puesto en alerta a todos los países de Europa, especialmente en el ámbito de la política exterior y de defensa, pero también en lo que respecta a la ciberseguridad. Diversas webs institucionales ucranianas han sufrido ataques de denegación de servicio (DDOS), uno de los tipos más usados por organizaciones vinculadas al Kremlin, que consisten en el acceso de miles de personas, al mismo tiempo, a un portal de Internet, el cual, ante la repentina avalancha de peticiones de acceso, el servidor se colapsa y la web deja de funcionar.
A pesar de que la autoría de numerosos ciberataques realizados por organizaciones vinculadas o relacionadas con el Kremlin es de sobra conocida, es ocasiones se acusa a Rusia sin pruebas fehacientes o por razones de narrativa. El último ejemplo de posible intromisión rusa en un sistema de la administración pública se produjo la noche del 27 de febrero, cuando un atacante subió fotos de mujeres jóvenes a la cuenta de Instagram del Estado Mayor de la Defensa (EMAD).
Conclusiones:
La puesta en marcha del Centro de Operaciones de Seguridad de la Administración General del Estado permitirá impulsar la monitorización y vigilancia de las posibles ciberamenazas a altas instituciones del país, mejorando eficacia y eficiencia de los servicios ya existentes. Además facilitará el cumplimiento del Esquema Nacional de Seguridad (ENS) y permitirá focalizar los esfuerzo en este ámbito con la adopción de un Plan de Choque de Ciberseguridad y sentará las bases para una próxima Estrategia de Ciberseguridad Nacional que renueve la de 2019.
Bibliografía:
Amutio, M. A. y López, P. (13 y 14 de diciembre de 2017). “Un SOC para la AGE”. XI JORNADAS del CCN – CERT.. Extraído de: https://www.ccn-cert.cni.es/pdf/documentos-publicos/xi-jornadas-stic-ccn-cert/2581-m21-01-un-soc-para-la-age/file.html
Cózar, Carlos (25 de febrero de 2022). “Moncloa ordena a los altos funcionarios cambiar sus contraseñas por temor a un ciberataque ruso”. Tecnología. El Independiente. Extraído de: https://www.elindependiente.com/economia/2022/02/25/moncloa-ordena-a-los-altos-funcionarios-cambiar-sus-contrasenas-por-temor-a-un-ciberataque-ruso/?utm_source=share_buttons&utm_medium=twitter&utm_campaign=social_share
Muñoz, A. (14 de febrero de 2022). “El Gobierno centralizará toda la gestión de la ciberseguridad de sus organismos en su nuevo centro de operaciones”. Observatorio Digital. Invertia. El Español. Extraído de: https://www.elespanol.com/invertia/observatorios/digital/20220214/gobierno-centralizara-gestion-ciberseguridad-organismos-centro-operaciones/649435111_0.html
Sierra, M. (26 de febrero de 2022). “Ciberguerra: así utiliza el Kremlin tu teléfono para atacar a tu propio país”. Economía Vozpópuli. Extraído de: https://www-vozpopuli-com.cdn.ampproject.org/c/s/www.vozpopuli.com/economia_y_finanzas/ciberguerra-rusia-kremlim.html?amp=1
[1] https://www.h50.es/la-ciberseguridad-de-las-paginas-webs-gubernamentales/