La ciberseguridad en la Administración Pública, a revisión
La ciberseguridad es, y seguirá siendo, una de las principales preocupaciones (y ocupaciones) de los responsables de la Administración Pública. ¿En qué estado nos encontramos y a qué nos enfrentamos?
La digitalización ha transformado profundamente el funcionamiento de las administraciones públicas en España, optimizando procesos, mejorando la eficiencia y facilitando el acceso de los ciudadanos a los servicios públicos. Sin embargo, esta transformación también ha incrementado exponencialmente la exposición de las administraciones a las ciberamenazas, convirtiendo la ciberseguridad en un pilar fundamental para garantizar la integridad, confidencialidad y disponibilidad de la información y los servicios digitales.
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, es el marco de referencia para la protección de la información en el sector público. Este esquema establece la política de seguridad que las administraciones públicas deben implementar para garantizar la protección adecuada de sus activos de información y la continuidad de los servicios digitales que prestan a la ciudadanía.]
El Esquema Nacional de Seguridad en ciberseguridad
El ENS define un conjunto de medidas y controles que las administraciones públicas deben adoptar para gestionar los riesgos de seguridad de la información. Estas medidas abarcan desde la realización de análisis de riesgos para identificar y evaluar las amenazas, hasta la implementación de políticas de seguridad que definan las responsabilidades y los procedimientos de protección.
La implementación de controles de seguridad específicos es otro aspecto crucial del ENS. Esto incluye la aplicación de técnicas de cifrado para proteger la confidencialidad de la información, la autenticación multifactor para reforzar el acceso a los sistemas y la gestión de identidades y accesos para controlar los permisos de los usuarios
Además, el ENS exige la realización de auditorías periódicas para verificar el cumplimiento de las medidas de seguridad y detectar posibles vulnerabilidades. Estas auditorías permiten a las administraciones públicas evaluar la eficacia de sus controles de seguridad y realizar los ajustes necesarios para mantener un nivel de protección adecuado.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, subraya la importancia del ENS. “El Esquema Nacional de Seguridad es una herramienta esencial para establecer un nivel de seguridad homogéneo en las administraciones públicas. Su cumplimiento es fundamental para proteger la información de los ciudadanos y garantizar la confianza en los servicios digitales”.
Además, recuerda que ENS “no es solo un marco normativo; es una guía práctica que obliga a las administraciones a realizar auditorías periódicas y análisis exhaustivos del riesgo.»
Colaboración con el CCN-CERT
Hablando del ENS, no podemos dejar de mencionar al Centro Criptológico Nacional (CCN-CERT), que desempeña un papel fundamental en la ciberseguridad de las administraciones públicas en España. El CCN-CERT es el equipo de respuesta a incidentes de seguridad de la información para el sector público y proporciona apoyo técnico, alertas e información sobre amenazas a las administraciones públicas.
La colaboración entre las administraciones públicas y el CCN-CERT es esencial para mejorar la capacidad de prevención, detección y respuesta a los ciberataques. Las administraciones públicas comparten información sobre amenazas y vulnerabilidades con el CCN-CERT, y reciben a cambio asesoramiento y apoyo técnico. También participan en ejercicios conjuntos de ciberseguridad para poner a prueba su capacidad de respuesta.
Incremento de las ciberamenazas
A pesar de los esfuerzos realizados por las administraciones públicas para fortalecer su ciberseguridad, las ciberamenazas siguen siendo una de las principales preocupaciones. Los ciberataques contra el sector público han aumentado significativamente en los últimos años, lo que pone de manifiesto la necesidad de una vigilancia y una adaptación constantes.
A pesar de los esfuerzos realizados por las administraciones públicas para fortalecer su ciberseguridad, las ciberamenazas siguen siendo una de las principales preocupaciones
Un estudio revela un aumento del 455% en los ciberataques dirigidos a las administraciones públicas en 2022. Este dato alarmante subraya la creciente agresividad de los ciberdelincuentes y su interés en obtener acceso a la información sensible que manejan las administraciones públicas.
Como subraya también el responsable de Check Point, «la geopolítica está redefiniendo el panorama del cibercrimen. Los ataques ya no son solo obra de individuos aislados o grupos organizados; ahora estamos lidiando con operaciones respaldadas por estados con recursos prácticamente ilimitados.»
Varios factores contribuyen a este incremento de las ciberamenazas. La acelerada digitalización de las administraciones públicas ha ampliado la superficie de ataque, creando nuevas vulnerabilidades que los ciberdelincuentes pueden explotar. El auge del teletrabajo, impulsado por la pandemia de COVID-19, también ha aumentado los riesgos de seguridad, al extender el perímetro de la red corporativa a los hogares de los empleados.
Además, los ciberdelincuentes están utilizando técnicas cada vez más sofisticadas para llevar a cabo sus ataques. El ransomware dirigido, por ejemplo, permite cifrar los datos de una organización y exigir un rescate a cambio de su liberación. Los ataques a la cadena de suministro, por otro lado, buscan comprometer a los proveedores de software o hardware de una organización para introducir malware en sus sistemas.
Una respuesta proactiva
Ante este panorama de amenazas en constante evolución, las administraciones públicas están adaptando sus estrategias de ciberseguridad para fortalecer su capacidad de prevención, detección y respuesta.
Una de las principales tendencias es la implementación de arquitecturas de seguridad integrales que abarcan todos los aspectos de la infraestructura tecnológica, desde los dispositivos de los usuarios hasta los servidores y las aplicaciones en la nube. Estas arquitecturas se basan en un enfoque de defensa en profundidad, que implica la implementación de múltiples capas de seguridad para dificultar el acceso de los atacantes a los sistemas y datos.
La inteligencia en tiempo real es otro componente clave de las estrategias de ciberseguridad modernas. Las administraciones públicas están utilizando herramientas de análisis de datos y aprendizaje automático para detectar patrones de comportamiento anómalos y anticiparse a posibles ataques. La monitorización continua de la actividad de la red y los sistemas es esencial para identificar y responder rápidamente a los incidentes de seguridad.
El fortalecimiento de las infraestructuras críticas es una prioridad para las administraciones públicas. Esto implica la implementación de medidas de seguridad adicionales para proteger los sistemas y servicios esenciales, como las redes de energía, los sistemas de transporte y los servicios de salud. La continuidad de estos servicios es fundamental para el funcionamiento de la sociedad y la seguridad de los ciudadanos.
La colaboración y el intercambio de información son también elementos cruciales en la lucha contra el cibercrimen. Las administraciones públicas están colaborando con otras organizaciones, tanto a nivel nacional como internacional, para compartir información sobre amenazas y vulnerabilidades, y para coordinar la respuesta a los incidentes de seguridad.
Inversión en ciberseguridad
La creciente sofisticación de las ciberamenazas exige una inversión adecuada en ciberseguridad. Si bien el porcentaje del presupuesto anual destinado a ciberseguridad varía entre las diferentes administraciones públicas, existe un reconocimiento generalizado de la necesidad de aumentar la inversión para hacer frente a los desafíos actuales.
Las administraciones públicas están revisando sus presupuestos y asignando recursos adicionales a la ciberseguridad. Esta inversión se destina a la adquisición de nuevas tecnologías de seguridad, la contratación de personal especializado, la formación y concienciación de los empleados y la implementación de medidas de protección adicionales.
Eusebio Nieva destaca la importancia de la inversión en ciberseguridad. “La ciberseguridad no es un gasto, sino una inversión. Las administraciones públicas deben comprender que la protección de su información y sus servicios es esencial para garantizar su funcionamiento y la confianza de los ciudadanos”.
Formación y concienciación
Como decimos, el factor humano desempeña un papel fundamental en la ciberseguridad. Los empleados de las administraciones públicas son, en muchos casos, el primer punto de contacto con las ciberamenazas, y sus acciones pueden tener un impacto significativo en la seguridad de la organización.
La formación y concienciación en ciberseguridad son, por tanto, elementos esenciales de cualquier estrategia de protección. Las administraciones públicas están implementando programas de capacitación para sus empleados, que abarcan una amplia gama de temas, desde la identificación de correos electrónicos de phishing hasta el uso seguro de dispositivos móviles y la protección de la información confidencial
La formación y concienciación en ciberseguridad son, por tanto, elementos esenciales de cualquier estrategia de protección
Estos programas de formación buscan crear una cultura de seguridad dentro de las organizaciones, en la que todos los empleados comprendan su responsabilidad en la protección de la información y los sistemas. La formación continua es esencial para mantener a los empleados actualizados sobre las últimas amenazas y las mejores prácticas de seguridad.
Eusebio Nieva enfatiza la importancia de la formación de los empleados públicos, puesto que “son la primera línea de defensa contra las ciberamenazas. Su formación y concienciación son fundamentales para reducir el riesgo de incidentes de seguridad causados por errores humanos”. Es más, «La formación y concienciación en ciberseguridad son fundamentales para las administraciones públicas. Se están implementando programas de capacitación que incluyen buenas prácticas en el uso de contraseñas, identificación de correos electrónicos de phishing y uso responsable de dispositivos y conexiones remotas.»
Capacidad de reacción
Además de la prevención, la capacidad de detectar y responder rápidamente a los incidentes de seguridad es crucial. No en vano, si siempre se dice que hay dos tipos de empresas: las que han sido atacadas y las que aún no saben que lo han sido, podemos extrapolar esta afirmación a los organismos públicos.Por ello, las administraciones públicas están implementando sistemas de monitorización continua que permiten supervisar la actividad de sus redes y sistemas en tiempo real.
Estos sistemas utilizan herramientas de detección de intrusiones, análisis de comportamiento y gestión de eventos de seguridad para identificar posibles amenazas y anomalías. La información recopilada por estos sistemas se analiza en los centros de operaciones de seguridad (SOC), que operan las 24 horas del día, los 7 días de la semana, para detectar y responder a los incidentes de seguridad.
La respuesta a incidentes es un proceso complejo que implica la contención del incidente, la investigación de sus causas, la recuperación de los sistemas afectados y la implementación de medidas para evitar que se repita. Las administraciones públicas cuentan con planes de respuesta a incidentes que definen los procedimientos a seguir en caso de un ataque.
En este sentido, nuestro interlocutor subraya que las administraciones públicas “han aprendido que la prevención debe ir de la mano de la capacidad de respuesta rápida. Una de las principales lecciones es la necesidad de anticiparse a las amenazas mediante inteligencia proactiva y colaboración interinstitucional.»
Análisis de riesgos
El análisis de riesgos es un proceso fundamental para identificar, evaluar y gestionar los riesgos de seguridad de la información. Las administraciones públicas en España realizan análisis de riesgos de manera periódica para identificar las vulnerabilidades y amenazas que pueden afectar a sus sistemas y datos.
«Muchas administraciones públicas están adoptando sistemas de monitorización continua y respuesta temprana para detectar y mitigar incidentes de seguridad. Esto incluye el uso de herramientas de detección de intrusiones, análisis de comportamiento y gestión de eventos de seguridad.», señala Nieva
Una metodología comúnmente utilizada para el análisis de riesgos es MAGERIT, desarrollada para facilitar la gestión eficaz de los riesgos asociados a las tecnologías de la información. MAGERIT proporciona un marco de trabajo para identificar los activos de información, las amenazas que pueden afectarlos, las vulnerabilidades que pueden explotarse y el impacto que tendría un incidente de seguridad.
Los resultados del análisis de riesgos se utilizan para definir la estrategia de ciberseguridad de la organización. Esto incluye la selección de los controles de seguridad adecuados, la asignación de recursos y la priorización de las acciones de seguridad. El análisis de riesgos permite a las administraciones públicas tomar decisiones informadas sobre cómo proteger sus sistemas y datos.
Ransomware, la amenaza persistente
El ransomware es una de las ciberamenazas más preocupantes para las administraciones públicas. Este tipo de malware cifra los datos de la organización y exige un rescate a cambio de su liberación. Los ataques de ransomware pueden paralizar las operaciones de una administración pública y causar graves daños a su reputación.
Según Eusebio Niva, «el ransomware dirigido y los ataques a la cadena de suministro han crecido un 455% desde 2022. Estas tácticas buscan no solo interrumpir servicios esenciales, sino también extorsionar a las instituciones públicas.»
Ante un ataque de ransomware, las administraciones públicas deben seguir los protocolos establecidos por el Centro Criptológico Nacional (CCN-CERT). Estos protocolos incluyen el aislamiento de los sistemas afectados para evitar la propagación del malware, la notificación a las autoridades competentes, la recomendación de no negociar con los atacantes y la restauración de los datos desde copias de seguridad actualizadas.
La prevención es clave para protegerse contra el ransomware. Las administraciones públicas deben implementar medidas de seguridad como la copia de seguridad de los datos, la actualización de los sistemas y el software, la formación de los empleados y la implementación de soluciones de seguridad avanzadas.
Otras medidas
Las infraestructuras de seguridad de las administraciones públicas deben actualizarse periódicamente para hacer frente a las nuevas amenazas. Esto implica la identificación y sustitución de componentes obsoletos, así como la incorporación de nuevas tecnologías de protección.
Las administraciones públicas están adoptando soluciones avanzadas como la inteligencia artificial para la detección proactiva de amenazas y las herramientas de análisis de comportamiento para identificar patrones sospechosos en tiempo real. La capacitación continua del personal es fundamental para garantizar una gestión segura y eficiente de las nuevas tecnologías.
La suplantación de identidad es una de las técnicas más utilizadas por los ciberdelincuentes para obtener acceso no autorizado a los sistemas y datos de las administraciones públicas. Para reducir este riesgo, se están implementando medidas como la autenticación multifactor (MFA), que añade una capa adicional de seguridad al proceso de acceso, y los sistemas de gestión de identidades y accesos (IAM), que permiten controlar los permisos de los usuarios.
De hecho, según el responsable de Check Point «Para reducir el riesgo de suplantación de identidades, se han implementado medidas como la autenticación multifactor (MFA), que añade capas adicionales de seguridad al proceso de acceso.»
Estas medidas están en línea con las directrices establecidas en el Esquema Nacional de Seguridad (ENS), que exige la aplicación de controles específicos para proteger la información y los servicios críticos frente a accesos no autorizados.
Lecciones aprendidas
Los numerosos ciberataques dirigidos a las Administraciones Públicas españolas han dejado importantes lecciones. Una de las principales es la necesidad de combinar la prevención con una capacidad de respuesta rápida y eficaz.
Las administraciones públicas están adoptando un enfoque proactivo de la ciberseguridad, basado en la inteligencia de amenazas y la colaboración interinstitucional. También están invirtiendo en arquitecturas de seguridad integradas que protegen todos los componentes de su infraestructura tecnológica.
La formación y concienciación del personal siguen siendo una prioridad, para garantizar que todos los empleados comprendan los riesgos y sepan cómo actuar ante posibles incidentes.
Las administraciones públicas deben contar con planes de continuidad de negocio y recuperación ante desastres específicos para ciberataques. Estos planes establecen los procedimientos para mantener las operaciones críticas y restaurar los sistemas en caso de un incidente de seguridad grave. [
Los planes de continuidad de negocio deben basarse en normativas como la ISO 22301 y deben probarse y actualizarse periódicamente para garantizar su eficacia. El Instituto Nacional de Ciberseguridad (INCIBE) proporciona guías y recursos para la elaboración y mantenimiento de estos planes.
Fondos Europeos
Las administraciones públicas están aprovechando los fondos europeos disponibles para invertir en soluciones de ciberseguridad avanzadas. Programas como el Plan de Recuperación, Transformación y Resiliencia (PRTR) y España Digital 2025 contemplan inversiones significativas en digitalización y ciberseguridad.
Estos fondos se están utilizando para mejorar la protección de las infraestructuras críticas, implementar tecnologías de seguridad de última generación y formar al personal especializado en ciberseguridad. “»Están utilizando fondos europeos, como los del Plan de Recuperación, Transformación y Resiliencia (PRTR), para fortalecer sus capacidades en ciberseguridad. Por ejemplo, en 2024 se destinaron 5,5 millones de euros para reforzar la ciberseguridad en entidades locales.», confirma Nieva
La ciberseguridad es un desafío constante para las administraciones públicas. La evolución de las ciberamenazas exige una adaptación continua de las estrategias de protección, una inversión adecuada en recursos y una colaboración estrecha entre las diferentes partes interesadas. Al priorizar la ciberseguridad, las administraciones públicas pueden garantizar la protección de la información de los ciudadanos, la continuidad de los servicios públicos y la confianza en la administración digital.
