Los datos recopilados por el Centro Criptológico Nacional español, a través de su servicio de Capacidad de Respuesta a Incidentes de Seguridad de la Información (CCN-CERT), han revelado que los ataques a las administraciones públicas (AAPP) se han incrementado en los últimos años, al punto de que el 34% de los ciberataques en España son dirigidos a estas entidades.
En 2022, los sistemas del sector público español sufrieron 55.000 ciberataques, mientras que en 2023 aumentaron a 107.000. Sin embargo, las cifras se vuelven más impactantes al observar que, sólo en los dos primeros meses de 2024, las AAPP ya han experimentado 25.000 agresiones digitales. Esto representa un crecimiento del 190% con respecto al mismo período del año anterior.
Según Francisco Valencia, director general de Secure&IT, empresa especializada en seguridad de la información, “este incremento exponencial es consecuencia, principalmente, de la respuesta de la organización criminal LockBit tras la Operación Cronos, que puso su web bajo el control de las autoridades. LockBit lanza el 40% de los ataques en el mundo. Es una entidad tremendamente estructurada que cayó hace poco, o eso pensaron las autoridades, y su respuesta ha sido incrementar sus ataques de una manera exponencial”.
Los analistas también atribuyen este incremento al conflicto entre Rusia y Ucrania, a partir del cual muchos sitios web gubernamentales de países que han manifestado su apoyo a Kiev han sufrido distintos tipos de ataques dirigidos. Esto ha ocasionado un debilitamiento de la confianza en las instituciones del Estado y un aumento de la desinformación, a través de fakenews, deepfakes y propaganda, entre otras tácticas, para controlar el espacio informativo con objetivos geopolíticos.
Además, debido a la interdependencia de las distintas organizaciones de los estados, se observa un efecto en cascada, en el que un solo incidente suele afectar a varios sectores a la vez, destacan desde el sitio ByTic, donde Marc Sarrias, Country Manager de Palo Alto Networks en España y Portugal, profundiza: “La falta de inversión adecuada en seguridad cibernética y la presencia de sistemas obsoletos hacen que (los organismos públicos) sean sujetos especialmente vulnerables a los ataques. Manejan una gran cantidad de información confidencial y sensible, como datos personales de ciudadanos, información financiera y registros de salud, lo que los convierte en un objetivo atractivo para el robo de datos. Además, son responsables de la gestión de infraestructuras críticas, como sistemas de energía, transporte y comunicaciones, lo que las convierte en un objetivo para aquellos que desean causar daño económico o interrumpir la vida cotidiana de los ciudadanos”.
Por otro lado, Miguel Ángel de Castro, ingeniero de CrowdStrike, recuerda que las ganancias económicas son la principal motivación de muchos actores de amenazas. “La gran mayoría de estos adversarios son oportunistas, es decir, si disponen de un vector de entrada y la capacidad de monetizar con éxito, lo harán, al margen de ser una administración pública o no. Pero es interesante señalar que la probabilidad de éxito de un adversario de cibercrimen se ve incrementada cuando la víctima debe prestar servicios con sus sistemas de información, y en el caso de las AAPP, los servicios que ofrecen suelen ser vitales y, en algunos casos, ligados a infraestructuras críticas, lo que aumenta su atractivo como objetivo prioritario de ataque”, reflexiona Castro.
Muchos ataques vs. poca protección
Las cuestiones presupuestarias, junto a sistemas desactualizados y, en algunos casos, conocimientos insuficientes, se convierten en factores clave que repercuten en las medidas de seguridad que toman las administraciones públicas, a pesar de que hay normativas como la Directiva NIS 2 que imponen instrucciones mínimas que cumplir para evitar la afectación de los ciberataques.
Francisco Valencia sostiene que los sitios web gubernamentales y de servicios públicos son los más atacados y, a la vez, se encuentran entre los más desprotegidos. El sector público “está, en general, en una situación de vulnerabilidad, y aunque se trata de un sector muy regulado, la tasa de éxito de implantación de medidas es bastante deficiente. De todos los casos de ciberataques que aparecen en medios, la mayoría son ayuntamientos”, asegura el director general de Secure&IT.
En el ranking de ciberamenazas al sector público de la UE, el ransomware ocupa el primer puesto, con un 34% del total de las agresiones registradas en la UE, y los ataques de denegación de servicio (DDoS) representan el 28% de todas las amenazas, según datos de la Agencia de Ciberseguridad de la Unión Europea (ENISA). Los ataques relacionados con los datos se encuentran en el tercer lugar, con el 17%, la ingeniería social representa el 8.7% y el malware, el 4,9%.