Comenzó en julio del año pasado con la filtración de 50.000 números de teléfono que estaban siendo vigilados alrededor del mundo por el software espía Pegasus de la compañía israelí NSO.
En abril de este año, se supo que 65 políticos y activistas catalanes estaban siendo espiados con el programa. Hace unos días, se sumaron a las víctimas del ciberespionaje el presidente del Gobierno de España, Pedro Sánchez, y la ministra de Defensa, Margarita Robles.
El caso Pegasus, dado a conocer por la plataforma Forbidden Stories junto a la ONG Amnistía Internacional, se ha transformado en un escándalo con miles de políticos, periodistas, funcionarios públicos y activistas afectados en todo el mundo y ha hecho tambalear las actuales estrategias de ciberseguridad de los gobiernos.
“(Pegasus) lamentablemente no es un hecho aislado y afortunadamente nuestro nivel en materia de ciberseguridad sigue siendo alto, si bien es necesario continuar avanzando en esta cuestión, ya que lo contrario implica asumir riesgos muy elevados en todos los ámbitos”
Miguel Recio, profesor de Ciberseguridad en la Universidad CEU San Pablo
La pandemia, con su derivado auge del teletrabajo y la ampliación de la cantidad de datos e información que están expuestos, ha provocado un considerable aumento de los ciberataques. Según un estudio de Deloitte, el 94% de las empresas sufrieron al menos un incidente grave de ciberseguridad en 2021 y la media de incidentes registrados pasó de 1,69 en 2020 a 2,13 el año pasado, un aumento del 26%.
Entre los sectores más afectados estuvieron el de Seguros, el de Telecomunicaciones, medios de comunicación y tecnología, el de Fabricación, el de la Banca y el de la Administración Pública. No obstante, en 2020 el Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones de las Naciones Unidas, posicionó a España en el cuarto lugar mundial y segundo lugar en la Unión Europea.
Miguel Recio, profesor asociado en Ciberseguridad en la Facultad de Derecho de la Universidad CEU San Pablo, comenta que el caso Pegasus “nos demuestra la importancia de aplicar medidas de seguridad en el día a día, sin minusvalorar ni obviar las ciberamenazas, ya que incluso son especialmente peligrosas por el hecho de que resultan invisibles”.
“También pone de manifiesto la necesidad de aplicar las medidas de seguridad de manera efectiva, tanto por lo que se refiere a la aplicación de la medida de seguridad como a posteriores auditorías”, añade.
La guerra en Ucrania: un acelerador de las medidas de ciberseguridad en España
Son múltiples los planes y las estrategias definidas por el Gobierno que abordan la digitalización de España y que consideran fondos y ayudas para mejorar la ciberseguridad, tanto de la Administración Pública como del tejido empresarial. Éstas se han visto aceleradas ante el mayor riesgo de ciberataques producto de la invasión a Ucrania por parte de Rusia y el nuevo escenario geopolítico que se está generando por la guerra.
Hace sólo unos días, el Gobierno anunció la aprobación del Plan Nacional de respuesta a las consecuencias económicas y sociales de la guerra en Ucrania, un paquete de medidas que entrará en vigor el 30 de junio y que, entre otras ayudas, incluye la aprobación del Plan Nacional de Ciberseguridad.
Éste plan contempla cerca de 150 iniciativas para los próximos tres años, con el fin de intensificar la vigilancia y las capacidades de planificación, preparación, detección y respuesta en el ciberespacio. Dotado de más de 1.000 millones de euros de presupuesto, algunas medidas incluyen la creación de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes y Amenazas, la puesta en marcha del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos, el impulso de la ciberseguridad de pymes, micropymes y autónomos, y el desarrollo de un sistema de indicadores a nivel nacional, entre otros.
«Estas medidas tendrían que ir acompañadas de otras que faciliten la cooperación transfronteriza entre autoridades competentes con la finalidad de poder evitar o minimizar los riesgos derivados de ciberataques»
Miguel Recio
Asimismo, el Congreso convalidó la Ley de Ciberseguridad 5G, que establece los requisitos mínimos de ciberseguridad para el despliegue y explotación de las redes con esta tecnología. En ella se define un Esquema de Seguridad de Redes y Servicios 5G, que tendrá en cuenta los análisis realizados por los operadores de red acerca de las vulnerabilidades y amenazas a la red, establece criterios para los suministradores de bajo, medio y alto riesgo y determina que los operadores de redes públicas 5G no podrán usar equipos de suministradores de alto riesgo en el núcleo o core de la red, en su sistema de gestión de red y en determinadas ubicaciones de la red de acceso. Éstos también deberán limitar la dependencia de un sólo suministrador.
“Lo importante es que estas medidas se apliquen de manera que sean efectivas, considerando la realidad en la que vivimos en el entorno electrónico y de que en este caso las normas legales tienen un alcance territorial. Es decir, habría que considerar también otras acciones, tales como la cooperación internacional, con la finalidad de que puedan ser realmente efectivas en la práctica”, explica Recio.
Pegasus pone en alerta a la Administración Pública
Una de las medidas que siguieron a la noticia de la infiltración de los móviles del presidente Sánchez y la ministra Robles fue la actualización del Esquema Nacional de Seguridad en el ámbito del sector público, algo que ya contemplaba el Plan Nacional de Ciberseguridad.
El nuevo esquema regulará los requisitos mínimos, medidas de protección y mecanismos de monitorización para la prestación de servicios informáticos y la protección de la información tratada en la Administración Pública, y también afectará a los proveedores tecnológicos privados que colaboren con ésta.
“En cualquier caso, (Pegasus) lamentablemente no es un hecho aislado y afortunadamente nuestro nivel en materia de ciberseguridad sigue siendo alto, si bien es necesario continuar avanzando en esta cuestión, ya que lo contrario implica asumir riesgos muy elevados en todos los ámbitos”, apunta el experto en ciberseguridad.
Las promesas en deuda
Una de las grandes medidas que traen consigo los distintos planes del Gobierno en materia de ciberseguridad es la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y Organismos Públicos (COCS), que busca proteger al sector público de las amenazas a sus operaciones y sistemas de información y comunicaciones, además de mejorar su capacidad de respuesta ante posibles ataques.
Hasta marzo de este año no se había visto un progreso en este proyecto, sin embargo, ese mes el Gobierno anunció la adjudicación, por 38,34 millones de euros, de la construcción e implementación del nuevo centro a las empresas españolas Indra y Telefónica, que se unieron temporalmente para este propósito. El contrato tiene una duración hasta diciembre de 2023.
Otra medida prometida es la creación de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes y Amenazas, que permitirá el intercambio de información sobre incidentes de este tipo entre organismos públicos y privados en tiempo real.
En la actualidad, cuando las organizaciones sufren ciberataques, depende de lanaturaleza de los datos afectados al organismo al que se deriva la denuncia o alerta. Con la creación de esta plataforma, cuya ejecución estará a cargo del nuevo COCS, esta información estará disponible en un sólo lugar.
Estas iniciativas, y las anteriores, están contempladas tanto en el Plan España Digital 2025 como en el Plan de Recuperación, Transformación y Resiliencia, cuyos ejes principales incluyen a la ciberseguridad como prioridades.
“Son medidas adecuadas que requieren una aplicación considerando el riesgo existente, lo que implica atender a que las amenazas o ciberamenazas son continuas y cambiantes. Estas medidas tendrían que ir acompañadas, a su vez, de otras que faciliten la cooperación transfronteriza entre autoridades competentes con la finalidad de poder evitar o, al menos, minimizar, los riesgos derivados de ciberataques, así como una revisión y actualización constante”, concluye Recio.
NotiVeraz