En marzo de 2021, durante varios días, el Servicio Público de Empleo Estatal (SEPE) estuvo inoperativo por un ciberataque. Tan solo tres meses después, el Ministerio de Trabajo y Economía Social era víctima de nuevo ataque informático.
Si hay algo que ha traído consigo la digitalización, además de bondades, también es una mayor exposición de los servicios públicos a los ciberdelincuentes.
De hecho, según el último informe de Deloitte, durante el pasado año, el 94% de las empresas españolas sufrió, al menos, un incidente grave de ciberseguridad.
En este sentido, casi el 69% de las empresas afirma que ha sufrido entre 1 y 2 ciberincidentes de gravedad durante este último año, agravándose la situación para el 25% de las empresas que afirma haber sufrido más de 2 ciberataques en 2021.
Y, junto a sectores cómo Seguros, TMT (Telecomunicaciones, Medios de comunicación y Tecnología), Fabricación, Banca, la Administración Pública se encuentra por encima de los dos incidentes de media al año.
El Gobierno anuncia la creación del Centro de Operaciones de Ciberseguridad específico para la Administración General del Estado (AGE) y sus organismos públicos
En la misma línea se sitúa el informe de Check Point Research que señala cómo, en 2021, en España, se produjeron una media de 1040 ciberataques a la semana por organización, aumentando en un 79% con respecto al año anterior.
De ellos y tras educación/investigación, es el sector gubernamental/militar, el segundo más atacado con 1.136 ciberataques por semana (47% de incremento, respecto al año anterior.)
Una alarmante situación ya que si para una organización privada el coste de un ataque de este tipo, tanto económicamente como a nivel reputación, es enorme, en el caso del Sector Público estamos hablando de que las víctimas de la ciberdelincuencia son, en última instancia, los ciudadanos.
Los datos del ciudadano en riesgo
Desde datos de tráfico a datos sanitarios, de estudiantes, de patrimonio, de sociedades… Las distintas administraciones (Central, autonómica y local) son las garantes de la información de cada ciudadano, un cometido que los ciberataques dejan gravemente comprometido.
Pero además de esta amenaza para la seguridad y confidencialidad de los datos de los ciudadanos, un ciberataque supone también la suspensión de actividades y servicios tan críticos como los sanitarios o los administrativos.
Por ello, el Gobierno anunciaba recientemente una nueva medida con el objetivo de reducir al máximo posible el número de ciberataques, la creación un Centro de Operaciones de Ciberseguridad (COCS ) específico para la Administración General del Estado (AGE) y sus organismos públicos.
Su puesta en marcha y funcionamiento ha sido adjudicada a una Unión Temporal de Empresas (UTE) formada por Telefónica e Indra por cerca de 46 millones de euros, que se financiarán, en gran medida, con los fondos europeos Next Generation.
Como explican desde el Ejecutivo, el Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), previsto en la Medida 9 del Plan de Digitalización de las Administraciones Públicas 2021 – 2025, “es un servicio compartido y de prestación centralizada, dirigido a proporcionar protección a la Administración General del Estado y sus organismos públicos, con el fin de aumentar la capacidad de vigilancia y detección de amenazas en la operación diaria de sus sistemas de información y comunicaciones, así como de mejorar su capacidad de respuesta ante eventuales ataques”.
Una estrategia y visión centralizada para mejorar la ciberseguridad de los organismos públicos y que busca además que, mediante optimización y economías de escala, este centro permita una mejor eficacia y eficiencia, con los ahorros de dinero, esfuerzo y tiempo derivados.
Plan de Choque de Ciberseguridad
Esta apuesta decidida y necesaria del Gobierno por intentar frenar los ataques cibernéticos a la Administración Pública se suma al Plan de Choque de Ciberseguridad, aprobado en mayo de 2021 y que tiene como objetivo “reforzar de manera inmediata las capacidades de defensa frente a las ciberamenazas sobre el sector público y sobre las entidades que suministran tecnologías y servicios al mismo”.
En ese sentido, el Plan de Choque incluye medidas como la protección frente al código malicioso (especialmente del tipo orientado a la destrucción de la información mediante su cifrado) o la extensión de los servicios para la detección de ciberamenazas en equipos de usuario y la implantación de la vigilancia de accesos remotos, medidas cada día más relevantes con la incorporación de algunos empleados públicos al trabajo en remoto o el llamado “modelo híbrido laboral”.
El Plan del Gobierno no olvida tampoco inversiones para el refuerzo de las capacidades de búsqueda de amenazas, la ampliación de las capacidades de ciberinteligencia, la extensión de la aplicación del uso del segundo factor en los procesos de identificación y autenticación, el despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes, la continuidad de negocio y la recuperación ante desastres, la concienciación y la formación, y la revisión de la normativa de ciberseguridad.
Suspenso en el protocolo DMARC
Precisamente, en esa extensión de los servicios para la detección de ciberamenazas en los equipos del usuario, recientemente un informe de Proofpoint revelaba cómo la Administración Pública española suspende en la implantación del protocolo DMARC, acrónimo en inglés de Domain-based Message Authentication, Reporting and Conformance.
Este sistema permite que las organizaciones pueden bloquear activamente los correos electrónicos fraudulentos para que no lleguen a sus destinatarios, protegiendo a los usuarios de los ciberdelincuentes que buscan suplantar su marca.
Proofpoint hacía público cómo el uso del protocolo DMARC por parte de las principales administraciones públicas españolas no está tan generalizado como debiera y así revelaba que el 83% de los sitios web de los Ministerios y de la Presidencia del Gobierno no tienen implantada ninguna política de DMARC, lo que significa que no están tomando ninguna medida para proteger proactivamente a los ciudadanos contra los riesgos del fraude por correo electrónico.
En cuanto a las Comunidades Autónomas, sólo 10 han publicado registros DMARC, lo que significa que el 41% no protege proactivamente a los ciudadanos del riesgo de fraude por correo electrónico.
Por último y no menos preocupante, el análisis concluye que no hay datos de registro DMARC para algunos de los principales servicios de la administración electrónica en España, lo que significa que el 100% está dejando a los usuarios expuestos al fraude por correo electrónico.