Los intentos de ciberataques contra los sistemas militares españoles se duplican

La guerra en Ucrania ha hecho que vuelva a cobrar más fuerza e importancia otro campo de batalla que, en la actualidad, es clave: el del ciberespacio. No es nada nuevo que muchos de los ciberataques registrados durante los últimos años proceden de Rusia o de países del Este, aunque es algo difícil de confirmar, pues los ciberdelincuentes saben esconderse y tapar bien su rastro para no ser descubiertos. En este tiempo, desde que empezó la invasión, incluso ya desde antes, han aumentado las alertas y los intentos de ciberataques. Tanto, que el Gobierno decidió incrementar el nivel de alerta de ciberseguridadal 3 (en una escala de cinco). Y entre quienes sufren esas tentativas de ataques están las redes y sistemas del Ministerio de Defensa y las Fuerzas Armadas, que en estas últimas semanas han registrado prácticamente el doble de intentos de intrusión que los que detectaban habitualmente. Incluidos, también, los contingentes desplegados en el flanco Este.

Eso sí, todos ellos los han evitado desde el Mando Conjunto del Ciberespacio (MCCE), dependiente del Ministerio de Defensa, que cuenta con uno de los tres principales Equipos de Respuesta ante Emergencias Informáticas (CERT) que hay en España: el ESPDEF-CERT. Se trata de un equipo de unos 70 efectivos con boina gris (como el color de la zona en la que se mueven) y que en vez de armas y munición cuentan con ordenadores y «unos y ceros».

Tal y como explican fuentes militares cercanas, a día de hoy, la atribución de un ciberataque a un país concreto es «la asignatura pendiente en el ciberespacio. Es muy complicado, aunque sí que se ha notado un incremento de los que provienen del Este». ¿Cuántos? «Casi el doble», responden. Con cierta cautela, pues se trata en la mayoría de los casos de información clasificada, apuntan que lo habitual es que «detecten más de 1.000 intentos diarios, aunque solo unos pocos, unos dos al día, superan el umbral mínimo para considerarlos un riesgo real». Y desde que comenzó la invasión «se han duplicado». Solo en 2021 (hasta noviembre) registraron 619 ciberincidentes de esos que superan el umbral mínimo y fueron clasificados de riesgo medio (366), alto (94) y muy alto (159). Ninguno crítico.

“Intentan pillar lo que pueden”

«Intentan conseguir cualquier dato que, contrastado con otros, va creando la información necesaria que les permita utilizarla posteriormente para chantajear, extorsionar o lo que corresponda para que el usuario ejecute sus ordenes. También buscan la manera de entrar en los sistemas para conseguir información sensible que les permita imaginar hacia dónde va una determinada organización. Básicamente, intentan pillar lo que pueden». Y añaden que «los detectados actualmente han sido intentos de intrusión, pero no lo han conseguido».

Tampoco se salvan, pues usan los sistemas nacionales de Defensa, los contingentes desplegados en el flanco oriental con la OTAN. De nuevo, sin lograr acceder a ninguno. Y aunque no forma parte de su cometido ni responsabilidad, también tienen constancia de intentos de acceso a los móviles o redes sociales de los militares allí desplegados.

Por ello se aumentó el nivel de alerta al 3. «El nivel está directamente relacionado con el riesgo de recibir un ciberataque, siendo el 1 el de estado normal y el5, de riesgo inminente», explican otras fuentes de inteligencia militar. Y las medidas que se toman en cada uno dependen de la Comisión Permanente de Ciberseguridad, dentro del Departamento de Seguridad Nacional. «Las medidas están pensadas para reducir las posibilidades de éxito al agresor y pueden ser tan sencillas como apagar el equipo al finalizar el trabajo, usar el sistema de doble autenticación en la identificación del usuario, incrementar la concienciación de los usuarios, tener las versiones de los programas y sistemas operativos actualizados…», explican sin dar muchas pistas.

Y ante un intento de ataque, ¿cómo actúan? Pues es prácticamente como una batalla al uso: «Primero, contienen y evitan que siga. Luego, cierran la puerta por la que ha entrado, lo echan y, después, restauran el sistema».