Tras un 2020 pandémico en el que se han acelerado tanto el ritmo como la intensidad de los ciberataques a todos los niveles, el Consejo de Ministros acaba de aprobar este martes la puesta en marcha de un paquete de medidas urgentes en materia de ciberseguridad con el fin de mejorar las capacidades de defensa virtual del sector público y las entidades que suministran tecnologías y servicios al mismo.
En particular, en 2020, prácticas como el comercio en línea, el teletrabajo, o la enseñanza a distancia han permitido la continuidad de actividades esenciales en unas condiciones de restricción de la movilidad y confinamiento social debido a la Covid-19. Sin embargo, esto ha acarreado a su vez una evidente expansión del perímetro digital, y asociado a ello ha venido, claramente, un mayor grado de vulnerabilidad frente a los ciberataques. Y una mayor cantidad de estos mismos.
Antes de 2020, la proyección para el año 2022 de un número estimado de ciberataques alcanzaba los 50.000. Esa cifra queda muy atrás después de los 73.184 detectados por el Centro Criptológico Nacional en los primeros once meses del año 2020. Paliar esto se ha convertido por tanto en una prioridad.
Entre las medidas a adoptar, se encuentra la adopción de un Plan de Choque de Ciberseguridad y la actualización del Esquema Nacional de Seguridad, que data del año 2015.
El diseño de esta nueva estrategia ha corrido a cargo del Departamento de Seguridad Nacional, órgano consultivo adscrito a Moncloa, en colaboración con los 22 ministerios, en un claro intento desde el Gobierno de poner el foco en una amenaza cada vez más real y peligrosa y de concienciar en ello a la ciudadanía.
El plan de choque incluye medidas para la protección frente al código malicioso, la extensión de los servicios para localizar ciberamenazas en equipos de usuario, la implantación de la vigilancia de accesos remotos, el refuerzo de las capacidades de búsqueda de amenazas y la ampliación de las capacidades de ciberinteligencia.
Esta decisión integral del Gobierno llega tan solo unos meses después del ciberataque recibido por el Servicio Público de Empleo Estatal (SEPE), sobre el cual EL ESPAÑOL ya reveló que no tenía los certificados de seguridad exigidos por el CNI cuando se consumó la ciberamenaza, dejando al descubierto los datos de miles de españoles.
Asimismo, también se busca la extensión de la aplicación del segundo factor en los procesos de identificación y autenticación, el despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes y mejorar la recuperación ante desastres, la concienciación y la formación, así como revisar la normativa de ciberseguridad.
Esquema nacional de seguridad
El Gobierno implementará el Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos para reforzar las capacidades de vigilancia, prevención y protección. Esta medida, prevista en los planes previos de ciberseguridad y el plan de recuperación, permitirá contar con economías de escala que permitan una mejor eficacia y eficiencia del uso de recursos.
En cuanto al Esquema Nacional de Seguridad (ENS), se aprobará un nuevo Real Decreto que sustituya al anterior y lo adapte "al cambio radical" sufrido en este sector desde 2010.
En el Informa Anual de Seguridad Nacional, cuyos detalles ha ido revelando este periódico en los últimos días, el Departamento de Seguridad Nacional, el CNI y Moncloa marcan esa defensa contra los ciberataques como un reto sustancial para los próximos años. La creciente digitalización tanto de la Administración Pública como del sector empresarial (debido a su composición basada fundamentalmente en pymes) y de la sociedad en general hace que esto resulte cada vez más necesario.
"Este mayor grado de digitalización incrementa su vulnerabilidad ante ciberamenazas, a menudo ejecutados desde el exterior a través de complejas redes y sistemas cada vez más difíciles de detectar y de neutralizar", indica el informe. "Además, la situación actual generada por la pandemia y el aumento de la conectividad, entre otros motivos por el teletrabajo, supone un incremento de la superficie de exposición y por tanto del riesgo de sufrir un ciberataque, ya que el teletrabajo y la administración en remoto suponen más puntos de acceso, y en muchos casos más vulnerables, para los ciberagresores".
Este nuevo esquema implantado por Moncloa plantea unos principios básicos, requisitos mínimos y mecanismos de conformidad y monitorización para la administración digital y las entidades que colaboren en ellas por lo que el Ministerio lo considera "un instrumento esencial" para que esta administración sea "robusta y confiable".
Para el sector privado, se promoverá e incentivará la adopción de sistemas, estándares y políticas de gestión de seguridad en el sector privado en particular, lo que aumenta el nivel de ciberseguridad de los proveedores.