Así se descubrió el ciberataque al Gobierno que tiene en vilo al CNI y a la Guardia Civil

Más de 72 horas combatiendo un ciberataque que tumbó las webs y servicios 'online' del Instituto Nacional de Estadística (INE) y al menos cuatro ministerios (Educación, Economía, Industria y Justicia). Es el balance de la última 'guerra' digital a la que se ha enfrentado el Centro Criptológico Nacional (CCN), dependiente del CNI, y que sigue manteniendo en vilo no solo a los servicios de Inteligencia del Gobierno, también a la unidad de delitos telemáticos de la Guardia Civil que, como han confirmado a este diario fuentes gubernamentales, ha asumido la investigación tras la denuncia interpuesta por el Ministerio de Economía.

Sobre el papel, no parecía alarmante: la página web del INE fuera de servicio unas doce horas y las de varios ministerios algo más de cinco. Sin embargo, fuentes gubernamentales confirman que el ciberataque preocupa al CNI por múltiples motivos: primero, porque llueve sobre mojado, tras el potente ataque al SEPE en marzo y un posterior derribo de las redes consulares dependientes del Ministerio de Exteriores; segundo, por la naturaleza múltiple y sincronizada de este nuevo incidente; y tercero, y más inquietante, se baraja la posibilidad de estar solo ante el primer embiste de una posible segunda oleada. El asunto preocupa tanto que la Guardia Civil ha pedido ayuda al FBI y a Europol para intentar frenar la amenaza. Se considera que estamos ante una campaña global de ataques en la que España es solo uno más de múltiples países que se verán afectados.

TE PUEDE INTERESAR

Una oleada de ciberataques tumba las webs del INE, Justicia, Economía y más ministerios

C. Otto M. A. Méndez Ignacio Cembrero

El ciberataque, que comenzó este jueves por la tarde cuando la web del INE comenzó a experimentar problemas, era la crónica de un caos anunciado el 16 de abril. Ese día, un analista de la firma de ciberseguridad estadounidense Mandiant (propiedad de FireEye) publicó un críptico tuit con varios dominios y el hashtag #CobaltStrike. En realidad, estaba advirtiendo del ciberataque que una semana después sufriría el INE y cuatro ministerios y que no se detectaría por primera vez en nuestro país hasta el miércoles 21.

"Se trata de una campaña de ataque global usando el 'software' Cobalt Strike. Funciona como una red de pesca: tú lo lanzas y esperas a ver qué atrapas. Si lo que cazas es grande, entonces pasas a la siguiente fase, añades un 'ransomware', secuestras los sistemas, los cifras y pides un rescate. Eso es lo que ocurrió con el SEPE, pero no hay de momento ningún indicio que relacione ambos ataques. De hecho, ni los sistemas del INE ni los de los ministerios afectados han sido cifrados", explica a El Confidencial una fuente gubernamental conocedora del incidente que pide el anonimato.

Cobalt Strike es un 'software' activo desde 2012 usado para escanear la red y detectar posibles vulnerabilidades de sistemas informáticos, es decir, posibles agujeros de seguridad. Esta herramienta es muy común entre profesionales de ciberseguridad pero también, evidentemente, entre cibercriminales en busca de objetivos.

"Con este 'software' lo que consigues es detectar una vulnerabilidad y generar un archivo al que, para entendernos, le metes un 'bicho', un troyano o un 'ransomware'. Luego le mandas eso a algún empleado dentro de un ministerio o una empresa para colarte en su red. Lo más sencillo es por ingeniería social: le envías un email a alguien haciéndote pasar por uno de sus amigos, le pides que se descargue un PDF y, cuando lo hace, se está descargando un virus. Ese virus se comunica luego con alguno de los dominios que se publicaron días antes. Y es ahí cuando tus sistemas de detección de intrusiones pueden descubrir que estás siendo atacado", explica un especialista en ciberseguridad conocedor del ciberataque.

Eso ocurrió en algún despacho del INE o de los cuatro ministerios afectados el miércoles 21. Y ahí empezó el caos. En ese momento, dieron la voz de alarma y decidieron cortar por lo sano. Apagaron los sistemas y tumbaron las webs. La caída de las páginas no fue el objetivo del ciberataque, como se podía pensar al inicio, en realidad fue la consecuencia del mismo. "Cuando entrabas en las webs y las analizabas, te dabas cuenta de que no había servidor detrás, habían apagado todo". ¿Por qué?

"Es la única forma de evitar la propagación del ataque y ver qué hay afectado. Una vez te has colado en la red, puedes ir escalando privilegios, moviéndote lateralmente a otros sistemas e ir infectando todo", explica el especialista en ciberseguridad. Tanto el INE como los cuatro ministerios lograron el viernes recuperar los sistemas, encendieron de nuevo las máquinas y todo volvió a la normalidad. Sin embargo, el peligro no ha desaparecido. "Es cierto que hay preocupación. Se está analizando el alcance de lo ocurrido y el peligro es que haya más 'software' malicioso latente", explican fuentes gubernamentales.

"Sinceramente, es para estar preocupados", reconocen otro especialista en ciberseguridad. "Es muy difícil saber hasta dónde han llegado. Pueden haber dejado en el sistema lo que se conoce como una APT, una 'advanced persistent threat', que es un trozo de 'malware' que permanece latente y no es detectado durante un periodo de tiempo pero es capaz de inutilizar sistemas en un momento dado. O pueden haber dejado una bomba lógica, un trozo de código preprogramado para activarse cuando se cumplan ciertas condiciones. Que hayan solucionado temporalmente el problema no es garantía de que ya no exista una amenaza".

Un motivo adicional de preocupación es una de las infraestructuras que podían haberse visto afectadas por el ataque, la red SARA. Se trata de un conjunto de sistemas desde el que se coordina gran parte de los portales de administración electrónica del Gobierno de España, ministerios, CCAA e instituciones europeas. Esta red alberga sistemas críticos como el acceso a una web pública mediante firma electrónica, los registros electrónicos, los procedimientos burocráticos y un amplio abanico de servicios. Una caída de la red SARA sumiría a la administración en un caos total, un 'efecto SEPE' pero multiplicado por 10. "Todo apunta a que ese era su objetivo", señalan las fuentes consultadas.

¿Quién está detrás?

El señalamiento hacia Rusia suele ser frecuente, pero lo cierto es que las pruebas son casi siempre inexistentes. En cualquier caso, nunca es fácil atribuir un ataque a un país extranjero, ya que con frecuencia los estados atacantes no ejecutan sus acciones con equipos o personal propios, sino que recurren a grupos organizados de cibercriminales o ‘cibermercenarios’, que son los encargados de encontrar las vulnerabilidades y aprovecharse de ellas.

Fuentes gubernamentales han confirmado a este diario que la infraestructura tecnológica desde donde se lanzó el ataque estaba ubicada en EEUU, pero eso no quiere decir nada. Las mentes pensantes pueden estar en otro rincón del mundo. Lo más lógico, por tanto, es que los ciberataques hayan sido perpetrados por grupos de ciberdelincuentes profesionales. La duda, en todo caso, estará en si actuaban por iniciativa propia o por encargo de un tercero. "La investigación de momento no apunta a nadie. Aún se está analizando la localización y se tardará días en saber algo concreto", señalan las fuentes consultadas.

El CCN-CERT tiene identificados a los siguientes grupos internacionales, a los que en su último informe sobre ciberamenazas y tendencias atribuye la inmensa mayoría de ataques hacia nuestro país:

Sea como fuere, lo que está claro es que España es uno de los países en el punto de mira de ciberataques a nivel mundial, tanto en el ámbito corporativo (ataques a empresas) como en el geopolítico (ataques a gobiernos o infraestructuras críticas). En el ámbito corporativo estamos en los dos lados de la balanza: somos el primer país del mundo que más ataques recibe, según Imperva, el segundo, según CyberEdge... y al mismo tiempo el primero desde el que se envía más archivos adjuntos maliciosos, según Kaspersky.

En el ámbito geopolítico, el que atañe a los ciberataques recibidos esta semana, los incidentes en nuestro país cotizan claramente al alza. Según reconoce el CCN-CERT, los ataques geopolíticos contra España se han duplicado en los últimos cuatro años, llegando a los 42.997 en 2019.

Yolanda Quintana, periodista y autora del libro 'Ciberguerra', recuerda que "el CCN-CERT viene advirtiendo que la principal amenaza para nuestra ciberseguridad no son los ciberdelincuentes, sino las actividades ofensivas de otros Estados. En una situación de tensiones geopolíticas, la Unión Europea es un objetivo de la ciberguerra, como se han demostrado en ataques de todo tipo y campañas de desinformación en los últimos años". Estos ataques, de hecho, "suelen coincidir con periodos electorales o de inestabilidad política y social que pueden verse como un brecha o oportunidad para alterar equilibrios en el tablero geopolítico", explica a este diario.

"La principal amenaza para nuestra ciberseguridad no son los ciberdelincuentes, sino las actividades ofensivas de otros Estados"

Dentro de este tipo de acciones hay un tipo especialmente grave: los ciberataques a infraestructuras críticas, dirigidos específicamente a suministros básicos como el sistema eléctrico, el de agua, el de gas o el de comunicaciones. Según el último Informe de Seguridad Nacional, nuestro país sufrió 89 incidentes efectivos (es decir, que llegaron a comprometer en los sectores estratégicos) en 2019, frente a los 22 de 2018 y los 54 de 2017.

¿Cómo se cuelan los grupos de ciberdelincuentes internacionales en nuestros sistemas informáticos? El Instituto Nacional de Ciberseguridad (Incibe) los clasifica desde 2015 en el Estudio sobre la Cibercriminalidad en España: la evolución en estos años evidencia que el ‘malware’ y los sistemas vulnerables son dos de las principales puertas de entrada a nuestro país.

Que un país vea atacados sus sistemas informáticos no es ni mucho menos baladí. Se suele pensar que este tipo de incidentes afecta a operaciones internas de los estados y no acaban teniendo un perjuicio claro sobre los ciudadanos, pero la realidad dice lo contrario. Por poner algunos ejemplos: si se ataca con éxito la infraestructura crítica de un país, sus ciudadanos pueden quedarse sin luz, sin agua o sin gas, como pasó en Ucrania (y en España, sin ir más lejos, una empresa ya demostró cómo podía dejar sin luz a un barrio entero).

Pero hay más opciones. En caso de que el ataque se produzca en la red interna de una administración pública, las consecuencias son imprevisibles, y en España tenemos experiencia de sobra en ello: ciudadanos sin poder tramitar sus ayudas al desempleo (lo que ocurrió en el SEPE), sin poder acceder a su sistema de seguros de salud (como les ocurrió a los clientes de Adeslas) o sin poder realizar trámites electrónicos en su ayuntamiento o en su hospital. Para Yolanda Quintana, el perjuicio irá en función de quién esté ciberatacando. "Si el atacante es un delincuente buscará datos que pueda vender, cuanto más sensibles mejor; si es un gobierno, intentará causar el mayor impacto sin importarle el beneficio económico".