La guerra ¿invisible?

Una de las enormes pantallas que presiden las oficinas de la empresa AGE2, localizada en las manzanas del barrio murciano de Espinardo que conforman la 'ciudad financiera' de la Región de Murcia, registra en tiempo real el número de ciberataques que se producen cada jornada en todo el mundo. Es viernes, aún no ha llegado la hora de la comida y el planeta ya se ha tragado casi ocho millones de incidentes en el ciberespacio, del 'malware' al 'phising' y el 'exploit', con Mongolia, Nepal, Angola, Georgia y Taiwán en el 'top 5' de países perjudicados. «Ayer, a la hora del café, íbamos por 14 millones», apunta con pasmosa tranquilidad el director de Desarrollo de Negocio de la firma, José Manuel Alonso, quien recibe a LA VERDAD junto al responsable de Seguridad Informática, Israel Nadal, un cerebro procedente de la 'ciberinteligencia' militar. Los directivos de esta empresa, una de las más asentadas en la Región en este campo y con cientos de clientes del ámbito público y privado, coinciden con todas las fuentes consultadas para este reportaje: quien esté libre de ser espiado, independientemente del tipo de espionaje y de lo que se pretenda con ese material, que tire la primera piedra.

Así lo han demostrado también el presidente del Gobierno, Pedro Sánchez, y la ministra de Defensa, Margarita Robles, cuyos teléfonos corporativos fueron 'hackeados' el año pasado a través del 'software' Pegasus para extraer 2,7 gigabytes y nueve megabytes de información, respectivamente. El Gobierno central explica que aún no sabe qué tipo de información fue robada, ni su grado de sensibilidad, ni el origen del ataque. Lo que sí se conoce por el momento es que Pegasus es un programa israelí que solo se vende a gobiernos y agencias oficiales (en teoría) y que se trata de una cantidad de datos equivalente al espacio requerido para almacenar miles de fotos o varias películas. Si ni siquiera el presidente del Gobierno y la ministra de Defensa están libres de los ciberataques y los ojos ajenos, ¿qué grado de exposición tienen las empresas e instituciones públicas de la Región de Murcia? ¿Y los propios ciudadanos?

«Espiar, según el diccionario de la RAE, significa 'acechar, observar disimuladamente a alguien o algo'. Y, en la segunda acepción, 'intentar conseguir información secreta sobre un país o una empresa'. Según esto, todos somos espiados», recuerda el ingeniero informático y experto en ciberseguridad Luis Gómez, director general de la consultora murciana Utopiux. «En tu teléfono móvil te vas a 'ajustes', y después a 'privacidad' y ahí puedes ver las aplicaciones que están accediendo a las funciones de tu terminal. Desde la localización a la cámara del teléfono, el micrófono, las fotos, los contactos... Es tremendo. Y eso lo estamos permitiendo los propios usuarios. Lo importante es no tener información sensible en el teléfono, y menos aún en el teléfono corporativo», ilustra el responsable de la firma, que también presta servicio a cientos de clientes en la Región y en el resto del país y que va camino de los 20 años de experiencia en el sector.

Entre los clientes de estas consultoras están empresas privadas y administraciones públicas de ámbito estatal, autonómico y local cuyos nombres no se pueden publicar «por cuestiones de seguridad». Según las últimas cifras disponibles en el Instituto Nacional de Estadística (INE), solo cinco de cada cien empresas de la Región de Murcia cuentan con especialistas propios en ciberseguridad. A todos sus clientes, Luis Gómez siempre les repite este mantra: «La seguridad al cien por cien no existe». Es exactamente el mismo mensaje que traslada en sus clases la profesora del Departamento de Tecnologías de la Información y las Comunicaciones de la Universidad Politécnica de Cartagena (UPCT) y directora del Máster en Ciberseguridad (Cyber Pro), Lola Cano, quien recuerda que «al dueño de Amazon, Jeff Bezos, también le 'hackearon' el móvil». Subraya Cano la importancia de «minimizar los riesgos y la exposición» con actuaciones que define como «higiénicas». Medidas tan sencillas, apuntan también los responsables de AGE2, como «actualizar las aplicaciones y los sistemas operativos de los dispositivos de forma habitual, por mucho espacio que ocupen y muchos datos que consuman» esas actualizaciones, defiende Israel Nadal. La razón, apunta, es que «esas descargas incluyen 'parches' con los que se solucionan los problemas de vulnerabilidad que detectan los propios desarrolladores de esos sistemas». Aunque la seguridad «nunca es completa dada la naturaleza de los ataques, que aprovechan vulnerabilidades aún desconocidas incluso por esos propios fabricantes de las aplicaciones y de los dispositivos», explican Nadal y Alonso.

En estas claves también coincide el ingeniero y director general de Informática de la Comunidad Autónoma, Javier Martínez Gilabert, quien lleva tres años liderando un 'batallón' de funcionarios y trabajadores de una empresa externa dedicados a frenar las «varias decenas de ataques» que registra la Comunidad Autónoma cada día, que en realidad suponen una porción ínfima en comparación con esos 14 millones de ataques detectados en todo el mundo «a la hora del café». En total, solo en 2021, las defensas propias del Gobierno regional lograron «detectar y bloquear de forma automática casi 59 millones de amenazas directas contra los sistemas de la Comunidad (sin incluir al sistema educativo). Son ciberataques de diferente tipo e intensidad, aunque hay entre cuatro y cinco incidentes considerados de «riesgo alto» cada mes. Entre estos últimos está, por ejemplo, el ataque de denegación de servicio (DOS) que sufrió el portal educativo regional. Una 'agresión digital' por semana, de media, con «un alcance y un impacto» que compromete seriamente los datos y la información de miles de ciudadanos a través de portales tan sensibles, por ejemplo, como el del Servicio Murciano de Salud (SMS).

Ese 'batallón' de defensa regional está formado por 12 trabajadores de una empresa externa -cuyo contrato anual con el Gobierno murciano ronda el millón de euros-, a los que se suman cinco funcionarios del Servicio de Ciberseguridad de la Dirección General de Informática y otros seis técnicos que se encargan del «perímetro de seguridad de la red» de la Comunidad. Todo suena muy bélico, pero es que Javier Martínez Gilabert tiene claro que estamos ante una «guerra, y hay que tomárselo como tal». De hecho, y según apunta Israel Nadal, las fuerzas armadas de todo el mundo ya tienen muy en cuenta ese «quinto territorio de combate» que supone el ciberespacio después de la tierra, el mar, el aire y el espacio. Una guerra que quizá sea invisible a diario y a ojos de los ciudadanos, pero «cuyas consecuencias son muy visibles y pueden ser fatales para los ciudadanos, para las empresas y para las administraciones públicas», según Martínez Gilabert. Al ser una guerra en toda regla, «no hay garantías de que no te vaya a pasar nada por mucho que inviertas en seguridad». Como Luis Gómez, el director general de Informática también incide en este aspecto: «Si alguien entra a robar a un banco, ese banco tiene que contar con las mayores medidas de seguridad para minimizar el impacto de ese robo, o que el robo sea nulo. Pero nadie te garantiza que no te vayan a entrar a robar», ejemplifica. Pero, ¿resulta costoso alcanzar y mantener un elevado nivel de ciberseguridad? Israel Nadal y José Manuel Alonso se muestran contundentes en este sentido: «La ciberseguridad es una inversión y evidentemente conlleva unos costes. Lo que resulta muy caro es perder según qué información. Y, en algunos casos, mantener paralizada una empresa durante meses por esa pérdida de información e incluso que un ataque suponga el final de esa empresa. Lo realmente caro es no invertir en esa seguridad».

Así, todas las fuentes consultadas se muestran convencidas de la necesidad de «invertir en ciberseguridad» para, por ejemplo, «proteger los datos de los ciudadanos». De los sanitarios a los fiscales. Unos datos que, según la definición del propio Martínez Gilabert, son el «nuevo petróleo». Además, la batalla no tan invisible por ese valioso activo no ha dejado de crecer en intensidad desde la invasión de Ucrania por parte de Rusia. Según apuntan Nadal y Alonso, las consecuencias «pueden ser muy graves, desde la influencia directa en la toma de decisiones por parte del gobiernos hasta la puesta en peligro del estado del bienestar y la economía de un país». Y recuerdan que, en 2007, Estonia fue blanco de masivos ciberataques de origen ruso que hicieron colapsar los sistemas 'online' del país y causaron graves disturbios.

El principal origen de los ciberataques que sufre la Región de Murcia también está en Rusia, además de China, y la cifra de incidentes de riesgo alto se multiplicó por cuatro durante la pandemia en relación a 2019. Según Gilabert, «la principal prioridad dentro de la estrategia de digitalización es la ciberseguridad». Quizá por eso «se sigue logrando preservar la seguridad informática de la Comunidad».

También en lo que se refiere a los dispositivos electrónicos del presidente López Miras y el resto de altos cargos del Ejecutivo regional. «Nosotros ya hemos tomado las medidas oportunas para intentar evitar que Pegasus y otros sistemas tengan efecto en la Región», señala el director general de Informática. Entre esas medidas están la instalación de sistemas antiespionaje 'made in Israel' -el país de origen, precisamente, de la empresa propietaria del programa Pegasus-, y el «contacto directo y permanente» de Gilabert y su equipo con el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), para «reducir el riesgo de exposición» a esas intrusiones en los móviles de los altos cargos. Que, por cierto, ya contaban «con sistemas de seguridad añadidos por la Comunidad Autónoma». Además, «desde que se hizo público este asunto, el CCN nos ha mandado una serie de recomendaciones para aumentar la ciberseguridad y estamos trabajando también con ellos en este sentido, aunque somos autónomos y también tomamos nuestras propias medidas», explica Gilabert.

Pese a todo, la mayoría de los entrevistados aseguran que «queda mucho por hacer» en lo que a ciberseguridad se refiere. «Estamos muy poco concienciados», resume Lola Cano. «Las empresas algo más, pero por desgracia la mayoría lo hacen tras recibir un ataque. Las instituciones también están tomando medidas... ahora», explica Israel Nadal, quien coincide con su compañero José Manuel Alonso al asegurar que, en general «vamos con cierto retraso» a la hora de protegernos frente a esta guerra. «El ciudadano medio se considera muy lejos del objetivo de ataques» como los que han sufrido el presidente del Gobierno y la ministra de Defensa, según Nadal y Alonso. Lo cierto es que «hay empresas que han tenido que pagar rescates por sus datos», coinciden las fuentes, que no recomiendan ceder al chantaje. Pero esto no sale a la luz porque, como bien explica la profesora Cano, «a nadie le gusta exhibir sus vulnerabilidades». Aunque sean cibernéticas.

• Temas
• Región de Murcia
• Pegasus
• Ciberseguridad
• Hackers
• UMU