Félix Sanz, director del CNI, del que depende el Centro Criptográfico Nacional
Félix Sanz, director del CNI, del que depende el Centro Criptográfico Nacional - IGNACIO GIL

Gobiernos extranjeros están detrás del 90 por ciento de los ciberataques críticos

Son responsables de gran parte de las actividades de ciberespionaje y sus principales objetivos son Defensa y Exteriores

Madrid Actualizado: Guardar
Enviar noticia por correo electrónico

La seguridad nacional se juega cada vez más en la red. El Centro Criptológico Nacional (CCN-CERT), dependiente del Centro Nacional de Inteligencia (CNI) lo sabe bien porque a lo largo de sus diez años de vida -nació en 2006- ha tenido que dar respuesta a un promedio de 1,5 incidentes diarios de peligrosidad muy alta o crítica. En este último escalón el organismo tiene catalogados 42 ciberataques, y en el 90% de los cuales hay indicios suficientes como para asegurar que detrás hay gobiernos extranjeros que realizan actividades de ciberespionaje. El resto se atribuyen a poderosos grupos de crimen organizado capaces de invertir grandes cantidades de dinero en medios técnicos y humanos porque saben que los beneficios económicos pueden compensar con mucho los costes.

Atribuir oficialmente ciberataques de este tipo a personas o gobiernos concretos es prácticamente imposible. Pero el trabajo del CCN-CERT sí permite en aproximadamente un 60 por ciento de los casos encuadrar cada uno de ellos en una determinada «familia» en función de la modalidad del incidente, el grado de preparación o la técnica empleada.

Luis Jiménez, subdirector general del CCN y Javier Candau, jefe de Ciberseguridad, que ayer presentaron la X edición de sus jornadas «STIC CCN-CERT» que se celebrarán en Madrid el 13 y 14 de diciembre, advierten de que, hoy por hoy, el Centro se conforma «con detectar y limpiar». En torno al 75% de los ataques críticos los sufre el sector público, pero son los ministerios de Asuntos Exteriores y Defensa los más afectados. El objetivo del 25% restante son empresas estratégicas.

En cuanto al origen de los ataques cibernéticos más graves, a la cabeza se sitúan, por este orden, China, Rusia, EE.UU. y también países europeos, mientras que por modalidades los más importantes de momento son el ciberespionaje, el cibercrimen, el hacktivismo (operaciones para echar abajo servidores por motivos políticos) y el ciberterrorismo en su faceta de herramienta de radicalización. De hecho, no se ha detectado ningún ataque de Daesh ni que tenga capacidad técnica para perpetrarlo.

«Modus operandi»

A grandes rasgos, el «modus operandi» típico de los ciberataques más graves sería el siguiente: un alto cargo recibe un mensaje en su correo corporativo enviado supuestamente por una persona de su confianza. En él se le pide que abra un documento adjunto que oculta un «malware» -código maligno- a partir del cual el intruso accede al sistema operativo, a las aplicaciones y a todos los privilegios del sistema que están a diposición de la víctima. A partir de ahí, al controlar el ordenador, el hacker puede colonizar sin ser detectado el sistema operativo de la empresa y por tanto copiar información sensible, cambiarla, introducir otra falsa o simplemente borrarla.

«Ese tipo de ataque revela que el atacante ha realizado una elaboración previa de ingeniería social, ha obtenido información para detectar vulnerabilidades y ha diseñado un malware específico para perpetrar el ataque», explica Luis Jiménez. Antes, la mayoría de alertas de incidentes críticos procedían de servicios de inteligencia amigos, que al investigar ataques en sus países detectaban que IP de servidores de la administración española también estaban afectados. Ahora esa tendencia es la contraria.

Ver los comentarios