El ciberataque al INIA evidencia la escasa inversión en ciberseguridad de la Administración

Miguel Ángel Valero

El Instituto Nacional de Investigación y Tecnología Agraria (INIA), perteneciente al Consejo Superior de Investigaciones Científicas (CSIC), ha sufrido un ataque del tipo 'ransomware', que ha afectado a un número reducido de servidores y equipos de trabajo; y que se ha limitado a la sede central del centro.

El ataque, que no es el primero que sufre, no ha llegado a afectar a otros institutos del INIA ni a otros centros del CSIC. Al detectarse, inmediatamente se aplicaron medidas de prevención para evitar una posible propagación del ataque a otros equipos. Gracias a estas medidas y a las ya operativas en el INIA, se ha contenido y limitado el ataque. 

El 'ransomware' es "una extorsión que se realiza a través de un malware (programa malicioso) que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles", según explica el Instituto Nacional de Ciberserguridad (Incibe) en su página web.

Por recomendación urgente del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), se cortó la red principal y secundaria aislando máquinas, servidores, switches y routers, previniendo la posible propagación de 'ransomware'.

El aislamiento de los dispositivos es una medida obligatoria y preventiva en este tipo de ataques para evitar nuevos accesos por parte del atacante. En paralelo se establecieron internamente procedimientos de trabajo con el fin de poder mantener la capacidad de trabajo del personal del INIA. Se está siguiendo adelante con dichos procedimientos propuestos por los propios departamentos, de forma que una vez que los sistemas recuperen su operatividad se incorporarán a los mismos los avances del trabajo realizado, sin pérdida de efectividad del trabajo de investigación.

Los 600 equipos de usuario de los trabajadores del INIA no son máquinas afectadas por el ciberataque. Los trabajadores pueden acceder solamente a través de red móvil hasta que finalice la fase de recuperación, derivado de la medida de aislamiento aplicada. En estos momentos se está procediendo a recuperar la información a partir de las copias de seguridad, una fase que tiene que hacerse de manera progresiva y supervisada para evitar fallos de seguridad que impliquen nuevos ataques. Todas las actuaciones se están realizando a través del Centro de Operaciones de Ciberseguridad de la Administración General del Estado. 

Falta inversión en ciberseguridad en la Administración

El último ciberataque sufrido por el CSIC ha vuelto a reflejar la falta de ciberseguridad que hay en España. No solo entre las empresas, también en unas Administraciones públicas que recaban miles de datos de gran valor y que en un contexto geopolítico como el actual son un claro objetivo de este tipo de agresiones. Según destacan los expertos en ciberseguridad, “en la Administración hace falta mayor inversión”. 

Hay varios objetivos a la hora de los ciberataques. Uno, como es este caso, es reclamar un rescate para volver a activar los sistemas. Si no se produce ese pago, el sistema sigue paralizado. En otras ocasiones simplemente se quiere traficar con esa información en el mercado negro. Un historial clínico puede valer desde 30$ hasta 1.000$. 

Según los datos analizados por la tecnológica española Pandora FMS de informes del INCIBE, los dispositivos vulnerables en España han aumentado un 26% en un solo año por encima de los 4 millones. Todas las principales ciudades, con Madrid, Barcelona y Valencia como grandes focos de dispositivos, han aumentado la cifra de vulnerables por encima del 24% en todos los casos. En lo que respecta a Madrid y Valencia incluso se supera el 34% con creces. 

“Es una muestra de la importancia de la ciberseguridad”, subrayan los expertos. Los dispositivos vulnerables son todos aquellos puntos con conexión a Internet que están potencialmente expuestos, comprometidos o vulnerables, según especifica el Incibe.

Además, pueden estar afectados por softwares maliciosos o simplemente mal configurados o expuestos sin quererlo. Y esto hace referencia tanto a personas físicas como a empresas y administraciones. 

En 2022 la cifra de dispositivos vulnerables era algo superior a los 3,3 millones. En 2023 ya eran más de 4,1 millones. Un crecimiento del 26%. 

“En España hace falta una mayor formación en ciberseguridad y, en el caso de las empresas y Administraciones, una mayor inversión”, explica Sancho Lerena, CEO de Pandora FMS. “Hay muchos sistemas anticuados o que no son compatibles entre sí. Hay mucho personal al que no se le saca todo el provecho por un exceso de tareas. Hay que apostar por la monitorización para simplificar los procesos y tener una mayor observabilidad desde un mismo punto”, indica.

Según los datos analizados por Pandora FMS, los ciberataques a sectores estratégicos han descendido un 80% en cuatro años. Sin embargo, baja el número total, no la gravedad del ataque. El 25% de los ciberataques son a operadores estratégicos son para el sector transporte, el mismo porcentaje que el bancario. El 22% fueron al sector de la energía. Y el 18% lo concentró el sector TIC y comunicaciones. 

Los ciberataques van ligados a muchos escenarios, pero entre ellos al de la tensión geopolítica y a la digitalización de las diferentes administraciones. Los ciberatacantes buscan revender los datos, un simple rescate o únicamente paralizar la actividad económica de una empresa o un país. 

La creciente digitalización y la evolución constante de las amenazas cibernéticas subrayan la necesidad de enfoques proactivos en ciberseguridad. “La integración de herramientas de monitorización no solo mejora la seguridad, sino que también optimiza la eficiencia operativa y reduce los costos asociados con las brechas de seguridad”, concluye Sancho Lerena.