Así combate el CNI los ciberataques durante la pandemia
Los ataques informáticos se multiplican en España en plena crisis del coronavirus, mientras el Gobierno se ve obligado a mantener reuniones en remoto
Una de las mayores polémicas que ha arrastrado el Gobierno en los últimos días ha sido la de cómo el vicepresidente segundo, Pablo Iglesias, rompió su propia cuarentena para ir a un Consejo de Ministros. Iglesias lo hizo para acudir el sábado 14 de marzo a la reunión en la que se decretó el estado de alarma para confinar a la población y combatir al coronavirus.
Las ministras Irene Montero y Carolina Darias ya se habían ausentado de estas reuniones por haber dado positivo en la prueba del COVID-19. A pesar de ello, Iglesias explicó en un tuit que él había acudido al encuentro porque «legalmente» no se había podido habilitar la opción de celebrarla de forma telemática.
No obstante, un día antes, el 13 de marzo, entraba en vigor una modificación de la ley que afecta al Gobierno. Precisamente se añadía una disposición —la tercera— para permitir que el Consejo de Ministros celebrase sesiones, adoptase acuerdos y aprobase actas «a distancia».
Los requisitos para estas reuniones telemáticas son que sus participantes deben estar en España, acreditar su identidad y que se aseguren las comunicaciones entre ellos «en tiempo real», disponiéndose «los medios necesarios para garantizar el carácter secreto o reservado de sus deliberaciones».
Días después del episodio, y a preguntas de Business Insider España, fuentes de Moncloa han confirmado que las reuniones del Consejo de Ministros se celebran de forma telemática desde las instalaciones del Departamento de Seguridad Nacional. Pero no solo por esta modificación legal.
Se celebran en dichas instalaciones porque de este modo el CNI, la agencia de inteligencia española, es capaz de certificar la seguridad de las reuniones telemáticas del Consejo de Ministros. Unas comunicaciones «aseguradas mediante líneas y mallas estrictamente verificadas por el Centro Nacional de Inteligencia».
El presidente me ha convocado presencialmente al #CMIN porque legalmente no se podía habilitar la opción telemática. Era mi deber acudir y lo he hecho siguiendo un protocolo sanitario organizado por Moncloa según las indicaciones de Sanidad, que hemos cumplido a rajatabla.
— Pablo Iglesias 🔻 (@PabloIglesias) March 14, 2020
Sin estar claro qué falló para que el 14 de marzo el Consejo de Ministros no se pudiese celebrar ya a distancia, lo cierto es que la inteligencia española ha tenido que redoblar sus esfuerzos. El Centro Criptológico Nacional (CCN) es una entidad dependiente del CNI encargada de certificar la ciberseguridad de la Administración pública. Su trabajo es esencial estos días en los que los ministros también teletrabajan.
Todo en un momento en el que los ataques informáticos se multiplican como consecuencia de que muchos ciberdelincuentes están utilizando la crisis del coronavirus para intensificar su actividad. La Organización Mundial de la Salud (OMS) ha registrado un repunte en el número de ataques y hay hackers haciéndose pasar por empleados de Hacienda para estafar a compañías españolas. Los ejemplos son múltiples.
Pero, ¿qué medidas puede adoptar el CNI para garantizar la seguridad de las teleconferencias del Consejo de Ministros?
Blindar un Consejo de Ministros requiere más medidas que una reunión corporativa
Las actividades del CNI se desarrollan en los márgenes de la más absoluta discreción. Por eso es difícil responder a la pregunta concreta sobre cómo blindan las conversaciones del Gobierno. Business Insider España ha consultado a varias firmas de ciberseguridad cuáles son las prácticas más habituales para hacerlo, también en el sector privado.
Jorge Uyá, director de Operaciones de Entelgy Innotec Security, la división de ciberseguridad de Entelgy, es bastante claro: «Los Consejos de Ministros son especialmente delicados y posiblemente sus medidas de seguridad sean más altas que las necesarias para la gran mayoría de videoconferencias que podemos celebrar en las empresas».
¿A qué se refiere Moncloa cuando dice que sus líneas y mallas están segurizadas? Una malla es un tipo de arquitectura de red, detalla Uyá. Un portavoz de Panda Security, una de las firmas españolas de ciberseguridad más conocidas, señala que todos los dispositivos que se utilicen para celebrar el Consejo de Ministros se conectarán a dicha red.
El problema para Panda Security es que «las soluciones de videoconferencia tradicionales no garantizan un acceso seguro a las mismas». Por ejemplo, «los participantes no se tienen que autenticar con nombre de usuario y contraseña cifrada». En Hangout, plataforma de teleconferencias de Google, basta con tener un enlace de invitación, por ejemplo.
Programas propios, redes privadas, dispositivos de cifrado: las opciones de los ciberexpertos españoles
Es difícil descifrar qué tipo de programas informáticos empleará el CNI para celebrar las reuniones telemáticas del Consejo de Ministros. Lo previsible es que utilicen un desarrollo interno que integre estas soluciones de ciberseguridad que recomiendan firmas como Panda, Entelgy Innotec, Fortinet, ESET o Check Point, entre algunas de las consultadas por Business Insider España.
Pero no es solo qué aplicaciones se emplean. También se emplean dispositivos para segurizar las relaciones entre los 2 dispositivos que se conecten. Enrutadores, cortafuegos, encriptadores. Fortinet, otra compañía especializada, remite a la lista de dispositivos homologados por el CCN-CERT, el Equipo de Respuesta Inmediata a Incidentes de Ciberseguridad del Centro Criptológico.
Uyá, de Entelgy Innotec Security, advierte que, en una red segurizada por el CNI, los participantes de las reuniones telemáticas no sólo tengan que introducir usuario y claves cifradas, sino que además deban confirmar su identidad mediante un código que reciban por SMS un aviso en el móvil, como cuando tú accedes a tu cuenta bancaria por internet.
Eusebio Nieva, director técnico de Check Point para España y Portugal, va más allá. Además de todas estas medidas de prevención, asume que «se estarán utilizando sistemas privados de videoconferencia, con un sistema de red interna que cifra las comunicaciones para evitar que cualquier persona no autorizada pueda espiar».
Blindar las comunicaciones en la Administración pública, y más a estos niveles, se torna algo indispensable. Pero, a nivel corporativo, compañías como Entelgy Innotec o ESET advierten que no son necesarios «equipos especiales». Eso sí, un portavoz de ESET recuerda que se debe asegurar que los dispositivos participantes «estén debidamente protegidos, actualizados y monitorizados».
Noticia original: Business Insider
Autor: Alberto R. Aguiar