La ciberdefensa, esencial en el futuro de España y Europa

La Comisión Europea acaba de presentar el Libro Blanco sobre la defensa europea y el plan ReArmar Europa / Preparación 2030. El primero esboza el planteamiento comunitario en materia de defensa y determina las necesidades de inversión., mientras que el segundo refuerza las capacidades de defensa europeas con nuevas vías de financiación, tal y como explica la Comisión en su web. Y no cabe la menor duda que la ciberdefensa va a tener un papel muy importante.

“La era del dividendo de la paz hace mucho que acabó. La arquitectura de seguridad con la que contábamos ya no puede darse por sentada. Europa está dispuesta a estar a la altura de las circunstancias. Debemos invertir en defensa, reforzar nuestras capacidades y adoptar una actitud activa en materia de seguridad”, declaraba Ursula von der Leyen, presidenta de la Comisión.

El sector tecnológico jugará un papel muy importante en la preparación y el rearme ante el clima belicista que impera en el escenario internacional. Entre las líneas de actuación fundamentales que contempla en el Libro Blanco está “acelerar la transformación de la defensa mediante innovaciones revolucionarias como la inteligencia artificial y la tecnología cuántica”.

Al hilo de ello, hace apenas unas semanas hablábamos acerca de los dilemas que comporta el uso de IA en el ámbito militar.

Por otro lado, es indudable que la guerra ha cambiado y ya no sólo se combate en el campo de batalla. “El ejército antes era de tierra, mar, aire y espacio. Y ahora está también el ciberespacio, que se ha convertido en un campo de batalla más para todos los gobiernos”, comenta Manuel Sánchez Rubio, director del Máster en Ciberseguridad de la Universidad Internacional de La Rioja (UNIR).

No en vano, en los últimos años se ha acuñado el concepto de ‘guerra híbrida’, que va más allá del frente, utilizando diferentes medios para atacar y desestabilizar al enemigo, como terrorismo, insurgencia, movimientos migratorios, secuestros, ciberataques a infraestructuras críticas, desinformación y fake news para manipular a la opinión pública e influir en procesos electorales, etc.

“El gobierno de Rumanía ha tenido que suspender sus elecciones por una supuesta injerencia de Rusia”, recuerda Sánchez. Y mucho más cerca, el centro de inteligencia y situación de la Unión Europea (Intcen) detectó intentos de Rusia de influir en el proceso independentista de Cataluña, trazando vínculos entre el secesionismo catalán y el Kremlin, como informaba El País.

Incremento de los ciberataques a España

El posicionamiento de España al lado de Ucrania también está provocando un aumento de los ciberataques. The Objective daba cuenta hace unos días de la oleada de ataques de organizaciones prorrusas como respuesta al alineamiento de nuestro país con Zelenski.

“Se ha observado un aumento significativo de los ciberataques a España, especialmente tras su apoyo a Ucrania en el conflicto con Rusia. Sin ir más lejos, y según los datos del CNI, España fue el país que más ciberataques sufrió en el mes de febrero. Y entre los días 5 y 11 de marzo nuestro país registró 107 incidentes, por delante de Estados Unidos y de Israel”, especifica Hervé Lambert, Global Consumer Operations Manager de Panda Security.

“Desde que el presidente Pedro Sánchez se posicionara públicamente a favor de Volodímir Zelenski en la guerra que enfrenta a su país con el presidido por Vladímir Putin, varios grupos de hackers prorrusos han lanzado decenas de ataques a instituciones y empresas españolas. De hecho, estos ciberataques han afectado a diversas compañías y organizaciones españolas, incluyendo filtraciones de datos y ataques de ransomware. Grupos como Lockbit han sido particularmente activos en España”, puntualiza.

“Se ha observado un aumento significativo en los ciberataques en España en los últimos seis meses, con un promedio de 1.798 incidentes semanales por empresa, según datos de Check Point Research. Una parte de ellos puede estar relacionada con el posicionamiento del país en conflictos internacionales como la guerra de Ucrania o la situación en Palestina”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

En cualquier caso, el profesor de la UNIR recalca que “el aumento de los ciberataques no es sólo una cosa de España, sino que es global”. “Hay que entender que el de España no es un caso aislado. También se está observando un aumento de los ataques en la mayor parte de los países que se están alienando con Ucrania”, coincide Lambert.

Y sólo hay que ver el mapa de ciberamenazas en tiempo real de Kasperksy para darse cuenta de que Europa se ha convertido en el principal enemigo para Rusia.

¿Quiénes y cómo atacan?

Nieva afirma que “los ciberdelincuentes, incluyendo grupos patrocinados por estados, están utilizando conflictos geopolíticos como una excusa para dirigir ataques a infraestructuras críticas, empresas y organismos gubernamentales”.

Además, hace hincapié en que “la digitalización acelerada y el aumento del teletrabajo han ampliado la superficie de ataque, facilitando la explotación de vulnerabilidades ya conocidas y el uso de técnicas avanzadas como el ransomware, así como los ataques a la cadena de suministro”.

Josep Albors, director de Investigación y Concienciación de ESET España, indica que se observa “un aumento de ciertos tipos de ataques muy específicos de baja intensidad, fundamentalmente denegaciones de servicio (DDoS), que han causado cortas disrupciones en algunas de las webs atacadas”. Y también habla de “ataques de defacement a algunas webs para mostrar mensajes afines a los grupos que los han realizado”.

¿Y quiénes están detrás de estos ataques? “La mayoría de los ataques detectados en España provienen de grupos de cibercriminales organizados. Algunos otros, de actores estatales, muchos de ellos con origen en países con intereses geopolíticos contrarios o afectados por los conflictos mencionados. Además, ciertos ataques provienen de grupos asociados con movimientos hacktivistas que utilizan plataformas abiertas para lanzar ataques DDoS o campañas de desinformación. Asimismo, existen ataques motivados económicamente, provenientes de redes de ciberdelincuentes internacionales que aprovechan la coyuntura para realizar extorsiones mediante ransomware”, desgrana el director técnico de Check Point.

Igualmente, Lambert anota que los ataques DDoS “provienen, en su gran mayoría, de grupos de hackers prorrusos que ya los han reivindicado como parte de la ofensiva híbrida que Moscú está ejerciendo contra algunos países de la UE”. “Es decir, son ataques más bien de advertencia, pero que generan un clima de inseguridad que puede provocar, también, cierta desestabilización”, subraya.

Además, recuerda que el Centro Criptológico Nacional (CCN) ha avisado de que España es uno de los países más atacados por hacktivistas tras su apoyo a Ucrania. “Organizaciones como No-Name057 ya se han atribuido algunos de estos ataques contra instituciones españolas como represalia al apoyo del Gobierno español a Kiev. Pero no son los únicos que podrían estar detrás de estas amenazas. Otros grupos como TwoNet, People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet o Z-Pentest también podrían estar detrás de los ciberataques”, puntualiza.

Por su parte, José Rosell, CEO y socio fundador de S2 Grupo, indica que “estas actividades no provienen exclusivamente de un solo país o actor, sino que se enmarcan dentro de una estrategia global de guerra híbrida, en la que intervienen tanto Estados con capacidades ofensivas avanzadas como grupos afines con motivaciones geopolíticas o económicas”.

Así pues, señala que “se han identificado actividades de actores vinculados a Rusia, Corea del Norte, Irán y otros países con capacidad ofensiva consolidada, además de operaciones ejecutadas por grupos cibercriminales que pueden actuar con apoyo estatal o por cuenta propia”.

Además, apunta que “existen grupos de cibercriminales y actores no estatales que, ya sea por encargo o interés propio, ejecutan ataques sofisticados contra infraestructuras clave”.

¿A dónde se dirigen los ataques?

Los objetivos de estos ataques son muy diversos. “Habitualmente, sus objetivos son organismos públicos y algunas empresas relacionadas con sectores como el de la administración pública, transporte, comunicaciones, autoridades portuarias, etc. Y no siempre de una importancia relevante. Es su manera de llamar la atención para difundir sus mensajes de propaganda afín al Kremlin, reivindicando sus acciones como una represalia ante las acciones que España y muchos otros países han tomado para apoyar a Ucrania”, detalla Albors.

Igualmente, Nieva afirma que “los ataques tienen ámbito indiscriminado, desde infraestructuras críticas —sector energético, transporte, sanidad y telecomunicaciones—, ya que su interrupción puede generar un impacto significativo en la sociedad, como a organismos gubernamentales y empresas del sector financiero y tecnológico, que son también objetivos recurrentes”.

Por su parte, el responsable de Panda dice que “los principales blancos de estos ataques están siendo, hasta el momento, ayuntamientos, ministerios y grandes compañías de distribución”.

Rosell explica que “estos ataques pueden responder a diferentes motivaciones, desde represalias geopolíticas hasta operaciones de espionaje, sabotaje o desestabilización”.

Además, Lambert señala que “los principales ciberataques se han registrado en instituciones gubernamentales y empresas estratégicas, porque lo que buscan estos grupos es crear un ambiente de inseguridad y desestabilizar las entidades clave”.

Asimismo, el portavoz de Check Point especifica que “los atacantes buscan desde obtener datos sensibles o conseguir rédito económico con técnicas como el ransomware, hasta interrumpir servicios esenciales para generar caos o presionar políticamente”.

Y el CEO de S2 Grupo recalca que, “además de los ataques técnicos, observamos campañas de desinformación e interferencia con el objetivo de influir en la opinión pública y en la toma de decisiones gubernamentales, como parte de una estrategia de desestabilización híbrida”.

La ciberdefensa, un gasto militar más

Con los partidos políticos debatiendo sobre la pertinencia o no de elevar el gasto militar, de lo que no cabe duda es que la ciberdefensa debe incorporarse en dicha partida. “Los atacantes pueden entrar en los sistemas de cualquier elemento crítico, jugando con la estabilidad de un país. Son activos que hay que defenderlos y protegerlos, porque los daños colaterales que pueden derivarse son importantes”, advierte el profesor de la UNIR.

“El ciberespacio se ha consolidado como un dominio de conflicto tan relevante como el terrestre, aéreo, marítimo o espacial. La defensa nacional no puede considerarse completa sin una estrategia robusta de ciberdefensa, que incluya detección avanzada, inteligencia de amenazas, respuesta inmediata y capacidades ofensivas controladas”, admite Rosell.

“Estamos hablando de la guerra híbrida. Hasta el presidente Pedro Sánchez ha enfatizado la importancia de la ciberseguridad y la lucha contra el terrorismo como componentes integrales de la inversión en seguridad. Recordemos que se prevé alcanzar el 2% del PIB en gasto de defensa antes de 2029. El propio ministro de Economía, Comercio y Empresa, Carlos Cuerpo, ha solicitado a Bruselas que la definición de gasto en defensa incluya la ciberseguridad, las infraestructuras críticas y el control de fronteras”, coindice el responsable de Panda.

Aunque esto realmente no es tan novedoso. “La ciberseguridad está incluida dentro del gasto militar desde hace varios años. España cuenta con el Mando Conjunto de Ciberdefensa precisamente para hacer frente a este tipo de ataques en un escenario de guerra híbrida. Además de esta unidad, también contamos con unidades especializadas en la lucha contra el cibercrimen, tanto en Guardia Civil, Policía Nacional, unidades policiales autonómicas como la Ertzaintza o Mossos d’Esquadra o el CCN”, apunta Albors.

¿Qué puede incluirse dentro de la ciberdefensa?

Lambert indica que en esta partida se podrían incluir inversiones en infraestructuras críticas, desarrollo de tecnologías avanzadas y formación de personal especializado. También hace hincapié en que “es clave asegurar la resiliencia de sectores como la energía, el transporte y las comunicaciones”.

Además, aunque reconoce que ya se están realizando inversiones en tecnologías como el 5G en entornos militares para mejorar la encriptación, la ciberseguridad y la protección de datos en instalaciones estratégicas, cree que “la digitalización de la administración pública aún enfrenta importantes desafíos que pueden dar lugar a incidentes de seguridad que se podrían evitar con más financiación”.

Asimismo, Nieva dice que “la partida de ciberseguridad dentro del gasto militar debería incluir la formación especializada para garantizar la disponibilidad de profesionales capacitados en ciberdefensa”. También cree que es fundamental invertir en tecnologías avanzadas, como IA y análisis predictivo, para detectar amenazas de manera proactiva.

Igualmente, considera esencial crear centros de ciberdefensa que permitan la monitorización continua y una respuesta rápida ante incidentes. Asimismo, señala que la protección de infraestructuras críticas debe ser una prioridad, “ya que su interrupción puede generar graves consecuencias sociales y económicas”.

Por su parte, el CEO de S2 Grupo opina que habría que invertir en entrenamiento, inteligencia, mando y control, plataformas y capacidades defensivas adaptadas a entornos híbridos IT+OT y plataformas y capacidades ofensivas.

Recalca que “es clave que estas inversiones prioricen tecnologías de uso dual, es decir, aplicables tanto en el entorno civil como militar, facilitando su escalabilidad, eficiencia y resiliencia presupuestaria”.

Finalmente, el experto de Check Point pone el acento en la importancia de promover la colaboración internacional, ya que esto “contribuirá a enfrentar amenazas transnacionales y mejorar la coordinación en ciberseguridad”.

En este sentido, Rosell reseña que el ‘Informe anual de datos de defensa 2023’ de la Agencia Europea de Defensa (EDA) “advierte sobre la fragmentación de capacidades entre estados miembro y la necesidad de priorizar soluciones interoperables y soberanas en dominios como el ciberespacio”.

¿Cómo articular la inversión?

La manera de afrontar el necesario incremento en la inversión en defensa y si deben hacerlos los estados miembros de manera individual o la UE de manera conjunta es otro de los debates que están encima de la mesa.

“Cierto es que el Gobierno de España ha propuesto incluir en el gasto partidas relacionadas con la ciberseguridad, con la defensa de las infraestructuras críticas y la protección de la frontera sur de la UE. Y, quizá, dicha financiación podría articularse a través de fondos europeos. No en vano, ya se están destinando fondos europeos a proyectos que mejoren las capacidades de ciberseguridad en entornos militares, como el despliegue de redes 5G en centros de adiestramiento militar, con una inversión de alrededor de 15 millones de euros, por lo que no sería descabellado pensar que estos mismos fondos podrían utilizarse también para incluir la inversión en ciberseguridad en el aumento de gasto de defensa”, detalla Lambert.

Igualmente, el CEO de S2 Grupo remarca que “Europa cuenta actualmente con instrumentos financieros relevantes como el European Defence Fund (EDF), EDIRPA o el recientemente propuesto SAFE (Security and Action for Europe)”.

Además, señala que “existen oportunidades a través de programas nacionales vinculados al Mecanismo de Recuperación y Resiliencia o los fondos de cohesión”.

Nieva opina que “la articulación de la inversión en ciberseguridad debería incluir la utilización de fondos europeos, como los provenientes de programas como NextGen EU”.

“Estos fondos pueden canalizarse hacia proyectos que fomenten la resiliencia digital, apoyando tanto el sector público como el privado. Además, se pueden establecer colaboraciones público-privadas para desarrollar capacidades tecnológicas de última generación”, aclara.

“La inversión también debe alinearse con los objetivos estratégicos europeos, garantizando una mayor cohesión en la defensa cibernética a nivel comunitario. Esto implicará la creación de centros de excelencia en ciberdefensa, el fortalecimiento de la infraestructura nacional y el impulso a la investigación y el desarrollo en nuevas tecnologías de seguridad”, añade.

En cualquier caso, Rosell cree que “el reto está en canalizar más inversión, y hacerlo mediante mecanismos eficaces que permitan fortalecer las capacidades europeas y sostener un ecosistema tecnológico europeo competitivo en ciberseguridad”.

“La clave no es tanto definir cómo deben venir los fondos, sino asegurar que Europa cuente con los marcos adecuados para proteger su tejido industrial en ciberseguridad, incentivar el desarrollo de soluciones propias, garantizar escalabilidad y evitar la dependencia tecnológica de terceros países. La autonomía digital no se construye únicamente con financiación, sino con una estrategia industrial sólida y una arquitectura de instrumentos que favorezca el crecimiento de empresas europeas especializadas, con capacidad real de proteger sectores estratégicos en el nuevo escenario geopolítico”, concluye.