Hackers «ficticios» para probar la seguridad en la Junta

Uno de los grandes retos que deben enfrentar las administraciones públicas y las empresas privadas es garantizar la seguridad de sus comunicaciones y de sus sistemas de información. La ciberseguridad es imprescindible para garantizar el avance de la digitalización de la economía y supone en sí mismo otra gran industria en crecimiento. Recientemente, el Ayuntamiento de Sevilla sufrió un ataque informático de tipo ransomware que ocasionó que los servicios de internet del consistorio estuvieran sin funcionar durante un mes. También el Ayuntamiento de Granada denunció un ciberataque con motivo de la reciente Cumbre Europea que se celebró en la ciudad, si bien en este caso fue repelido.

En este contexto, la Junta de Andalucía, una administración con un presupuesto de 46.753 millones, alrededor de 300.000 empleados y que presta servicios públicos básicos en sectores tan sensibles como la sanidad, educación o los servicios sociales va a realizar una serie de auditorías técnicas para mejorar sus sistemas de seguridad.

Esta iniciativa forma parte de la Estrategia Andaluza de Ciberseguridad 2022-2025, un documento que establece los retos, objetivos y líneas de actuación en esta materia y en el que participan la administración pública, la ciudadanía, el sector privado y entidades representativas del área.

La Consejería de la Presidencia, Interior, Diálogo Social y Simplificación Administrativa, a través de la Agencia Digital de Andalucía, va a contratar unos servicios de auditorías de certificación, técnicas, de formación y concienciación en el ámbito de la ciberseguridad. Este contrato incluirá la realización de pruebas de «caja negra, gris y blanca». En el ámbito de la ciberseguridad se trata de modalidades de ensayos utilizados para conocer el funcionamiento de los servicios. El color al que hace referencia identifica la información con la que cuenta la organización que realiza esos ensayos. La «caja negra» se utiliza cuando la persona que trata de acceder al sistema no cuenta con ninguna información y, por tanto, se simula las condiciones de un ataque externo sin información desde dentro; la «gris» es para aquellos casos en los que se tiene acceso algún tipo de información pero se realiza desde fuera de la organización; y, por último, la «blanca» se utilizan para evaluar la calidad del software. Todas ellas están incluidas en el contrato que quiere formalizar la Junta de Andalucía. En concreto, el servicio demandado «consistirá en la realización de pruebas de penetración caja negra y/o caja gris que permitan identificar debilidades en los servicios y los sistemas, determinar su grado de explotación e impacto potencial y proponer las medidas necesarias para dar solución a los problemas encontrados».

Esta condición de «hackers ficticios» está explicitada en el pliego de condiciones que deberá cumplir la empresa, donde se señala que «el equipo auditor no dispondrá de información sobre los objetivos, simulando así el comportamiento que pueda tener cualquier usuario externo malintencionado, con objeto de intentar conseguir el control de servidores, equipamiento o estaciones de trabajo, acceso a datos alojados en ellos, o extraer cualquier información valiosa de los sistemas».

Estos test de estrés son habituales en el sector bancario para conocer la situación solvencia de las entidades financieras y ahora se hacen también imprescindibles para conocer el funcionamiento de las administraciones públicas.

En este sentido, este contrato se enmarca en la adopción de las medidas necesarias para alcanzar el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Entre los procesos que deberán realizarse se incluyen técnicas de penetración/intrusión sobre los servicios VPN, sobre los accesos externos y sobre los accesos sede contra sede. Igualmente, deberán incluir «suplantación de credenciales con el objetivo de intentar modificar publicaciones» o «ataques de denegación de servicio».

Estas auditorías se sumarán a otras iniciativas enmarcadas dentro de la Estrategia de Ciberseguridad 2022-2025 y al fortalecimiento de los recursos humanos de la propia administración. De hecho, el Plan de Actuación para 2024 de la Agencia Digital de Andalucía (ADA) incluye «la mayor Oferta de Empleo Público en materia TIC realizada nunca», siendo mayor que la suma de todas las realizadas en los últimos 13 años, puesto que ofrece 170 plazas de acceso libre y 40 de promoción interna. El objetivo es contar con el personal suficiente que, junto con el apoyo de empresas privadas, garanticen y mejoren la actual prestación de servicios tecnológicos.