El aumento en los ciberataques es un hecho, un incremento especialmente significativo si hablamos de las administraciones públicas y más en concreto a los ayuntamientos, algo que ha puesto en alerta al Centro Nacional de Inteligencia (CNI). El hecho de que en líneas generales los niveles de protección no sean tan altos como en el caso de las grandes empresas los ha situado como uno de los vectores de ataque preferidos por parte de los ciberdelincuentes, tal y como aseguran firmas de referencia del sector de la ciberseguridad a Vozpópuli. De hecho, en 2022 Gobierno y administraciones públicas sufrieron 1.500 ataques a la semana de media.
El problema es de tal dimensión que el CNI se ha visto obligado a lanzar una guía específica para que los consistorios españoles puedan defenderse mejor de los ciberataques. El documento, bautizado como 'Gestión de crisis para ciberincidentes en entidades locales', y al que ha tenido acceso este diario, pone en la cúspide de la defensa ante este tipo de incidentes a los alcaldes. Son ellos los que tendrán que liderar las crisis de este tipo.
La guía se divide en dos partes. En la primera se establece un modelo de organización de equipos y en la segunda se desgrana la forma de actuar cuando se desencadene un ciberataque.
Ciberataques de rasnsomware, ¿qué exige el CNI?
EL CNI deja claro en la guía que, en ningún caso, deben ser los ayuntamientos los que negocien con los secuestradores de datos o disco duros cuando se producen ataques de ransomware. Este tipo de amenaza encripta o codifica los discos duros de la organización. Una vez hecho esto, los ciberdelincuentes piden un rescate por desencriptarlos. Las empresas de ciberseguridad subrayan que nunca se debe abonar el rescate, porque no es garantía de que se pueda recuperar la información. Otro de los tipos de ciberataque más común se denomina DDoS o de denegación de servicio. Se ejecuta mediante el intento de acceso masivo a una web por parte de ordenadores o móviles -que están infectados sin que sus dueños lo sepan-. La afluencia es tan grande y en un espacio tan reducido que la web colapsa y no se puede acceder a ella.
El texto deja claro que FCSE (Policía Nacional, Guardia Civil y otras) y el CCN (Centro Criptológico Nacional, entidad adscrito al CNI) "actuará en función de su criterio y práctica, informando a la entidad en caso de diálogo con el atacante". En el caso del CCN, además, el documento apunta a que este organismo se reserva el derecho de "compartir hallazgos con otros posibles actores en la investigación".
El objetivo de la guía es aumentar la resiliencia de los consistorios españoles para reducir la probabilidad de que sufran un ciberataque, y que den la mejor respuesta en el caso de sufrirlo.
Por otra parte, el CNI explica que los ciberataques se deben "comunicar y coordinarse con el Centro Criptológico Nacional o el CERT de referencia respecto de los incidentes de seguridad considerados de nivel ALTO, MUY ALTO o CRÍTICO". Los ciberataques de estos tres niveles son, fundamentalmente, aquellos que obligan a las organizaciones a detener su actividad.
Por otra parte, los equipos de respuesta a ciberataques, siempre según el CNI, deben estar liderados -teniendo siempre en mente que en la cúspide de todo están los alcaldes- por el responsable de sistemas y conformados por un grupo de expertos que actuarán según los procedimientos y políticas predefinidas por las empresas para defenderse mejor en el caso de incidente, y mitigar las posibilidades de que estos se produzcan. Este personal puede ser parte de la entidad local o un equipo subcontratado de una empresa de ciberseguridad.
Una vez finalizada la crisis, el CNI recalca que es necesario realizar un análisis forense que determine cómo actuaron los ciberatacantes para saber reconocer en el futuro la amenaza y esta no acabe por desencadenarse.
Por último, hace hincapié en la necesidad de que se cuente con un equipo de comunicación que se responsabilice tanto de la estrategia informativa dentro del propio consistorio como de puertas a fuera, hacia los medios de comunicación.