El pasado 11 de marzo salía a la luz que el Ministerio de Defensa español había sufrido una intrusión en sus sistemas informáticos. El propio Ministerio trasladaba a la Fiscalía el conocimiento de dicha intrusión en el servidor general de su red interna.
La intrusión, según se informó en ese primer momento, fue de alrededor de un trimestre. Es decir, que quien consiguiera acceso no autorizado a dicha red interna, logró pasar inadvertido en ella durante tres meses.
En ese momento comenzó la investigación, que se centró desde el primer momento en averiguar si había sido sustraída algún tipo de información.
Según ha publicado hoy el diario El País, el Ministerio de Defensa reconoce que el ataque es más grave de lo que pensaron en un primer momento y atribuye este ataque a una “potencia extranjera”, es decir, que quien está detrás de su autoría es “un Estado”.
Son muchas las preguntas que plantea este caso, cuya complejidad y alcance todavía son desconocidos.
¿Se han visto afectados datos confidenciales?
Al parecer no. La red afectada se trata de la denominada WAC PG o de “propósito general”, desde la cual no se trabaja con información clasificada. Es la que se utiliza para el “día a día” de la organización, y realizar tareas ordinarias.
Dicha red, conecta diferentes organismos de Defensa: desde el propio órgano central del Ministerio al Estado Mayor de la Defensa, los cuarteles de los ejército o las unidades desplegadas en el extranjero.
La red permite el acceso a internet, al correo electrónico, así como distintas bases de datos o servicios de telefonía y es usada por 50.000 personas autorizadas.
Eso sí, los investigadores temen que el software malicioso haya podido infectar otras redes que sí contengan información clasificada.
¿Por qué se cree que otro país ha podido estar detrás de este ataque?
Los investigadores han descartado que un ciberdelincuente, grupo cibercriminal o ciberactivista esté detrás de este ataque debido a su gran complejidad.
O lo que es lo mismo, los recursos (económicos, conocimiento, técnicos, y/o humanos) que necesitaron para llevar a cabo el ciberataque eran demasiado altos como para que un cibercriminal por su cuenta lograra llevarlo a cabo con éxito. Se necesitaban recursos que solamente otra potencia podría tener. Eso no significa necesariamente que otro Estado lo haya llevado a cabo directamente, han podido financiarlo o impulsarlo.
Esto significa que la intrusión forma parte de un acto de ciberespionaje en el que una potencia extranjera o un Estado ha dado las órdenes para que se ejecutara. El objetivo probablemente fuera robar información o averiguar el funcionamiento interno de la organización.
Es probable también que durante ese tiempo que los infiltrados estuvieron buceando en la red operacional estuvieran tratando de acceder a otras redes con información clasificada que, por el momento, no se sabe si consiguieron.
Según ha informado hoy el diario El País, las fuentes consultadas creen que el objetivo del ataque podría ser obtener “secretos tecnológicos de la industria militar”.
¿Cómo se produjo la infección y en qué ha consistido?
Todo indica que la infección se produjo a través del correo electrónico.
Aún no se sabe cómo se produjo exactamente, pero es probable que algún usuario de la red descargara a través de un correo electrónico un virus informático que infectó los sistemas de Defensa.
Se desconoce de qué tipo de software malicioso se trata, pero teniendo en cuenta que se mantuvo activo y oculto durante más de tres meses, podría tratarse de un tipo de amenaza conocida como Amenaza Persistente Avanzada (APT, por sus siglas en inglés: Advance Persistant Threat).
Se trata de un tipo de ataque dirigido que tiene como objetivo una organización concreta.
Esta clase de ataque implica avanzadas y complejas técnicas y conocimientos que usan software malicioso para explotar vulnerabilidades en los sistemas.
¿Ha concluido ya la investigación?
No, la investigación todavía está en curso. En ella se encuentran trabajando diferentes organismos, como el Mando Conjunto de Ciberdefensa o el Centro de Sistemas y Tecnologías de la Información y las Telecomunicaciones (CESTIC).
Según los nuevos datos proporcionados por El País, está descartado (en un 90 %) que el ciberataque procediera del interior de la red.
Ciberseguridad: una prioridad internacional y nacional
Hay una máxima en el terreno de la ciberdefensa y la ciberguerra entre países, que vienen repitiendo todos los expertos del sector como un mantra: la pregunta no es si va a ocurrir (un acto de ciberguerra), sino cuándo. La respuesta al “cuándo” en este caso, casi la tenemos.
El WEF – World Economic Forum (Foro Económico Mundial) realiza un informe anual en el que destaca cuáles son los principales riesgos globales para la humanidad, entre los que destaca para este año, al igual que en años anteriores, la ciberseguridad como una de las principales amenazas, junto con otros como los riesgos ambientales, desastres ambientales o amenazas derivadas de las condiciones económicas y sociopolíticas.
De acuerdo con el Foro, los ciberataques han crecido en volumen y sofisticación y afectan cada vez más a un número mayor de personas. Es por ello que el organismo internacional ha decidido crear un Centro de Seguridad Cibernética que entrará en operación durante este año.
En España, el pasado 15 de marzo se aprobaba el Informe Anual de Seguridad Nacional 2018, un documento en el que se alerta de la relevancia de la ciberseguridad y el aumento del ciberespionaje, una amenaza creciente para la seguridad del país.