Pánico a los 'hackeos' en España: dinero público a dedo para blindar las AAPP

El pasado 27 de julio, ADIF hizo públicos cuatro contratos por valor de 2,68 millones de euros: uno de 1,66 millones adjudicado a Everis para recibir un servicio de consultoría en ciberseguridad, otro de 600.000 euros a SIA (empresa propiedad de Indra) para reforzar la seguridad de los accesos a su sistema informático, otro de 330.000 euros a Seidor para comprar licencias de su plataforma de correo electrónico y otro de 90.000 euros a Fujitsu para comprar licencias de antivirus. La fecha, por desgracia, no podía ser más conveniente: apenas cinco días antes, el 22 de julio, se supo que la empresa pública había sido víctima de un ciberataque que dejó expuestos 8GB de material sensible de la organización, que incluía contratos, direcciones de correo, datos de empleados y una ingente cantidad de material interno.

Dada la lógica cercanía con su ciberataque y ante la inmediatez de reducir daños, los cuatro contratos fueron adjudicados por el procedimiento de emergencia, es decir, sin concurso abierto, negociado directamente con el adjudicatario. Lejos de ser un caso único, este tipo de procedimiento ha sido frecuente entre muchos otros organismos públicos, tal y como revela la reciente investigación de la fundación sin ánimo de lucro Civio, especializada en la lucha contra la opacidad de las administraciones públicas, que ha elaborado el listado completo de todos los contratos adjudicados mediante el proceso de emergencia en 2020.

TE PUEDE INTERESAR

Empresas y Gobierno, desprotegidos ante el teletrabajo: "Faltan medios y ciberseguridad"

C. Otto

Everis y S21, a la cabeza de los contratistas

Partiendo de los datos recopilados por Civio, este diario ha analizado todas las adjudicaciones relacionadas con uno de los aspectos más demandados en los últimos años y especialmente con la llegada de la pandemia: la ciberseguridad. Durante el año pasado, las administraciones públicas españolas acudieron en diversas ocasiones a los contratos de emergencia para contratar servicios de empresas de dicho sector.

Entre las empresas adjudicatarias destacan algunas como Everis, S21, SIA, Acuntia/Axians o Telefónica, que recibieron el mayor importe económico. En el caso de Everis fue por un solo contrato (el adjudicado por ADIF), mientras que S21 (una de las empresas decanas del sector en España) recibió cuatro contrataciones, SIA dos, Acuntia/Axians tres y Telefónica otras tres.

Entre los contratos, que superan los 10 millones de euros, la tipología es diversa, destacando los adjudicados por administraciones públicas especialmente críticas y destinados a evitar accesos al sistema por parte de personas ajenas a la institución. La Dirección del Servicio de Gestión Económica de la Agencia Estatal de la Administración Tributaria, por ejemplo, pagó 188.000 euros por el "arrendamiento de la plataforma de detección y prevención de intrusiones de la sede electrónica de la Agencia" al grupo ICA. Siguiendo con los servicios críticos, varios hospitales públicos españoles hicieron diversas contrataciones para instalar cortafuegos o reforzar sus medidas de ciberseguridad. En la siguiente tabla puede consultarse los más de 60 contratos en materia de ciberseguridad adjudicados por la vía de urgencia.

Así mismo, el Centre de Telecomunicacions i Tecnologies de la Informació de la Generalitat de Cataluña también realizó diversas adjudicaciones en esta materia. Pagó 1,2 millones de euros a S21 para que le desarrollara un sistema de inteligencia artificial para localizar posibles movimientos de terrorismo yihadista en internet, así como 717.000 euros a SIRT para instalar sus conexiones anonimizadas.

En cualquier caso, predominan las contrataciones destinadas a reforzar la protección de navegación y comunicaciones de sus empleados. Así, abundan los contratos de adjudicación de licencias de antivirus, de instalación de cortafuegos, de VPN (servicio para navegar de forma anónima), de protección de comunicaciones en videoconferencias o de identificación en los sistemas de cada organización.

Un año plagado de ciberataques

Lo cierto es que 2020 fue un año con una intensa actividad de ciberataques. Y es que al aumento lógico de este tipo de ataques a medida que pasan los años hay que añadir un factor extra: la pandemia o, más concretamente, el teletrabajo. El hecho de que muchas empresas mandasen a sus empleados a casa disparó los ciberataques por varios motivos: porque los equipos no podían comunicarse debidamente entre ellos (con lo que es más difícil evitar prácticas como el 'phishing'), porque muchos empleados trabajan desde sus ordenadores personales (que no tienen por qué ser seguros), porque las conexiones no eran anónimas ni estaban protegidas, etc.

El propio Centro Criptológico Nacional (CCN–CERT), dependiente del Centro Nacional de Inteligencia (CNI), alertaba de estos peligros en un informe del año pasado, en el que aseguraba que "el aumento del uso de soluciones en la nube, conexiones VPN, servicios de escritorio remoto virtual (VDI), redes de confianza cero y gestión de identidades, servicios y tecnologías para el acceso remoto, uso de herramientas colaborativas, aplicaciones de videoconferencia, etc. generará que los ataques a estos entornos, en especial a los sistemas públicamente expuestos, sigan creciendo".

Los datos le acabaron dando la razón. En su Balance de Ciberseguridad 2020, el Instituto Nacional de Ciberseguridad (Incibe) informa de que en 2020 atendió un total de 133.155 incidentes de ciberseguridad en toda España, una cifra récord desde que recopila sus registros. De hecho estos datos venían experimentando una caída desde 2017, pero el año pasado volvieron a crecer.

Hay otro dato llamativo: el de la tipología de dichos incidentes. El 'malware' venía siendo históricamente la tercera fuente de infecciones, muy por detrás de otros factores como el fraude, pero en 2020 creció de manera exponencial y se situó en el primer puesto de las estrategias de ciberataque.

Por desgracia, nuestro país acumuló varios ejemplos de ello en 2020. Al ciberataque de Adif hay que sumarle otros como el de Mapfre, que en agosto vio infectados sus equipos con 'ransomware' y fue informando puntualmente de la evolución de sus sistemas informáticos. Endesa también sufrió los efectos del 'malware' en octubre, aunque, según su versión, consiguió que los incidentes no durasen más de un día. Los sectores vinculados a la sanidad también se vieron afectados por ciberataques: el Hospital de Torrejón de Ardoz sufrió uno poco antes de que explotara la pandemia, mientras que la farmacéutica Zendal fue víctima de un fraude del CEO que le hizo perder nueve millones de euros. Aunque el caso más grave y sonado fue el de Adeslas, que mantuvo su servicio inutilizado casi un mes debido a un ciberataque.

Con estos mimbres, a los que hubo que sumar la incidencia del covid-19 y el persistente aumento de los ciberataques críticos (como el que aún sigue afectando al SEPE), la mayoría de instituciones públicas españolas tuvieron que actualizar o reforzar sus sistemas de ciberseguridad para evitar ataques. El debate, en todo caso, está en si cada una puede justificar no haber recurrido a los concursos públicos establecidos, sino a la contratación de emergencia.

Nota metodológica

Para elaborar el listado de contratos se ha atendido a aquellos en los que se aludiese de manera y directa al refuerzo de la ciberseguridad en la institución correspondiente, filtrando aquellas adjudicaciones dedicadas específicamente a la contratación de servicios de ciberseguridad, instalación de cortafuegos o VPN, compra de dispositivos de seguridad informática, antivirus, etc. Por tanto, se ha dejado al margen aquellos contratos (por ejemplo, de adquisición de equipos informáticos destinados al teletrabajo) en los que puede haber una parte de ciberseguridad pero esta no es el motivo único ni principal de la contratación.