Así se enfrenta la administración pública al reto de la ciberseguridad
En nuestro país, uno de cada tres ataques basados en secuestro de datos o ransomware afectó a usuarios de distintas plataformas de correo electrónico (19,1%), comercio electrónico (5,6%) y tarjetas de pago (6,3%). Los atacantes, además, se están aprovechando enormemente de las redes sociales.
El Hospital Clinic de Barcelona ha sido la última víctima conocida, pero el ayuntamiento de Durango (Vizcaya), Requena (Valencia) o el de Sevilla, el SEPE, el Ministerio de Hacienda o el Poder Judicial son otras de las instituciones que han sufrido en sus propias carnes el ataque de los ciberdelincuentes.
Quizá la pregunta es si realmente reciben más ataques que el resto de los sectores o si estos son más “visibles” cuando tienen éxito. Desde WatchGuad, Gloria Tamayo, Enterprise Account Manager Administración Pública, considera que sí son más visibles. “Aunque están haciendo sus deberes e incrementando los niveles de protección, en el momento en el que debido a un ciberataque dejan de dar servicio al ciudadano porque los recursos públicos dejan de funcionar, la repercusión y la visibilidad que tiene es a nivel nacional, no solo al ciudadano al que no se le da servicio”, señala. No obstante, la propia Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha constatado que desde la invasión ucraniana por parte de Rusia, la actividad de los ciberdelincuentes contra Gobiernos y administraciones “se ha disparado un 24%, así como también se han “exacerbado algunos cambios” en el ciberespacio que se venían produciendo, “como la actividad hacker” o el “ciberactivismo desarrollado en colaboración con acciones militares cinéticas, el cibercrimen o la financiación de estos por parte de los Estados””, detalla.
Álvaro Fernández, Sales Manager Iberia de Sophos, se basa en los resultados del informe sobre el estado del Ransomware en 2022 que ha llevado a cabo Sophos y que revela que el 66% de las empresas entre todos los sectores han sido atacadas por un ataque de ransomware. Por su parte, la administración pública se encuentra por debajo de la media, en un 58% de afectación. “Estando por delante otros sectores de actividad como pueden ser los medios de comunicación, comercio minorista, energía, gas, etc.”, concluye.
Las administraciones públicas son, más que nunca, objetivo de los cibercriminales. Según el Observatorio de Respuesta contra Ciberataques de firma de ciberseguridad Aiuken, los ciberataques contra la administración aumentaron hasta un 455% en tan solo 6 años, siendo ya una preocupación de índole alta.
También alude a un informe, en este caso el anual de ciberseguridad de Trend Micro, José de la Cruz, director técnico de la firma, para asegurar que el porcentaje de ataques recibidos por el sector público a nivel global se vio incrementado en 2022 frente a 2021. “El Sector Público trata datos sensibles que pueden comprometer tanto a las Administraciones como a los ciudadanos, por lo que garantizar la seguridad debe de ser una prioridad”, expone. Según el último Balance de Criminalidad, correspondiente al tercer trimestre de 2022 y editado por el Ministerio del Interior a partir de datos de las Fuerzas y Cuerpos de Seguridad del Estado, “se ha detectado una proliferación de los delitos en la red. En este informe de revela que en los nueve primeros meses de 2022, los ciberataques en España aumentaron casi un 90% con relación al mismo período de 2019”.
Sin embargo, Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), defiende que, al menos en su centor, no se disponen de datos para refrendar esta información. “Aunque se considera que la distribución es bastante homogénea, el cibercrimen sí tiene un mayor interés en estas organizaciones”, concede.
Continua progresando
Este mismo responsable explica a ByTIC que, en lo que a las administraciones públicas de nuestro país se refiere, “la mejoría en las diferentes facetas de ciberseguridad es manifiesta”, aunque a renglón seguido añade que “necesitamos impulsar en mayor medida la implementación de medidas de ciberseguridad, la adopción de procedimientos y la vigilancia continua de nuestros sistemas”. Esto se debe a que, tal y como reflexiona, “por desgracia, los atacantes van más rápido que nosotros y debemos avanzar con mayor celeridad en iniciativas que proporcionen una defensa activa, como son la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (PNNSC) y la Red Nacional de SOC. En este sentido, es también fundamental conseguir la plena aplicación del Esquema Nacional de Seguridad”.
Álvaro Fernández, Sales Manager Iberia de Sophos, cree que, de forma general, podemos decir que la administración pública española “no sólo está bien a nivel de seguridad, sino que está muy bien. ¿En qué nos basamos para dar esta afirmación? Según el informe «Índice Global de Ciberseguridad 2020», elaborado por la Unión Internacional de Telecomunicaciones (ITU), España ocupa el cuarto puesto global y el tercero europeo en el ranking como referencia en ciberseguridad. Aunque todo se puede mejorar y esto de la ciberseguridad no es una carrera con un final, sino que hay que estar siempre en continua evolución, podemos decir que vivimos en un país ciberseguro”. Además, cree que se observan “claramente los resultados de la aplicación del Esquema Nacional de Seguridad (ENS) y cómo desde el CCN también se ha hecho una gran contribución en la sensibilización de las organizaciones públicas en materia de ciberseguridad”.
Mientras, Raúl Guillén, director de estrategia de ciberseguridad de Trend Micro Iberia, considera que no se puede generalizar cuando hablamos de la postura de ciberseguridad de las administraciones españolas, dado que hay “distintos niveles de madurez y hay empresas públicas que son un ejemplo de buena gestión e inversiones eficientes”. En cualquier caso, asegura que hay “margen de mejora en la ciberresiliencia de las AA.PP. y, en esta línea, se están enfocando los fondos Next-Gen de la Unión Europea. Un claro ejemplo de revisión del modelo y optimización de la seguridad operativa es el de la Sanidad, donde se están lanzando consultas públicas para realizar una estrategia común de inversiones en materia de ciberseguridad”.
Gloria Tamayo, Enterprise Account Manager Administración Pública de WatchGuard, considera que los continuos ataques a organismos públicos que están saliendo a la luz “han supuesto un punto de inflexión en lo que a ciberseguridad se refiere, ya que la necesidad de protegerse a nivel informático se ha hecho patente y, por tanto, la concienciación es mucho mayor entre el personal que no forma parte de los equipos de ciberseguridad propiamente dichos”. En su opinión, estos últimos incidentes de los que hemos sido testigos “están haciendo que el nivel de madurez en ciberseguridad esté creciendo y que las administraciones públicas destinen más recursos económicos que les permitan incrementar su protección, pues aunque como digo, existe algo más de concienciación, lo cierto es que todavía queda un importante camino por recorrer”.
Presupuestos
Aunque la mejora en ciberseguridad no tenga en la asignación de presupuestos su única razón, sin duda las partidas económicas son importantes. En este punto, Gloria Tamayo vuelve a hacer referencia a los Fondos Europeos. “Muchos organismos y administraciones públicas, en cualquiera de sus niveles, que han sido capaces de poder presentar un proyecto incluyendo la parte de ciberseguridad están pudiendo acceder a esos fondos y ejecutarlos -no sólo en la parte de seguridad, sino también en el sentido más amplio de la propia transformación digital de nuestra AA.PP.- para adaptarla y que pueda responder a las necesidades actuales”. Esta responsable considera “fundamental” aprovechar estos fondos para conseguir una inversión adecuada y un compromiso a nivel europeo contra los ciberataques aunque se pregunta qué pasará cuando estas ayudas se acaben. “Es importante que se destinen partidas económicas al mantenimiento de estos proyectos, pues con los constantes avances tecnológicos y la propia evolución de las ciberamenazas, así como el incremento de la superficie de ataque, no mantener actualizadas y protegidas ciertas infraestructuras, puede ser catastrófico tanto para la Administración Pública como para el propio tejido socio-económico”, sentencia.
Como subraya Guillén, más allá de presupuestos “en todas las recomendaciones de ENISA y de INCIBE (tanto a nivel de políticas europeas como nacionales) la ciberseguridad es una prioridad en la hoja de ruta de las inversiones en ciberseguridad” por lo que el apoyo debería ser “constante y persistente en el tiempo, pues la inversión en ciberseguridad debe contemplarse como una cuestión de estado”.
El Sales Manager Iberia de Sophos asegura que el presupuesto ha aumentado considerablemente, así como el alcance de los proyectos de ciberseguridad. “Tenemos el ejemplo del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), sin duda un proyecto novedoso y ambicioso técnicamente hablando”, pero coincide en que el presupuesto en años venideros “deberá aumentar para poder operar la increíble dotación de infraestructura de ciberseguridad de la que se están aprovisionando”.
Porque, tal y como reconoce el jefe del Departamento de Ciberseguridad del CCN, “con la Transformación Digital forzada por el teletrabajo, los presupuestos han aumentado, aunque también lo han hecho los riesgos. Se espera que estos presupuestos se consoliden y que la posición del CISO / responsable de seguridad salga reforzada. Es necesario un tratamiento propio para la ciberseguridad que se debe plasmar en un incremento de recursos humanos y económicos”.
Destino del presupuesto
Otro tema importante es saber a qué se está destinando buena parte de dicho presupuesto. Según la experiencia de Álvaro Fernández, Sales Manager Iberia de Sophos, muchos organismos medianos (como diputaciones y agencias) están licitando herramientas de correlación de logs, Endpoints Detection and Response (EDR o XDR), SOAR, etc. “Están adquiriendo herramientas clave para desarrollar un centro de operaciones de ciberseguridad o SOC por sus siglas en inglés. Esto está muy bien dependiendo del punto de vista. Por un lado, ¿es necesario que las organizaciones cuenten con las capacidades y servicios que puede ofrecer un SOC moderno para minimizar la superficie de ataque y minimizar así los riesgos de sufrir un incidente de seguridad? La respuesta es clara, SI. Pero si nos remitimos al informe de Ponemon Institute podemos ver que el coste medio anual para mantener un SOC interno es de 2,86 millones de dólares. Además, si sumamos a esto el reto de conseguir recursos especialistas en ciberseguridad (son escasos y son caros) quizá no sea la mejor de las opciones el crear un SOC interno en un organismo público mediano. Existen muchas alternativas mucho más efectivas en coste y en resultados hablando de ciberseguridad, como por ejemplo los servicios gestionados de la detección y respuesta extendidas, (MDR o MXDR), donde un servicio externo de expertos en ciberseguridad llevará a cabo la detección y la respuesta ante amenazas, que también pueden llegar a hacer la gestión de la superficie de ataque (EASM por sus siglas en inglés)”, contextualiza.
Por su parte, Raúl Guillén, director de estrategia de ciberseguridad de Trend Micro Iberia, alude a la directiva NIS 2, aprobada en mayo de 2022, para señalar que “pone el foco en la respuesta a incidentes, gestión de las crisis, prevención de vulnerabilidades y pruebas Cyber. Y esto aplica a los sectores catalogados como “importantes”. Las empresas están por un lado reforzando sus medidas de protección con soluciones como el parcheado virtual o los EDR, así como en la mejora de la protección de los principales vectores de entrada como el correo electrónico, pero también están planificando invertir en hacer más eficiente la respuesta a incidentes que mejoren la visibilidad y optimicen la respuesta. En esta línea, las soluciones XDR deben de ser una prioridad para las AA.PP”. Además, hace referencia al Esquema Nacional de Seguridad (ENS), que define los principios básicos y requisitos que deben cumplir las distintas soluciones, categoriza y ayuda a elegir soluciones líderes y que cumplen con dichos requisitos. “Recordemos que aplica tanto la Administración General del Estado, como a las Administraciones de las Comunidades Autónomas, a entidades locales y empresas públicas”.
Como resume Javier Candau, hasta ahora las inversiones se concentraban en tecnologías de ciberseguridad que se implantaban de manera desagregada. “Es necesario invertir en sistemas que den una visión global de la postura de ciberseguridad de los organismos sin perder de vista sistemas que permitan integrarse con los sistemas nacionales”. Por ello, el patrón para el futuro “debe ser la recopilación de todas las fuentes de información propias que permita un avance significativo en nuestras capacidades de detección y respuesta”.
Retos añadidos
Como sabemos, la ciberseguridad es algo muy complejo para cualquier organización. Pero, en el caso de los organismos públicos, hay retos añadidos.
Tal y como explica Javier Candau, el sistema de contratación “no ayuda a una reacción rápida ante una emergencia. Los pliegos se resuelven tarde y los procesos son lentos en relación con la evolución de la tecnología”. Sin embargo, asume que “esas son las reglas del juego”, por lo que “la debilidad más relevante es la dificultad de realizar compras agregadas por varios organismos para conseguir servicios horizontales”.
Para el responsable de Sophos, es difícil realizar una tabla rasa entre todas estas administraciones. “Estas entidades se han ido construyendo y desarrollando bajo el mandato de diferentes signos políticos, y diferentes momentos económicos, lo que ha hecho que los retos a los cuales se enfrentan sean casi inherentes a su ser. Sumando esto a los largos procesos de contratación, tenemos un cóctel difícil de digerir, pero no imposible. Hay una fuerte iniciativa por parte de la administración pública por transformarse digitalmente, y no nos olvidemos de que España está por encima de la media europea en lo que a Administración Digital se refiere, así que tenemos motivos para alegrarnos y pese a los propios retos y dificultades, la administración pública española está a un muy buen nivel, no solo en ciberseguridad”, detalla.
Desde Trend Micro, José de la Cruz considera que una de las mayores trabas a las que se enfrentan es “la falta de agilidad en los procesos administrativos asociados a la adquisición de tecnologías y servicios de ciberseguridad”. Aunque considera que es cierto que “existen mecanismos de emergencia que aceleran este proceso, los ciberataques se producen de manera muy dinámica y no les permite reaccionar a tiempo”.
Por último, Gloria Tamayo, Enterprise Account Manager Administración Pública de WatchGuard Technologies, entiende que los tiempos en la Administración Pública no son los mismos que en el ámbito privado “debido, entre otras cosas, a las aprobaciones, controles y procesos burocráticos vinculados, que, por otra parte, son necesarios para garantizar un mayor control la gestión del dinero público”. Por eso, entre las dificultades que se encuentran las AA.PP. está la asignación de presupuestos y, por supuesto, los tiempos que manejan a la hora de sacar una licitación, que pueden llevar incluso a un año. A esto se suma el plazo que transcurre en los despliegues de los proyectos, lo que ralentiza a su vez el hecho de que puedan conseguir los niveles de protección óptimos que necesitan”.
Los retos, pues, pueden ser distintos pero en el fondo son siempre los mismos: intentar garantizar por todos los medios la ciberseguridad.