«Incidentes como el del SEPE son un punto de inflexión, que te llevan a darte cuenta de lo que estás haciendo y del margen de mejora que tienes (...). Lo importante es saber cómo mañana puedo mejorar mi postura de seguridad siendo disuasorio, en línea a los principios de mejora continua y resiliencia»
¿Cuáles son las principales amenazas del sector público?
Las administraciones públicas son el sector que acumula mayor número de incidentes, seguido del sanitario y del de infraestructuras digitales. Representan el 19% del total, según el último informe del panorama de amenazas de la Agencia europea para la Ciberseguridad ENISA. El hecho de ser infraestructuras críticas con servicios esenciales y de manejar información sensible hace que las entidades públicas sean objetivo de los ciberdelincuentes que buscan poder causar el mayor impacto.
La afectación sumada al rédito económico hace que el cibercrimen organizado vea las entidades públicas como una “oportunidad” de ataque y negocio. Para Pablo López lo importante no es que estos casos puedan ser la punta del iceberg, sino "se trata de identificar el problema, saber por qué pasa e intentar que no pase otra vez”. El responsable del Área Normativa del CCN defiende que la estrategia de las administraciones debe pasar por “la mejora continua y la resiliencia” en un marco de gobernanza.
“La tecnología es explosiva y la ciberseguridad debe acompañar el desarrollo de toda esta tecnología”, apunta Mar López en el podcast. La que fuera jefa de la Oficina de Ciberseguridad y Lucha contra la Desinformación del Departamento de Seguridad Nacional, en Moncloa, considera que el nivel de madurez ha avanzado enormemente en la administración pública, pero quedan muchos aspectos por mejorar. Uno de ellos es la inversión y otro la agilización de los procesos de contratación. Mar López añade uno más: la falta profesionales. “Hay muchos muy buenos, pero no son suficientes”. Desde el sector privado, explica, “debemos compartir no solo profesionales, sino también conocimientos” para fortalecer el nivel de seguridad.
Cooperación público-privada para fortalecer la ciberseguridad
Precisamente, ambos coinciden en destacar que el impulso de la normativa y, en concreto el Esquema Nacional de Seguridad (ENS), ha servido para potenciar la madurez de la ciberseguridad, tanto en el sector público como en las empresas proveedoras y las infraestructuras que dan soporte. “El ENS es como el certificado escolar” según Pablo López que “fija unas medidas y unos requisitos que todo el mundo debe cumplir”. Es la manera de confirmar y evidenciar que administraciones y empresas “hacen sus deberes” aportando “confianza”.
Tendencias y recomendaciones
Esa proliferación de amenazas y vulnerabilidades también se recoge en el Informe de Tendencias en Ciberseguridad 2024, elaborado por Sofistic. Su Country Manager en España, Fernando Denis Ramírez, analiza las principales conclusiones y recomendaciones en el podcast. Alerta del incremento de usuarios que caen en ataques de phishing, pinchando en enlaces fraudulentos e introduciendo datos. Además, la interacción del usuario es la que está generando el mayor volumen de alertas de seguridad. Este escenario, según Ramírez, hace imprescindible adoptar estrategias de detección y respuesta MDR, tecnologías avanzadas, modelos Zero Trust y planes de formación y concienciación.
«Vemos cómo se comporta el usuario, cuándo hace login, si lo hace por la noche o si comparte un fichero fuera de su organización. Tenemos mucho más volumen de información y eso hace que se generen más alertas e incidentes. No quiere decir que antes no ocurrieran, pero ahora tenemos una visión más amplia»
Capacitación: desde la dirección hasta el usuario final
La escalada de amenazas va acompañada de mayor sofisticación, impulsada en gran parte por las nuevas herramientas de inteligencia artificial generativa (AI Gen). En una de las charlas de la propia RootedCON, por ejemplo, se demostró cómo puede clonarse sintéticamente la voz de un CEO para intentar cometer estafas. Ante estas amenazas de ingeniería social, los expertos apuestan por la formación y capacitación, poniendo el foco tanto en los equipos directivos como en los y las usuarias finales.
A pesar de la complejidad de los ataques, según Pablo López, hay que formar a los usuarios y usuarias para que sean capaces de identificar amenazas o acciones sospechosas. Junto al sentido común, la ciberseguridad debe estar presente en todos los procedimientos. Además, “as direcciones son las que deben estar concienciadas de verdad y de invertir en ciberseguridad” matiza Mar López quien defiende que es la vía para tener “esa higiene digital que minimiza riesgos” y permite recuperarse ante un incidente.
«La seguridad no es por capricho, la seguridad no viene a tocar las narices (...) Las medidas de seguridad se proponen y se ponen en marcha para proteger algo que es valioso»
