Los ciberataques más peligrosos a las redes públicas casi se duplican en España durante el último año

El Centro Criptológico Nacional (CCN) gestionó el año pasado 118 ciberincidentes críticos, lo que supone casi el doble que en 2020, según el último informe sobre ciberamenazas y tendencias de este centro, que se encarga de la seguridad de los sistemas informáticos de la Administración. El CCN, dependiente del Centro Nacional de Inteligencia (CNI), clasifica como ciberincidentes críticos los de máxima peligrosidad; es decir, los que pueden afectar a la seguridad nacional o a infraestructuras estratégicas, interrumpir el suministro de servicios esenciales más de 24 horas o tener un coste superior al 0,1% del PIB.

Hasta el jueves, el servicio secreto y el Mando Conjunto de Ciberdefensa, encuadrado en las Fuerzas Armadas, celebran en la Ciudad de la Imagen (Pozuelo de Alarcón, Madrid) unas jornadas sobre ciberseguridad en las que participan unas 10.000 personas (3.600 de manera presencial) de 25 países, 108 entidades públicas y privadas y 120 empresas patrocinadoras, en lo que constituye el mayor evento de este tipo en España.

El objetivo de las jornadas es la construcción de un “ciberescudo único para España”, a través de la constitución de una Red Nacional de Centros Operativos de Ciberseguridad y de una Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes que permita mejorar la coordinación y la capacidad de detección y respuesta ante una amenaza creciente, según el subdirector del CCN, Luis Jiménez.

Entre los responsables de los ataques de ciberespionaje, los analistas del servicio secreto español identifican varias APT (Amenaza Persistente Avanzada) vinculadas a Estados extranjeros, como Irán (APT42), China (APT15), Corea del Norte (Lazarus/Hidden Cobra) o Rusia (Turla/Snake). La primera de ellas, dedicada hasta entonces al exilio y la oposición iraníes, pasó en 2020, coincidiendo con la pandemia, a tomar como objetivo la industria farmacéutica, lo que demostraría a juicio de los expertos que se adapta a las prioridades políticas de Teherán; mientras que la segunda se ha centrado en España en el sector gubernamental; y la tercera ha utilizado falsas ofertas de trabajo, a través de la red Linkedin, para hacerse con claves de directivos de la industria espacial y militar. Más preocupados se muestran los técnicos del CCN ante la detección, por primera vez este año, de un actor no identificado, con tácticas y procedimientos muy avanzados no vistos hasta ahora, que accede por un vector de entrada desconocido a routers de comunicaciones gubernamentales para capturar tráfico interno, por lo que resulta casi imposible de detectar.

El CCN constata un uso cada vez mayor de la red social Telegram por parte de hacktivistas y cibercriminales. “El punto de inflexión fue el asalto al Capitolio del 6 de enero de 2021, ya que, en los días posteriores, 25 millones de usuarios se dieron de alta en dicha plataforma debido a las reacciones de Twitter y Facebook, que eliminaron las cuentas de aquellos que consideraban responsables de haber incitado a la violencia, difundido desinformación o promovido ideologías extremistas”, explica. El informe constata también un mayor uso de Telegram por parte de cibercriminales, “debido al enfoque más laxo en la moderación de contenidos”, pero no recoge el giro de Twitter tras su reciente compra por el multimillonario Elon Musk, fundador de Tesla y Space X, así como afín al expresidente Donald Trump.

En la inauguración de las jornadas, la ministra de Defensa, Margarita Robles, ha subrayado que “la guerra de Ucrania ha puesto de relieve que el dominio del ciberespacio es esencial” y ha asegurado que el Gobierno es consciente de que hay que “estar cada día mejorando, innovando y dando pasados adelante en la ciberseguridad”.

El último informe del CCN recoge ya los primeros ataques vinculados a la guerra de Ucrania, como los sufridos por los equipos del Ministerio de Defensa y de los sistemas gubernamental y financiero de Kiev solo 24 horas antes de la invasión, algunos de carácter disruptivo pero otros directamente destructivos, mediante la infección con el malware Wiper, diseñado para borrar los archivos. También Bielorusia, principal aliado de Moscú, ha sufrido ataques por parte de hackctivistas.