El jefe de ciberseguridad del CNI: "El 45% de ataques graves a España este año viene de Rusia"

Dicen en los servicios de inteligencia que Javier Candau es una de las personas que lleva más tiempo velando por la ciberseguridad en España. Más de veinte años de experiencia en la materia. Y que no es fácil conseguir sentarle a hablar fuera de las sombras desde las que los espías luchan contra las amenazas que se ciernen sobre España. En la actualidad, ostenta el cargo de Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN-CERT), el organismo del Centro Nacional de Inteligencia (CNI) encargado, entre otros asuntos, de prevenir, combatir y responder a las ciberamenazas que se perpetran contra el Estado.

Pero ahora Candau, en un momento trascendental en el que la ciberseguridad forma parte nuclear de la conversación y de la vida de muchos ciudadanos, quiere hablar y dar la cara. Los principales cometidos de su Departamento son la formación del personal especialista en seguridad de la Administración, el desarrollo de políticas y directrices, el diseño de las herramientas de ciberseguridad que apoyen al sector público, la supervisión de la acreditación de sistemas y la elaboración de auditorías de seguridad.

Candau es coronel de artillería e ingeniero industrial con especialidad en electrónica y automática. Es también especialista en criptología y responsable de la capacidad de respuesta ante incidentes a nivel gubernamental.

Un ejemplo de esos episodios fue el espionaje con el programa Pegasus a los teléfonos móviles del Gobierno el pasado 2021 o los ciberataques rusos contra las altas instituciones del Estado. En una entrevista exclusiva con EL ESPAÑOL, Candau se sienta por primera vez a hablar con un medio generalista nacional coincidiendo con la inauguración de la Feria Internacional de Defensa y Seguridad de España (FEINDEF).

Este miércoles, FEINDEF daba comienzo a su tercera edición, en la que reunirá a más de 25.000 profesionales, más de 500 expositores de 25 países, más de 100 delegaciones internacionales y un amplio espectro de empresas tecnológicas e industriales, tanto nacionales como internacionales, que durante tres días mostrarán las últimas innovaciones en áreas como la ciberseguridad, la defensa terrestre, la aeronáutica y la seguridad marítima.

Con el CNI volcado en una nueva etapa en la que pretenden dar a conocer el trabajo de los servicios de inteligencia, su jefe de Ciberseguridad se sienta con este periódico a conversar durante casi una hora en una discreta sala de los pabellones de IFEMA, el recinto ferial de Madrid.

¿Cuál fue su primer trabajo en el mundo de la ciberseguridad?

Cuando ingresé en el Centro Nacional de Inteligencia, me dedicaba a hacer las auditorías de autorización para el manejo de información clasificada.

¿Cómo explicaría al ciudadano su trabajo?

En el Centro tenemos tres departamentos. El primero se dedica al desarrollo de productos de cifrado, que es el proceso de codificar la información para que sea más segura. Hay también un área de certificación y luego está el departamento de ciberseguridad, que tengo el honor de dirigir.

El primero de esos departamentos se dedica a cifrar dispositivos, teléfonos móviles. Estos, en teoría, una vez supervisados, son los que usarán el presidente, los ministros y los secretarios de Estado.

Ciframos también muchas comunicaciones del Ministerio de Defensa: terrestres, aéreas y marítimas. También trabajamos mucho para el ministro de Asuntos Exteriores y el ministro del Interior.

En cambio, en mi departamento, que es el Departamento de Ciberseguridad, nos dedicamos a tres grandes campos: prevenir ataques, detectar ataques y responder a ataques. Nosotros desarrollamos nuestro trabajo, pero luego es misión de los organismos recoger esas herramientas e implantarlas para proteger sus comunicaciones. El CNI desarrolla, pero el que se gasta el dinero es el ministerio de turno. Esto en teoría debería ser una cosa natural, pero luego no lo es tanto como se pudiera esperar.

¿Ha acelerado la pandemia el cambio hacia lo digital?

Efectivamente, la pandemia y la transformación digital nos han destrozado. En el Centro buscamos reducir la exposición ante ciberamenazas, pero con tanta interconectividad y tanta transformación digital, la superficie de exposición ante las amenazas ya no las controla casi ningún organismo.

El cambio se aceleró en los meses de la Covid-19. Ahora lo estamos pagando. Tenemos unos 400 sensores en todas las administraciones, en concreto en las salidas de internet, que nos avisan de posibles ataques.

Tenemos sensores en muchos hospitales, y también en la red que interconecta la Administración General del Estado, las Comunidades autónomas y los Ayuntamientos. Desde 2009 o 2010, nuestro esfuerzo principal era detectar y alertar de estas amenazas. Esa ya no es la tarea fundamental. Por eso hemos establecido dos grandes herramientas para que sean utilizadas en la gestión de estos incidentes. ¿Por qué? Porque notificamos 6.000 incidentes al mes. Es decir, que estamos en el entorno de los 70.000 incidentes cuando acabe este año.

[El CNI atribuye a Rusia ciberataques diarios "de peligrosidad muy alta" contra España]

Desde los de nivel grave hasta los de nivel bajo.

En todo el año pasado los ataques críticos que hubo fueron 75. Ahora mismo estamos en unos 55 golpes críticos en lo que va de año. Hay tres equipos de respuesta rápida que trabajan en incidentes que se salen de madre. Esto quiere decir que detectamos mucho más, pero también que el nivel de amenaza ha subido.

¿Hablamos, por ejemplo, del ciberataque que sufrió el Punto Neutro Judicial?

O el del SEPE, el del Ministerio de Economía, el ayuntamiento de Castellón... Este año hemos tenido dos o tres incidentes graves en servicios de salud. Uno los conoce porque es del Hospital Clínic de Barcelona. Los otros los hemos parado en los estadios anteriores y por eso no han salido en prensa.

EL ESPAÑOL contó que en 2021 sólo 288 de los miles de entes públicos habían pedido al CNI el Sistema de Alerta Temprana en Internet, su detector de ciberataques, a lo largo de los últimos diez años. ¿Ha existido hasta ahora en España la suficiente preocupación por la ciberseguridad? ¿Se hace lo necesario para protegernos?

Hasta 2021 crecíamos a razón de 30 sondas nuevas al año para descubrir ciberataques. Solo en 2023 hemos instalado más de 60. Se hace lo necesario, pero observamos que siempre vamos un poco por detrás.

Cuando nosotros ponemos en marcha determinadas mejoras en los sistemas de ciberseguridad, los atacantes ya han evolucionado. No hace tanto tiempo, cuando nuestros funcionarios trabajaban desde casa, no teníamos ordenadores para darles.

Trabajaban desde sus ordenadores, esos ordenadores estaban infectados, se producía una compraventa de credenciales en el mercado negro espectacular y empezamos a encontrar un montón de ataques de hackers que trataban de acceder a la red como si fueran usuarios legítimos. Todo esto, por desgracia, es un problema general.

Es una cuestión de cultura de seguridad.

Sí. Muchas veces no nos damos cuenta de que la red de un ministerio es más importante que el mismo edificio del ministerio. Históricamente, hemos tenido mucha seguridad privada a nivel físico en los edificios ministeriales. Nos está costando conseguir ese equivalente a nivel cibernético.

[Seguridad Nacional detecta "un aumento" del espionaje ruso en España por la presidencia de la UE]

Ataques de Rusia

¿De dónde provienen ahora mismo las principales amenazas que recibe España?

De grupos de ataque de otros servicios de inteligencia, de fuerzas armadas o grupos privados extranjeros subcontratados por estos. De ahí nos llegan, mínimo, 20 o 30 ataques críticos al año.

Puede haber más que no hayamos visto. Son muy peligrosos porque su objetivo directo es el robo de información muy sensible. Sabemos que estos grupos, y sobre todo aquellos que vienen de países como China, tienen mucho interés en robos de patrimonio tecnológico. En general constatamos actividad por parte de los enemigos tradicionales, no quiero nombrar yo a muchos, pero son grupos que nos preocupan muchísimo.

¿Quién es el que más daño está haciendo?

Estamos viendo del orden de 50 o 60 ataques graves de lo que vemos nosotros en el sector público. En el sector privado se pueden disparar a 200 o 300 casos relevantes. Son en general grupos internacionales, pero también hay grupos nacionales de hackers que nos atacan. Ahora mismo tenemos un conflicto entre Ucrania y Rusia, una guerra. Eso, gracias a Dios, en 2022 no se reflejó en ataques genéricos. Hemos tenido una serie de ataques de denegación de servicio durante el 2023. Hemos tenido como cuatro oleadas de este tipo a servicios de salud y otras administraciones críticas del Estado.

¿Ataques relacionados con la invasión?

Sí, sí, estaban relacionados con declaraciones de entrega de carros de combate, de apoyos más o menos tangibles de España a Ucrania, pero les afecta a todos los países de la Unión.

O sea, España, al manifestar su apoyo a Ucrania y anunciar el envío de los Leopard...

A los dos o tres días de eso se produjo una campaña de ataque.

[Nueve informes del CNI alertaron a Pedro Sánchez sobre el peligro de Pegasus en los últimos 3 años]

Eso ha ocurrido cuatro veces este año.

Sí. Hay grupos como Killnet (una ciberbanda asociada al Kremlin) que te lanzan ataques de bastante intensidad, pero ataques que se pueden parar.

¿Estos ataques no se consideran una agresión a un socio de la OTAN?

Se ha valorado muchísimo. Si se ocupa un territorio, se pone en peligro la integridad territorial o se ataca a un grupo de ciudadanos, la aplicación del artículo 5 de la OTAN es inmediata. En cambio, una escalada de ataques cibernéticos está sometida a la valoración en el Centro de Ciberdefensa de la OTAN (ubicado en Estonia). Se le da muchísimas vueltas. Esto lleva muchos años en discusión. Es un asunto complicado. Ahora mismo se está actuando solo mediante respuesta diplomática.

Pegasus

La ministra Margarita Robles advertía el año pasado de los intentos de Rusia de lanzar ciberataques masivos contra España. ¿Ha aumentado la agresividad de Rusia contra nuestro país?

El nivel de ataque que sufrimos de Rusia, siendo alto, no ha cambiado desde antes de la crisis. De los 20 o 30 ataques graves que tenemos, un 45% son de origen ruso. Rusia cuenta con unas capacidad de ciberataque espectacular y no va a dejar de aprovecharla. Es mucho más fácil extraer información de esa manera que moviendo a oficiales de inteligencia en las embajadas.

[Emiratos Árabes, eslabón entre Marruecos y Pegasus: la lista de espiados apunta a Rabat]

Hace unos meses, el CNI remitió al Gobierno una guía en la que le instaba a no emplear móviles sin que antes lo revisasen ustedes. Entiendo que para evitar otro 'caso Pegasus'. 

Los teléfonos móviles que se dan a altos cargos y autoridades se intentan proteger mediante una serie de medidas de seguridad. Observamos que es difícil que las medidas de seguridad estándar paren estos ataques tan complejos. Pueden frenar algunos, pero no todos.

Tenemos el caso de Pegasus. Son amenazas de una complejidad enorme. Esa compañía ha invertido muchísimos recursos en una tecnología que vende a muchísimos países. Con la misma plataforma parece que algunos países se atacan a otros. La situación es compleja.

¿Creen, por tanto, que el Estado no se estaba protegiendo lo suficiente?

Es verdad que publicamos guías de sensibilización prácticamente para todas las tecnologías que estén en uso en la Administración General del Estado. Normalmente son de uso voluntario.

¿Por qué es tan complicado seguir el rastro de Pegasus para saber quién lo ha utilizado?

Porque cuesta mucho dinero y tiene muchos medios de autoprotección. Es un virus que, cuando vas a realizarle un análisis forense al teléfono móvil infectado, se desinstala. Introduces una aplicación en el dispositivo y si Pegasus cree o sospecha que se puede monitorizar su actividad, pues se desinstala. Es un malware muy complejo, tan caro que normalmente se utiliza para obtener información de autoridades y directores empresariales.

En una conferencia el año pasado le preguntaban si hacía falta un gran susto para que la gente se diera cuenta de la importancia que tiene y va a tener la ciberseguridad. No sé si ese susto ha llegado ya.

Cada ataque crítico es un susto importante para una organización. Quienes los han sufrido están especialmente motivados en protegerse, y ven ya la ciberseguridad de otra manera. Las que no... ya son conscientes de la cantidad de dinero y el impacto que les puede ocasionar, y se protegen. Pero hay muchas empresas e instituciones que, en el día a día, acaban devoradas por su falta de recursos. Y ese es el problema.