Eduardo Ortega Socorro Brais Cedeira

Hace tres meses que se produjo el ciberataque al Servicio Público de Empleo Estatal (SEPE) que dejó paralizadas, durante varios días, a las oficinas de empleo de España. Un nuevo asalto digital se ha producido este miércoles pero en esta ocasión a los sistemas informáticos y la web del Ministerio de Trabajo. Como ocurrió en el caso del SEPE, el departamento que dirige Yolanda Díaz no contaría con la certificación de ciberseguridad que exige el Centro Nacional de Inteligencia (CNI) a las Administraciones Públicas. Ni Trabajo ni otros 15 ministerios más

Noticias relacionadas

Así lo indica el listado que maneja el Centro Criptológico Nacional, que depende del CNI. Este departamento es el que tiene que emitir los certificados de seguridad oficiales que ordena el Esquema Nacional de Seguridad (ENS) y que indican qué sistemas de seguridad virtuales, qué paginas web, en definitiva, cumplen con la legislación vigente. 

Uno de los apartados del portal digital del CCN se titula 'Sector Público Certificado' y recoge el listado de entidades públicas que han recibido la susodicha acreditación. Las que figuran en él poseen un sistema sólido de seguridad. Es decir, que sus sistemas de seguridad virtuales cumplen con la legislación, marcada por el ENS.

Sin embargo, tan solo unas pocas instituciones de la Administración General del Estado (AGE) figuran en el susodicho listado. Entre los organismos cuyos sistemas informáticos están bien protegidos figuran las webs de la Guardia Civil y la Policía Nacional, ambas dependientes del Ministerio del Interior, que sí estaría en ese sentido protegido ante estas amenazas, pero solo dos de los espacios virtuales de los restantes ministerios: el de Economía y Sanidad. También el Ministerio de Igualdad, el de Derechos Sociales y Agenda 2030 y Consumo, que en términos de ciberseguridad estarían cubiertos por el departamento de Sanidad.  

Es decir, que Trabajo, departamento que acaba de ser víctima de un ataque informático, no contaría con la certificación que prueba que su ciberseguridad está de acuerdo a las reglas del CNI. Sin embargo, en estas mismas circunstancias estarían otros 16 ministerios. 

Los departamentos

Se trata de los ministerios de Presidencia, Relaciones con las Cortes y Memoria Democrática; Transición Ecológica y el Reto Demográfico; Asuntos Exteriores, Unión Europea y Cooperación; Justicia; Defensa; Hacienda; Transportes, Movilidad y Agenda Urbana; Educación y Formación Profesional; Industria, Comercio y Turismo; Agricultura, Pesca y Alimentación; Política Territorial y Función Pública; Cultura y Deportes; Ciencia e Innovación; Inclusión, Seguridad Social y Migraciones, y Universidades. 

Invertia se ha puesto en contacto con varios de estos departamentos para conocer las razones de esta situación. Desde Transportes argumentan hay un "adecuado nivel de cumplimiento" del ENS y que "la mayoría de los sistemas corresponden con la categoría 'Básica' y es suficiente la autoevaluación". Con todo, admiten que "está pendiente la realización de la auditoría formal del nivel de cumplimiento correspondiente a sistemas de categoría 'Media' ".

Por otro lado, desde Industria precisan que "el Ministerio cumple estrictamente con las obligaciones del ENS en materia de Administración Electrónica. Dada la calificación de sus sistemas, no se requiere de una certificación publicada como la referida".

Justicia alega que ha venido trabajando "desde la publicación del ENS en la adopción de las medidas necesarias para su cumplimiento; así como en la adaptación en los cambios normativos en el ENS. A pesar de ello, los informes de auditoría sugieren algunas actuaciones para su cumplimiento pleno, lo que permitiría la certificación", indican. "Este 2021 está prevista la ejecución de una nueva auditoría, por lo que confiamos que las medidas que este Departamento está introduciendo contribuyan a lograr la certificación, lo que permitiría dar la publicidad al certificado en los sites del Ministerio". 

Arancha González Laya. EFE

En Asuntos Exteriores admiten que su portal web "no cuenta con un certificado SSL, pero dispone de medidas compensatorias para su protección". Por otro lado, departamentos como Hacienda o Seguridad Social aseguran a Invertia que también cuentan con las contramedidas de ciberseguridad necesarias, a pesar de que no figuren el listado. 

Un listado en el que cuando sucedió el ciberataque del SEPE, en marzo, no figuraba el Ministerio de Asuntos Económicos y Transformación Digital. Su certificación no se produjo hasta principios de mayo. 

Ciberataques

Si el 2020 fue el año de la pandemia, también lo fue de los ciberataques. Antes de que se iniciara la crisis de la Covid, la proyección de esta clase de crímenes para el año 2022 en España, alcanzaba un número estimado de 50.000.
Esa cifra queda ya muy atrás después de los 73.184 cibercrímenes detectados por el Centro Criptológico en los primeros once meses del año 2020. Paliar este tipo de criminalidad cada vez más generalizada se ha convertido por tanto en una prioridad.
 
Tanto es así que el CNI y los servicios de información de las Fuerzas y Cuerpos de Seguridad del Estado alertaban en un reciente informe, avanzado por EL ESPAÑOL, de que el espionaje extranjero tiene como uno de sus principales objetivos incrementar su actividad a través de ciberataques dirigidos hacia España a lo largo de los próximos años.
 
Cabe esperar, detallaba ese informe, que el número de ciberataques procedentes de servicios de inteligencia de otros países o entidades asociadas continúe creciendo en los próximos años. Los principales objetivos de esos ataques continuarán siendo, por un lado, "la Administración Pública y las empresas de sectores estratégicos", y por otro la "propiedad intelectual e industrial de determinadas organizaciones públicas o privadas pertenecientes a la industria aeronáutica, energética, de defensa o de investigación científica". 

Los principales retos de ciberseguridad que tienes que afrontar en tu casa

 
En el Informe Anual de Seguridad Nacional sobre el año 2020, el Departamento de Seguridad Nacional, el CNI y Moncloa marcaban esa defensa contra los ciberataques como un reto sustancial para tiempos venideros dada la creciente digitalización de la Administración General del Estado y de la vida en general de los ciudadanos. 
 
"Este mayor grado de digitalización incrementa su vulnerabilidad ante ciberamenazas, a menudo ejecutadas desde el exterior a través de complejas redes y sistemas cada vez más difíciles de detectar y de neutralizar", indicaba el informe. "Además, la situación actual generada por la pandemia y el aumento de la conectividad, entre otros motivos por el teletrabajo, supone un incremento de la superficie de exposición y por tanto del riesgo de sufrir un ciberataque, ya que el teletrabajo y la administración en remoto suponen más puntos de acceso, y en muchos casos más vulnerables, para los ciberagresores".
 
Quizá por eso, tras 12 meses haciendo frente a esa avalancha de amenazas cibernéticas, el Consejo de Ministros aprobó hace solo unas semanas un plan de choque compuesto de un paquete de medidas urgentes en materia de ciberseguridad. El fin: mejorar las capacidades de defensa virtual del sector público y las entidades que suministran tecnologías y servicios al mismo.  
 
Esa estrategia ha sido diseñada desde el Departamento de Seguridad Nacional, órgano consultivo adscrito a Moncloa, en colaboración con los 22 ministerios y el CNI, en un claro intento desde el Gobierno de poner el foco en una amenaza cada vez más real y peligrosa y de concienciar en ello a la ciudadanía.