El Ayuntamiento de Sevilla, Castilla-La Mancha, Granada o el Museo del Prado e incluso otras instituciones a nivel internacional como la Casa Real Británica se suman a la larga lista de entidades públicas que han sido víctimas de ciberataques en las últimas semanas. Y es que solo en 2022 la Administración Pública sufrió 55.000 ciberataques, una media de 150 ataques diarios, según datos del Instituto de Cuestiones Internacionales y Política Exterior (Incipe). Un problema al que se suma la disminución de inversión pública en ciberseguridad que -en el primer semestre del año- se sitúa en un 2,06% del total de inversión destinada a tecnología, más de tres puntos por debajo de la cuantía dedicada en el mismo período en 2022 (5,18%), como se desprende del Barómetro de Ciberseguridad de la plataforma AdjudicacionesTIC.
Todo ello ha puesto en alerta al Centro Nacional de Inteligencia (CNI) que acaba de lanzar una guía específica para que los consistorios españoles puedan defenderse mejor de los ciberataques. A lo que se suma la propuesta de poner en marcha una Agencia de Ciberseguridad en 2024 para blindar la Administración de ataques informáticos. Además de estas iniciativas, se añade un punto importante como es el de la necesidad de conocer los motivos que han situado en la diana de los hackers a las entidades públicas. Un análisis que han llevado a cabo desde VASS, empresa líder en soluciones digitales, para señalar cuáles son los principales retos a nivel de seguridad a los que se enfrentan y las dificultades que presentan:
Una larga lista de retos
Entre los retos en materia de ciberseguridad destaca el hecho de que la administración se ha modernizado y prácticamente cualquier trámite tiene un soporte digital de algún tipo. Esto hace que los servicios y la información deban funcionar y estar disponibles de forma constante, es decir, cualquier eventualidad que los altere conlleva a un deterioro del servicio al ciudadano y a la imagen de la propia administración. A este incremento de trámites de forma telemática, se suma la necesidad de proteger todo ese intercambio de información por parte del usuario, algo que dificulta el trámite en sí, especialmente en usuarios poco digitales, por la complejidad de uso de la tecnología o lo farragoso que se puede convertir todo el proceso.
Además, la administración tiene que ser capaz de garantizar la confidencialidad de toda esa información. Tanto desde el punto de vista legal como de «marca», cualquier filtración indeseada de datos que vulneren la privacidad o que comporten un riesgo de fraude al ciudadano o a los propios servicios públicos, es un problema muy grave.
No debemos obviar que la mayor parte de los ciberataques que vemos provienen de ataques tipo «malware» y «ransomware» en donde la intervención del usuario es crucial para esta tipología de amenazas, siendo estos la puerta de entrada en la mayoría de los casos. La capacidad de identificar una situación anómala o de riesgo por parte de un empleado público es fundamental a la hora de reducir el número de incidentes. Y, por último, la capacidad de constante adaptación por parte de la administración a las nuevas amenazas, así como los constantes cambios en las regulaciones nacionales y europeas de obligado cumplimiento. Todo ello supone la adquisición de medios humanos y materiales muy específicos que, desde el servicio público general, excluyendo a organismos específicos de Ciberseguridad o Ciberdefensa, suelen presentar mayores problemas a la hora de adecuarse a los ritmos actuales.
“El auge de estos ataques dirigidos a la Administración Pública responde a un doble factor: la vulnerabilidad demostrada de algunos organismos y el hecho de que es un negocio muy lucrativo para los ciberdelincuentes”, ha señalado Santiago Cordero, Director en Infrastructure & SecDevOps de VASS.
Principales desafíos de la Administración Pública en materia de ciberseguridad
Los retos expuestos derivan en las principales dificultades que las administraciones públicas tienen de cara a garantizar su seguridad:
1. Ausencia de un análisis de riesgo e impacto y un plan de mejora: el primer paso para que una entidad de cualquier índole pueda protegerse ante un ciberataque es conocer las vulnerabilidades de sus servicios, qué riesgo se está corriendo ante la inacción y cuál sería el impacto, además de establecer un plan de mejora de esta situación, con medidas de toda índole (procesos, tecnologías…). Sin embargo, es bastante habitual que este tipo de iniciativas no termine de completarse o no cuenten con el presupuesto o recursos necesarios, o se ejecute de forma demasiado lenta.
2. Falta de concienciación y formación: analizando los ataques más habituales sufridos por la Administración se observa que un gran número de ellos podría haberse evitado con una labor constante y periódica de educación en el uso seguro y responsable de los medios digitales.
3. Mejora de medidas de identificación y acceso: este punto puede generar cierta fricción en el usuario, pero es fundamental como vemos en otros ámbitos (por ejemplo, financieros), de cara a la protección ante fraudes y robos de información. Hablamos de la mejora en la política de contraseñas (reglas de cambio periódico, uso de autenticación multifactor o biométrica…), eventual análisis de riesgos contextuales de la sesión, verificación de identidad y datos… Todo ello destinado a dificultar al máximo la suplantación de identidad o ataques tipo «man in the middle» que puedan robar credenciales o información durante el acceso a los servicios digitales.
4. Demora en la respuesta ante un ataque cibernético: es cierto que algunos de los ciberataques son difíciles de detectar en tiempo real y conlleva un análisis desde un SOC para establecer una respuesta en varias horas. Sin embargo, la mayoría se tratan de un ransomware, que debe ser «contenidos» inmediatamente para evitar una propagación mayor.
5. No disponer de un método probado de recuperación de desastres: aunque muchas administraciones y compañías disponen de backups de información y métodos de recuperación de la infraestructura informática, realmente no cuentan con un plan completo de recuperación ante un evento grave (como puede ser la aparición de un ransomware) de toda su actividad. Se trata de un plan que debe analizarse, diseñarse, prepararse e ir actualizándolo con los cambios que se produzcan en los sistemas del organismo y, de forma periódica, hacer pruebas reales, algo que es costoso y perturbador para la actividad diaria.