El CNI envía recomendaciones a los partidos para evitar ciberataques en campaña que puedan alterar el voto el 28-M

El Centro Criptológico Nacional (CCN) ha elaborado para los partidos políticos una “breve guía de ciberseguridad” con consejos y directrices para que minimicen, durante la campaña para las elecciones del 28 de mayo, el riesgo de ser víctimas de ataques informáticos y campañas de desinformación. En el documento, distribuido por la Junta Electoral Central el día 11 y de 78 páginas de extensión, el organismo dependiente del Centro Nacional de Inteligencia (CNI) muestra su preocupación por el hecho de que “un ciberataque a los sistemas informáticos de un partido político, que tenga como resultado la divulgación pública de información robada de los ordenadores, teléfonos móviles o servidores informáticos [...] durante una campaña electoral o en la propia jornada de reflexión de la población convocada a las urnas, puede tener un impacto directo y significativo en la conducta electoral del votante”.

El documento recalca que, si bien “a menudo se piensa que un ciberincidente grave durante un proceso electoral sería el derivado de un ataque informático a los sistemas de procesado de resultados electorales”, los comicios también pueden verse condicionados gravemente con “un ciberataque selectivamente medido y dirigido contra los sistemas informáticos de uno o varios partidos políticos, con el fin de desvelar información sensible de partidos políticos o de sus miembros, que luego sea tergiversada ante la opinión pública”. Esto, concluye, “puede condicionar ilegítima e ilegalmente las dinámicas democráticas”.

Para evitarlo, la guía elaborada por el CCN, a la que ha tenido acceso EL PAÍS, aconseja a los responsables de las formaciones que adopten diversas medidas de control en el acceso a su información interna, de protección de sus sistemas informáticos y teléfonos móviles, y de seguridad en las cuentas en redes sociales. El documento concluye con instrucciones sobre cómo deben actuar las formaciones si detectan que se ha producido uno de estos incidentes y para que aleccionen a sus candidatos y dirigentes en la toma de medidas de ciberprotección en el día a día. No obstante, también recalca que esta guía, que califica de “recopilatorio de sugerencias de ciberseguridad”, no debe “sustituir la necesidad” de que los partidos desarrollen “sus propios sistemas de gestión de la seguridad de la información de manera sistemática y profesional”.

La elaboración de este documento fue una recomendación surgida hace algo más de dos años del Consejo de Seguridad Nacional (CSN, encargado de asesorar al presidente del Gobierno ante situaciones de emergencia) después de que los protocolos policiales puestos en marcha en 2019 por Interior para combatir durante las tres campañas electorales de aquel año las llamadas fake news o bulos y proteger el sistema informático de recuento de votos ante un posible ataque informático detectasen “numerosos ciberincidentes”, todos ellos de baja peligrosidad.

En aquella ocasión, el departamento de Fernando Grande-Marlaska activó a un centenar de agentes junto a expertos de otros organismos de ciberseguridad para rastrear redes sociales e internet con el fin de prevenir estos ataques y neutralizarlos, pero no implicaba directamente a los partidos a pesar de que aquellos documentos ya alertaban de “posibles ataques contra actores del sistema”, en referencia a las formaciones políticas y otros organismos implicados en los comicios.

La guía difundida ahora entre los partidos pretende que estos se involucren “en la consecución de la ciberseguridad de redes y sistemas informáticos como un factor de garantía en la lucha contra la desinformación en el ámbito electoral, dada la trascendencia que los partidos políticos tienen en nuestro sistema electoral”. Para ello, plantea a los partidos la necesidad de “prepararse de la mejor manera posible para hacer frente a las amenazas híbridas [ciberataques y propaganda desestabilizadora] y reduzcan sus vulnerabilidades”. En este sentido, les propone lo que denomina “una lista de chequeo” que les permita saber “qué se está cumpliendo y qué debería de cumplirse para garantizar un estándar de ciberseguridad”. Con ello, asegura, “los partidos tendrán menos probabilidades de ser victimizados en esquemas maliciosos de desinformación dirigidos a manipular a la población española”.

El documento pone el foco en las dos “tácticas” de los ciberdelincuentes que “acumulan el mayor volumen de incidentes informáticos en todos el mundo y cada año”. Por un lado, la entrada en los equipos aprovechando “fallos de software” y, por otro, “la manipulación de la conducta del usuario de sistemas informáticos para conducirle a realizar acciones”, como pinchar en el enlace de un mensaje que han recibido para que un virus informático infecte el dispositivo. En este sentido, la guía destaca que los ciberataques pueden ser, en realidad, una sucesión de acciones encadenadas pero independientes, cuyos autores tengan distintas motivaciones, desde económicas a ideológicas.

Como ejemplo describe un escenario en el que un “primer atacante” infecte con un webshell (programa malicioso que permite al ciberdelincuente entrar sin trabas en un equipo informático) que permite, a su vez, que un segundo inserte un virus troyano (que da el control en remoto desde otro equipo) para alquilarlo a un tercer atacante que puede inocular un ransomware (que encripta los datos de un sistema para luego solicitar un rescate a cambio de liberarlos) y que un cuarto se haga con la información sensible del partido para venderla a un quinto interesado en provocar “un incidente electoral en un país”, recalca el CCN. “Esta información robada y publicada puede tergiversarse a su vez mediante técnicas de desinformación, con el objetivo de torcer la percepción de partes de una comunidad de votantes”, añade.

Por todo ello, el CCN insiste a los partidos en la necesidad de que creen “un ecosistema de ciberseguridad” sobre su información más sensible, y que va desde aquella que reciben del Estado y que está sometida a la Ley de Secretos Oficiales o está clasificada como “confidencial” o “difusión limitada” a aquella de carácter personal amparada por la ley de protección de datos. A toda ella, la guía pide añadir parte de la “información interna” de los propios partidos, entre los que incluye la que recoge con detalle los “procesos organizativos y finanzas”, la utilizada para dejar constancia de “deliberaciones internas, estrategias, planes, intenciones o conversaciones privadas con terceros” o la de “encuestas, acciones prospectivas o métodos de acción”. También pide proteger el contenido de correos electrónicos enviados o recibidos en cuentas de la formación y la documentación que detalle, precisamente, “los sistemas de seguridad y ciberseguridad”, así como los que muestren los sistemas tecnológicos utilizados y las credenciales de autenticación para acceder a esta información sensible.