AAPP en el punto de mira: ciberseguridad para el bien público
Las administraciones públicas son uno de los principales objetivos de los ataques de seguridad, y por varias razones.
Los ciberataques contra el sector de la administración pública amenazan las actividades de la administración electrónica, la protección de datos gubernamentales y personales sensibles, así como el funcionamiento de los servicios. El conflicto entre Rusia y Ucrania ha puesto a los gobiernos de medio mundo en alerta, ya que se han producido ataques a la administración pública y a los sitios web gubernamentales de países que han demostrado su apoyo a Ucrania.
Los ataques contra la administración pública, incluidas las instituciones gubernamentales nacionales y locales, repercuten en la población civil tanto por el impacto en el acceso a servicios públicos clave como la sanidad, los servicios sociales, la migración, la educación, como por la información oportuna y fiable. Durante el conflicto, los ciberataques han contribuido a socavar la confianza en las instituciones del Estado y a controlar el espacio informativo mediante la difusión de desinformación y propaganda, en función de objetivos geopolíticos.
Uno de los principales objetivos de la Directiva NIS2 es garantizar la estabilidad de las infraestructuras europeas esenciales en caso de ciberataques perturbadores. Por esta razón, la Directiva va a tener amplias implicaciones para el sector de la administración pública, ya que las brechas de seguridad en este sector podrían poner en peligro información sensible de los ciudadanos e interrumpir servicios públicos esenciales, creando desestabilización a nivel local y nacional.
La ENISA registró aproximadamente 2580 incidentes durante el período de notificación que va desde julio de 2022 hasta junio de 2023. A este total hay que añadir 220 incidentes dirigidos específicamente a dos o más Estados miembros de la UE.
Si vemos los números de los ataques, podemos ver cómo uno de los sectores más afectados son las administraciones públicas, con un 19 %, y la sanidad, con un 8 %. Sin embargo, debido a las interdependencias, se observa un efecto en cascada, ya que un solo incidente suele afectar a varios sectores a la vez.
Del total de actos relacionados con la ingeniería social, el 30% se dirigieron al público en general, el 18% a la administración pública y el 8% a todos los sectores. Asimismo, las campañas de manipulación de la información se dirigieron a particulares en un 47%, a la administración pública en un 29%, seguida de la defensa en un 9% y de los medios de comunicación/entretenimiento en un 8%. Las campañas de manipulación de la información se consideran una amenaza importante para los procesos electorales.
Quizá una de las primeras preguntas es por qué los atacantes han puesto su mirada en los organismos públicos. “Los ciberataques pueden ser utilizados como herramienta de activismo político o espionaje, con el objetivo de influir en la política nacional o recopilar información estratégica”, explica Marc Sarrias, Country Manager de Palo Alto Networks en España y Portugal. “La falta de inversión adecuada en seguridad cibernética y la presencia de sistemas obsoletos hacen que sean sujetos especialmente vulnerables a los ataques. Manejan una gran cantidad de información confidencial y sensible, como datos personales de ciudadanos, información financiera y registros de salud, lo que los convierte en un objetivo atractivo para el robo de datos. Además, son responsables de la gestión de infraestructuras críticas, como sistemas de energía, transporte y comunicaciones, lo que las convierte en un objetivo para aquellos que desean causar daño económico o interrumpir la vida cotidiana de los ciudadanos”, añade.
Miguel Ángel de Castro, ingeniero de ventas de CrowdStrike, coincide en que hay varias razones. “De forma simple podemos decir que varios tipos de adversarios, como los hacktivistas y los adversarios patrocinados por estado nación, perciben a las AAPP como un objetivo rentable en función de sus motivaciones concretas”, detalla. Pero si pensamos en atacantes del ciber crimen y que su motivación es principalmente la monetización, “la gran mayoría de estos adversarios son oportunistas, es decir, si disponen de un vector de entrada y la capacidad de monetizar con éxito, lo harán, al margen de ser una AAPP o no. Pero es interesante señalar que la probabilidad de éxito de un adversario de Ecrime, se ve incrementada cuando la víctima debe prestar servicios con sus sistemas de información, y en el caso de las AAPP, los servicios que ofrecen suelen ser vitales y, en algunos casos, ligados a infraestructuras críticas, lo que aumenta su atractivo como objetivo prioritario de ataque”.
Principales amenazas
El ransomware sigue ocupando el primer puesto del podio, con un 34% de las amenazas de la UE, mientras que el DDoS representa el 28% de todas las amenazas.
El ransomware se dirige a todos los sectores, con el sector de fabricación alcanzando el 14% de todos los eventos de ransomware, seguido por la sanidad con el 13%, la administración pública con el 11% y los servicios con el 9%.
En cuanto a los ataques DDoS y las amenazas relacionadas con los datos, el 34% de los ataques DDoS se dirigieron a la administración pública, seguida del transporte con un 17% y los sectores bancario y financiero con un 9%.
El alcance del impacto de los ataques a la cadena de suministro surge como una preocupación sustancial en relación con las próximas elecciones. Esto se debe a que tales ataques afectaron a la administración pública en un 21% y a los proveedores de servicios digitales en un 16%. Además, la explotación de vulnerabilidades se asoció a sucesos que afectaban a los proveedores de servicios digitales en un 25%, a las infraestructuras digitales en un 23% y a la administración pública en un 15%.
He sido atacado
Como vemos, cada vez son más las AAPP que sufren un ciberataque. La buena noticia es que, más tarde o más temprano, estos organismos se recuperan y vuelven a su actividad.
Tanto Angelines Turón, Subdirectora General de TI y Comunicaciones en Ministerio de Trabajo y Economía Social, como Andrés Prado, jefe de informática de la Universidad de Castilla La Mancha (UCLM) han vivido esta situación. ¿Qué aprendieron de aquella experiencia? “Que la Seguridad es una parte extremadamente importante para el correcto funcionamiento de las organizaciones, y debe abordarse de forma integral, global y transversal por parte de todos los implicados, que hay que tener claras las interdependencias entre sistemas internos y externos, que hay que tener claros los planes de contingencia, es imprescindible las herramientas de control y gestión de los puestos de usuario y servidores con capacidades de detección temprana y equipos especializados en materia de seguridad”, explica Turón.
Mientras, Prado considera que la principal lección es un cambio de enfoque. “La cuestión ya no es prevenir el ataque, sino que adicionalmente es necesario estar preparado para cuando éste suceda. Porque sucederá”, subraya, añadiendo que hay que destacar lo transversal de la ciberseguridad. “Esta cuestión siempre se menciona cundo se habla de responsabilidad sobre la ciberseguridad pero es absolutamente aplicable a la fase de recuperación. En una situación tan complicada, es necesario entender que hay muchos ámbitos a abordar. No es exclusivamente una fase técnica, es necesario gobernar la situación, establecer las prioridades en cada momento y realizar una comunicación interna y externa adecuada que genere un entorno que no dificulte aún más la situación”.
En este punto, este responsable considera que a nivel más técnico, “hemos asumido el nivel de riesgo real que existen en las identidades digitales de nuestros usuarios, en sus dispositivos o la red de comunicaciones que nos conecta. Se han tomado medidas en materia de protección de las identidades de nuestros estudiantes, profesores, investigadores y personal de gestión; hemos desplegado mecanismos de detección y actuación automatizada en dispositivos y hemos abordado medidas de Confianza Cero hacia el exterior y entre las diferentes zonas de una red tan heterogénea como la universitaria. Muchas de esas medidas estaban ya diseñadas y, lamentablemente, el Ciberataque sirvió de catalizador para su despliegue, pero también para entender claramente dónde existe un riesgo real y evidenciable”.
Prevención
Ante este panorama, hemos querido preguntar a los especialistas en seguridad si en el caso de los organismos públicos hay mayor conciencia por la prevención y no tanto por la recuperación ante un posible incidente.
Miguel Ángel de Castro, ingeniero de ventas de CrowdStrike, cree que la visibilidad, la prevención y la recuperación son claves cuando se trata de ciberseguridad. “La seguridad comienza cuando uno descubre dónde no está protegido, de forma que pueda cerrar las brechas y estar mejor preparado para enfrentarse a las amenazas, lo que hace que la visibilidad sea tan importante”, explica. Sin embargo, considera que las administraciones públicas “a menudo no logran prevenir los ataques” aunque “afortunadamente, las administraciones públicas han mostrado en los últimos años una evolución en su madurez y un aumento de su presupuesto para la protección de sus sistemas de información. Sin embargo, todavía están reemplazando los sistemas de protección tradicionales por sistemas de nueva generación y aún no se han centrado en la adquisición de servicios centrados en la recuperación”.
Según su visión, en organizaciones muy maduras, “la planificación y los servicios disponibles para las acciones de recuperación suelen consistir en personal del equipo de respuesta a incidentes y planes muy bien definidos. En definitiva, esta falta de madurez se ve acentuada por la propia idiosincrasia de las Administraciones Públicas y los procesos a los que están sometidas. Si se mantiene la dinámica actual, es sólo cuestión de tiempo que estas capacidades se encuentren disponibles”.
Por su parte, Marc Sarrias, Country Manager de Palo Alto Networks en España y Portugal, considera que se ha de promover un enfoque equilibrado entre la prevención y la recuperación a la hora de hablar sobre ciberseguridad. “La prevención es un componente crítico para evitar ataques cibernéticos y proteger la infraestructura y los datos de las organizaciones, incluidos los gobiernos. Esto implica la implementación de tecnologías de seguridad avanzadas, sistemas de detección y prevención de ataques, así como la capacitación del personal en materia de seguridad cibernética”. Este experto considera que no es la primera vez que se pone de manifiesto que las democracias en Occidente “son vulnerables a los ataques de todo tipo de entidades, estatales o privadas”, por lo que “el enfoque de los gobiernos no debe estar fragmentado y la legislación se tiene que mantener al día. Pero, sobre todo, se debe desarrollar conciencia sobre la importancia de estar protegidos en este campo y que no solo el sector de la defensa debe estar pendiente de este tipo de amenazas”.
Sin embargo, “durante los últimos años hemos visto un claro aumento en la inversión en soluciones de seguridad de carácter preventivo, por parte de administraciones públicas y organizaciones. En este contexto, la recuperación también es importante. En caso de que se produzca un incidente cibernético se debe contar con planes de respuesta bien definidos y capaces de detectar y contener rápidamente brechas de seguridad. Asimismo, tanto organizaciones como la administración pública han de ser capaces de aprender de cualquier tipo de incidente como última parte de la fase de recuperación, de esa forma, podrán mejorar su seguridad de cara al futuro”.
Equilibrio de fuerzas
Andrés Prado cree que puede ser cierto que hemos pasado “demasiado tiempo visualizando la ciberseguridad de las AA. PP. desde la perspectiva de la prevención y no tanto de la recuperación. Incluso diría que desde la perspectiva del cumplimiento normativo como objetivo a alcanzar”, pero considera que todos estos aspectos deben matizarse con cuidado. Por ejemplo, “siendo absolutamente necesario el trabajo realizado hacia el cumplimento de un marco normativo que ha ayudado mucho a nuestras instituciones, se ha evidenciado que no es suficiente. O quizá que nos hemos orientado tanto hacia el cumplimiento como eje central de la estrategia de ciberseguridad, que los pasos que hemos ido dando en el cumplimiento, complejos y frecuentemente con recursos insuficientes, nos han generado un cierto nivel de satisfacción o complacencia truncado abruptamente por la realidad de los ciberataques”. Pero, además, considera que debemos tener también en cuenta que “lo que más rápido ha evolucionado ha sido la dimensión de la amenaza a la que, en materia de ciberseguridad, se enfrentan las AA.PP., así como su impacto ya constatable en situaciones como la que nosotros sufrimos en la primavera de 2021” (cuando la UCLM sufrió un ciber ataque), lo que también condiciona la aproximación a la problemática. “Han pasado ya casi tres años y observo iniciativas que ya tienen en cuenta la cruda realidad del riesgo, coordinando esfuerzos en prevención, pero también en monitorización y recuperación”, comenta.
Por su parte, Turón entiende que, desde el punto de vista de la SGTIC del Servicio Público de Empleo Estatal, y con independencia de la importancia de la prevención, “es imprescindible disponer de los planes de recuperación, como elementos complementarios a los de prevención para mitigar el riesgo de impactar al ciudadano. Además, estos planes deben someterse a revisión continua y actualización que permita su garantizar su efectividad. Dichos planes, representan un trabajo de gran magnitud y complejo en general para las AAPP, sobre todo en organizaciones que cuentan con gran dispersión geográfica y múltiples servicios al ciudadano como la nuestra”.
En su experiencia, el auge de los mecanismos de prevención se produce porque la “inversión en mecanismos de prevención es esencial para solventar situaciones problemáticas en fases más tempranas, por tener un impacto directo e inmediato en el riesgo global, ya que las medidas preventivas reducen significativa e instantáneamente el peligro de sufrir un impacto negativo por ataques externos/internos tanto a nivel de fuga de información, como de pérdida de servicio y prestigio e imagen pública”. Además, asegura que las medidas de prevención “suelen ser más económicas que las que supondrían las medidas correctivas ante esos posibles daños por lo que son medidas que son valoradas positivamente en la organización. Es una postura fácilmente comprensible la actualización y mejora constante de las TTPs (Técnicas, Tácticas y Procedimientos) de protección dado la evolución continua y cada vez más sofisticada de los ataques que se producen en la actualidad en las organizaciones”.
Qué se hizo bien y qué se pudo haber hecho mejor
Con la perspectiva que da el tiempo transcurrido, hemos preguntado a los dos responsables de AAPP que se enfrentaron a un ataque qué se hizo bien en aquella situación y qué, sin embargo, ahora se plantearía de otra manera.
En este sentido, Angelines Turón destaca como muy positiva la actuación temprana en la detección del incidente, la aplicación de medidas de control para poder establecer la hoja de ruta para la inspección de los sistemas, auditorias de los mismos y restauración del servicio dando las prioridades a aquellos elementos más importantes del servicio al ciudadano y a las CCAA. “El trabajo coordinado y el esfuerzo de todos los equipos internos del organismo, junto con la buena predisposición y competencia aportada por los especialistas externos que colaboraron en el proceso de estabilización y recuperación de los servicios” fue otro de esos aciertos, así como “disponer de un plan de recuperación ante desastres completo y probado periódicamente, además de un centro de respaldo de los servicios básicos ofrecidos a los ciudadanos”.
“Nosotros creemos que las actuaciones realizadas fueron las correctas, que sirvieron para restaurar el servicio lo antes posibles, implantamos nuevas herramientas de seguridad y control que permitieron elevar la seguridad de la organización”, defiende esta responsable, que también señala que estamos ante un camino que “está en constante evolución y siempre hay que seguir trabajando en la mejora continua con nuevas herramientas esta vez más orientadas a la prevención y protección que es por lo que estamos apostando actualmente”.
Mientras, el responsable de la Universidad manchega reconoce que se analizaron muchos aspectos de todo el proceso. “Estas situaciones suceden en momentos que no son aleatorios. En nuestro caso, un domingo por la noche. Disponer de un servicio de monitorización 24×7 de nuestras infraestructuras fue esencial para aportar una respuesta rápida. La evolución de estas infraestructuras hacia entornos cloud nativos, fundamentalmente serverless, nos ha demostrado también un incremento de nuestra resiliencia, especialmente ante ataques de tipo ransomware como el que sufrimos”, detalla.
Pero, además, destaca cuestiones no de carácter técnico. Por un lado, “esa misma noche fuimos capaces de ser realistas, de asumir la situación y de reconocer que no seríamos capaces de abordar con garantías de éxito temprano una recuperación sin el soporte de profesionales especializados en esta situación. Por otro, más lejos aún del componente técnico, destaco siempre la labor de comunicación. Tuvimos claro desde la misma noche del suceso que era necesario generar una comunicación clara y transparente que finalmente generó un entorno de empatía en el proceso de recuperación de gran impacto. Por último, es necesario destacar el reparto de roles que asumimos todos los implicados desde la alta dirección hasta los técnicos, responsables últimos del gran trabajo de recuperación. Delimitar bien esas responsabilidades fue esencial para maximizar la eficiencia del trabajo desarrollado”, subraya.
A renglón seguido, reconoce que hay “muchas” cosas que podrían haberse hecho mejor, pero se queda con la que considera principal: “nuestro principal error fue no haber asumido antes que un ciberataque era una situación a la que nos íbamos a enfrentar. No creo que el nivel de tensión sufrida las primeras horas hubiera disminuido, pero con toda seguridad habríamos dado pasos en un proceso que habría sido analizado previamente y habríamos tenido una referencia clara donde acudir en caso de, como sucedió, evaluar la necesidad de un apoyo externo especializado”, explica, añadiendo que también se dieron cuenta de que “teníamos proyectos clave para la mejora de nuestro nivel de exposición que no habíamos sido capaces de desplegar. Proyectos que estaban prácticamente terminados a nivel técnico y de los que no habíamos conseguido trasladar su impacto. Lamentablemente el impacto lo pudimos comprobar en un caso real, pero creo que eso pone de manifiesto que no habíamos conseguido un nivel de concienciación en ciberseguridad suficiente”.
Algunos consejos
La ciberseguridad es tan amplia como compleja. Pero hemos querido saber cuáles serían los principales consejos que, de cara a las administraciones públicas, darían estos expertos.
“Las AAPP han mostrado una evolución en su madurez en lo relativo a la ciber seguridad, por lo que el primer consejo sería que sigan el camino que ya están recorriendo”, subraya Miguel Ángel de Castro, quien, no obstante, destaca varios puntos de interés.
• Hacer que la protección de la identidad sea imprescindible:
“Debido a las altas tasas de éxito, los ataques de ingeniería social y basados en identidades aumentaron en 2023. Las credenciales robadas otorgan a los adversarios acceso y control rápidos, una puerta de entrada instantánea a una infracción. Para contrarrestar estas amenazas, es esencial poner en marcha la autenticación multifactor resistente al phishing, y extenderla a sistemas y protocolos heredados, educar a los equipos sobre ingeniería social e implementar tecnología que pueda detectar y correlacionar amenazas en entornos de identidad, endpoints y nube”.
• Priorizar las plataformas de protección de aplicaciones nativas de la nube (CNAPP)
“La adopción de la nube se está disparando a medida que las empresas se dan cuenta del potencial de innovación y agilidad empresarial que ofrece la nube. Debido a este crecimiento, la nube se está convirtiendo rápidamente en un importante campo de batalla para los ciberataques. Las empresas necesitan visibilidad total de la nube, incluidas las aplicaciones y las API, para eliminar configuraciones erróneas, vulnerabilidades y otras amenazas a la seguridad. Los CNAPP son fundamentales: las herramientas de seguridad en la nube no deberían existir de forma aislada, y los CNAPP proporcionan una plataforma unificada que simplifica el monitoreo, la detección y la actuación ante posibles amenazas y vulnerabilidades de seguridad en la nube”.
• Obtener visibilidad en las áreas más críticas de riesgo empresarial.
“Los adversarios a menudo usan credenciales válidas para acceder a entornos de víctimas orientados a la nube y luego usan herramientas legítimas para ejecutar su ataque, lo que dificulta a los defensores diferenciar entre la actividad normal del usuario y una infracción. Para identificar este tipo de ataque, es importante comprender la relación entre la identidad, la nube, el endpoint y la telemetría de protección de datos, que pueden estar en sistemas separados. Al consolidarse en una plataforma de seguridad unificada con capacidades de IA, las organizaciones tienen visibilidad completa en un solo lugar y pueden controlar fácilmente sus operaciones. Con una plataforma de seguridad consolidada, las organizaciones ahorran tiempo y dinero y pueden descubrir, identificar y detener infracciones de forma rápida y segura”.
• Eficiencia en la conducción: los adversarios son cada vez más rápidos
“Los ciberdelincuentes necesitan un promedio de 62 minutos (y los más rápidos solo 2 minutos) para moverse lateralmente desde un host inicialmente comprometido a otro host dentro del entorno. Las soluciones SIEM heredadas ya no funcionan: son demasiado lentas, complejas y costosas, y fueron diseñados para una época en la que los volúmenes de datos (y la velocidad y sofisticación del adversario) eran una fracción de lo que son hoy. Las empresas necesitan una herramienta que sea más rápida, más fácil de implementar y más rentable que las soluciones SIEM heredadas”.
• Construyendo una cultura de ciberseguridad
“Aunque la tecnología es claramente fundamental en la lucha para detectar y detener intrusiones, el usuario final sigue siendo un eslabón crucial en la cadena para detener dichas intrusiones. Se deben iniciar programas de concienciación de los usuarios para combatir la amenaza continua del phishing y las técnicas de ingeniería social relacionadas. Para los equipos de seguridad, la práctica hace la perfección. Fomentar un entorno que realice rutinariamente ejercicios prácticos y equipos rojo/azul para identificar brechas y eliminar debilidades en sus prácticas y respuesta de ciberseguridad es esencial también en las AAPP”.
Como resumen Marc Sarrias, para mejorar la ciberseguridad en las administraciones públicas es “fundamental implementar una serie de medidas clave. Se debe priorizar la concienciación y la formación del personal, asegurándose de que estén capacitados en prácticas de seguridad cibernética. Además, es importante mantener actualizados y parchear regularmente los sistemas y software para protegerse contra vulnerabilidades conocidas. Limitar el acceso a los sistemas y datos solo a personal autorizado, junto con el uso de autenticación de dos factores, puede ayudar a prevenir el acceso no autorizado”.
De esta forma, este responsable recomienda la “realización periódica de copias de seguridad de los datos y el establecimiento de un plan de respuesta a incidentes son pasos importantes para mitigar el impacto de posibles ataques. Colaborar con los organismos gubernamentales de ciberseguridad y realizar evaluaciones periódicas de la seguridad también son buenas prácticas. En última instancia, fomentando una cultura de ciberseguridad en toda la organización para garantizar que la seguridad sea una prioridad en todas las actividades y decisiones”.