Interior se blinda con un programa de EEUU ante la ola de ciberataques rusos en España

El Ministerio del Interior se blinda frente al auge de ciberataques en España. El departamento dirigido por Fernando Grande-Marlaska ha contratado un servicio de inteligencia estadounidense para obtener información previa de potenciales atacantes, monitorizando en tiempo real las amenazas a las que se encuentran sometidas las aplicaciones web que tiene el ministerio y que incluyen datos sensibles de millones de ciudadanos. La Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS) justifica la adquisición de este programa, según refiere en la licitación, ante el incremento de ciberataques por parte de grupos prorrusos, que, tras el estallido de la guerra contra Ucrania, han puesto en jaque numerosas instituciones públicas de países de la Unión Europea.  

Melilla, sin ir más lejos, lleva más de tres semanas sumida en el colapso informático tras el ciberataque que sufrieron los servidores de la ciudad autónoma por parte de un grupo ruso, Qilin, que asumió la autoría en las redes sociales días después. Desde entonces, los sistemas municipales, entre los que también están los de la Policía Local, han quedado prácticamente inoperativos. Una situación insólita en un organismo público que además ha dejado expuestos los datos de todos los contribuyentes melillenses. Esta semana, el Ayuntamiento de Villajoyosa, en Alicante, también ha sufrido otro ataque, de tipo ransomware, que ha dejado paralizados todos sus servicios.

Según la licitación, analizada por THE OBJECTIVE, la compra de dos suscripciones de este servicio especializado en inteligencia sobre cibercrimen a escala internacional, de nombre Recorded Future, tendrá un coste de casi 800.000 euros para Interior, y una vigencia de un año, desde el mes de julio, después de que el ministerio haya tenido un periodo de prueba de seis meses que comenzó en noviembre del pasado ejercicio. «Un tiempo que ha servido para comprar la utilidad del servicio y mantenerlo con el fin de mitigar las amenazas que se presentan y evitar así que los sistemas se vean comprometidos y se ponga en riesgo la seguridad de los mismos», argumentan.

«Incesante crecimiento de ciberataques»

En la memoria justificativa del contrato, la Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad advierte de que el «incesante crecimiento de ciberataques que está sufriendo el sector público, la proliferación de vulnerabilidades desconocidas para los fabricantes, la sistematización de su explotación por grupos organizados y las consecuencias de la materialización de este tipo de amenazas sobre los activos» gestionados por esta área de Interior requieren la implantación de este servicio de vigilancia digital, para su utilización por parte de las fuerzas y cuerpos de seguridad del Estado, y reaccionar ante estos desafíos. 

En informes elaborados por el Centro Criptológico Nacional (CCN), apunta la memoria, se pone de manifiesto la actividad del grupo hacktivista prorruso NoName057, «que opera como un equipo especializado en la comisión de ataques de denegación de servicio distribuido (contra Ucrania y otros países relacionados)». Una organización criminal que junto a otras de similar origen como KillNet se «coordinan para atacar sitios web gubernamentales en países que, según afirmaba, amenazaban a Rusia, incluyendo Austria, España, Alemania, Francia, Reino Unido, Letonia, Polonia, Ucrania y Estados Unidos, entre otros». 

NoName097 y Telegram

Desde entonces, explica el dosier del CCN, los miembros del grupo han llevado a cabo ataques de manera independiente contra instituciones gubernamentales, medios de comunicación, empresas financieras, energéticas, de transportes y de telecomunicaciones en países de Europa, que reivindicaban en canales de Telegram. Sin embargo, señala que NoName097, uno de los grupos de ciberdelincuentes más activos, no publicaba comunicados en Telegram para animar a sus seguidores a unirse a las campañas, sino que anunciaba los ataques una vez ejecutados. Por todo ello, justifica Interior, es necesario disponer de una base de datos especializada en inteligencia que conozca la operativa de todos los ciberdelincuentes. 

Recorded Future es «el repositorio más grande con información confiable y accionadle» que, a través del «big data, la inteligencia artificial y el enriquecimiento de datos por humanos, dispone de visibilidad y protección instantáneas a lo largo del ciclo completo de vida de las amenazas». La tecnología de recolección y clasificación de este programa norteamericano hace que todos estos datos estén disponibles para búsquedas en tiempo real, con información desde hace más de 10 años. De esta forma, «las organizaciones con acceso a la base de datos pueden buscar todo tipo de información sobre potenciales adversarios y víctimas, tanto texto, imágenes, o fuentes técnicas y obtener resultados de la plataforma en segundos».

España es uno de los diez países del mundo -y el primero de Europa- más atacados por los ciberdelincuentes, según el informe de la empresa especializada ESET. Martín Brea, director de operaciones de DarkData, la startup española líder en ciberinteligencia en Europa, apunta como principal causa la falta de concienciación que existe en la sociedad sobre las consecuencias de los ataques informáticos, que pueden conllevar desde la paralización indefinida de un sistema público a perdidas millonarias en una empresa privada. Una situación a la que, como apuntan los informes del departamento de Grande-Marlaska, también debe sumarse el actual contexto geopolítico, con las guerras entre Rusia y Ucrania e Israel y Gaza.