Javier Diéguez, director general de la Cyberzaintza: “El cibercrimen es la tercera economía del mundo”
Javier Diéguez Barriocanal es ingeniero informático por la Universidad de Deusto, ha liderado proyectos de ciberseguridad en grandes corporaciones privadas del sector, ha asesorado a organismos públicos y en la actualidad dirige la Cyberzaintza o Agencia Vasca de Ciberseguridad, un nuevo organismo creado en 2023 y cuyo nombre suena similar al de la Ertzaintza. De hecho, esta institución toma el relevo del antiguo BCSC (Basque Ciber Security Center) y ha pasado a colgar del Departamento de Seguridad y no del área económica del Gobierno. La sede de la Cyberzaintza está en la última planta de un edificio acristalado del parque tecnológico de Miñano, al norte de Vitoria. En los últimos días ha tenido su primera gran misión a raíz de los ataques del grupo de 'hackers' prorrusos NoName057(16) y ahora coordinará la vigilancia de la parte virtual de las inminentes elecciones vascas. El director general sostiene que en Euskadi hay “sensibilidad” para entender que hay que poner medios contra lo que define como el gran crimen organizado mundial, con un volumen económico que solamente superan dos países, Estados Unidos y China. Confía en que a lo largo de 2024 se duplique el presupuesto y la plantilla con la que arrancó la agencia hace unos meses. Señala también que la Cyberzaintza tiene que ser “aliada” del CCN (Centro Criptológico Nacional), la rama de ciberseguridad de los servicios secretos de España, el CNI.
Seis instituciones vascas han sido ciberatacadas en la última semana. ¿Es grave?
Sí. Es grave. Sabemos de la existencia de NoName057(16) y de sus actividades desde hace ya dos años, prácticamente desde que se declaró el conflicto armado entre Rusia y Ucrania. Hasta ahora no habíamos tenido nunca noticia de que objetivos del ámbito de Euskadi estuvieran en el punto de mira. Pero esta vez sí. Hemos visto que ha tenido cierto impacto en algunas entidades concretas que no mencionaré. Únicamente diré que son seis.
¿Por qué no se pueden dar los nombres de las instituciones? ¿Por qué se ha tardado una semana en informar de que han sido atacadas? El Parlamento vasco ya lo comunicó el martes 6 de febrero.
Somos un CERT, un equipo de respuesta a incidentes informáticos. Estamos homologados a nivel internacional y tenemos unos códigos éticos en relación con la confidencialidad muy estrictos. Cuando sucede, dejamos que hable de ese incidente la organización afectada, salvo que explícitamente nos autoricen a hablar de ello. Como no lo han hecho, nosotros no podemos hacerlo. ¿Por qué no hemos hablado antes de ello? Porque la campaña estaba en curso y no sabíamos qué impacto iba a tener ni cuánto se iba a extender. Hasta que no hemos tenido clara la extensión de la crisis, nos ha parecido prematuro dar unas conclusiones o una información que podían generar más alarma de la estrictamente necesaria.
¿Qué se hizo tras los ataques?
Lo primero, como decía, es el trabajo previo. Hemos sido capaces de identificar quiénes eran los objetivos confirmados, es decir, quiénes iban a ser atacados. Y les hemos podido avisar antes. Estamos conectados a una red de confianza internacional que nos va aportando información sobre cómo mitigar el ataque de NoName057(16). Conocemos qué tipo de tráfico están generando para atacar a las instituciones y con esa caracterización pedíamos bloquear un tipo de tráfico. Además de eso, se estaba identificando desde qué áreas geográficas del mundo procedía. Eso es fácil de segmentar porque se ve en un rango de direcciones IP. Se han podido configurar las infraestructuras para que los tráficos procedentes de esos rangos no fuesen aceptados. Con eso se reduce muchísimo el nivel de tráfico entrante.
¿Cómo se produjo el ataque?
La secuencia fue con la incorporación de dos entidades vascas el martes 6, otras dos el miércoles 7 y otras dos el jueves 8. Luego hubo repetición de ataques. Fue un tema limitado a eso. El fin de semana ya tuvimos claro que el tema no iba a más y considerábamos injustificado generar una alarma general porque realmente el ataque no era general sino contra seis organizaciones concretas.
¿Quiénes son NoName057(16)?
Es un grupo con una cierta trayectoria. Hay otros. No es el único. Pero éste, concretamente, tiene un perfil prorruso. Están alineados con el papel de Rusia en el conflicto armado con Ucrania y se dedican, principalmente, a atacar a aquellos Estados que han manifestado públicamente que son afines a Ucrania. Sus campañas, generalmente, son de este estilo, de denegación de servicio. Provocan un incremento de tráfico de comunicación entrante hacia objetivos concretos para que sus infraestructuras dejen de estar operativas. Después, cuando tienen éxito, lo publican en su cuenta de Telegram. Ése es el 'modus operandi'. Si ocurre en un período en el que no tiene impactos colaterales, como ha sido el caso, la cosa queda un poco diluida. Pero esto podría suceder en momentos mucho más delicados o a organizaciones menos preparadas y lo que tenemos que hacer es ser conscientes de que un trabajo de preparación puede mitigar en gran medida el impacto del del incidente.
¿Qué enseñanzas se extraen del episodio?
Ha podido ser un ejercicio para que estas organizaciones detecten mejoras en sus capacidades y en sus infraestructuras. Y también ha servido de alguna manera para poner en valor el rol de la Cyberzaintza en este tipo de escenarios de amenaza. Hasta la existencia de la agencia, había una visión individual del problema. Alguien recibía un incidente, lo resolvía y seguía caminando. El rol de la Cyberzaintza es precisamente haber podido alertar antes de que sucediera y hacer acompañamiento durante la crisis, incorporando información concreta que ayuda a mitigar el efecto de la amenaza. Esa experiencia ha revertido en una mejor protección transversal del resto de entidades. Creamos una mesa interinstitucional en la que iniciamos actividades básicas de identificación de interlocutores clave para este tipo de situaciones a los que pudiéramos alertar cuando algo pudiera pasar. Es una una labor de mutua confianza, de contacto frecuente.
En noviembre también fueron atacado los servidores de una proveedora de Lanbide. Hemos conocido otros episodios en hospitales de Catalunya o en el Ministerio de Trabajo. ¿Realmente la sociedad es consciente de la magnitud de este problema?
Diría que no. Poco a poco, gracias en gran medida al trabajo que están haciendo los medios de comunicación desde WannaCry [un ataque global en 2017], esto está teniendo más visibilidad. Éste ha sido un caso de activismo. Por su perfil, NoName057(16) no quiere obtener beneficios económicos. Pero en otros casos es así. Diría que la sociedad no está del todo concienciada. Si fuera un país, el cibercrimen sería la tercera economía del mundo sólo por detrás de Estados Unidos y de China. Mueve un volumen de dinero ingente. El impacto que tiene en la economía global es mayor que el de los tres tráficos más importantes juntos, el de personas, el de drogas y el de armas. Otro indicador: en la Ertzaintza, el 90% de las denuncias de delitos informáticos que reciben son por estafas. Eso es que se ha tenido imprudencia en las relaciones digitales: has concedido datos o has realizado acciones que te han hecho vulnerable para que alguien te pueda estafar o robar dinero.
Recientemente, se ha conocido que los semáforos de Vitoria, por ejemplo, se van a gestionar con un aplicativo de Google. En Bilbao hay sistemas de inteligencia artificial para monitorizar personas o vehículos. ¿Qué ocurriría si alguien manipula esta información?
No conozco exactamente cómo se van a securizar los accesos a esas infraestructuras, pero cualquiera que esté conectada es ciberatacable. Otra cosa es que luego se haga una gestión eficaz de la fortificación para que no sea sencillo. Esto es una problemática que lleva ya tiempo encima de la mesa. El Gobierno de España, hace más de diez años, publicó la Ley de Protección de Infraestructuras Críticas y el reglamento para su cumplimiento. Inició ya una preparación para que este tipo de servicios esenciales, como puede ser la regulación del tráfico, la gestión de las aguas o el suministro eléctrico, tengan al menos una serie de mecanismos de protección o de recuperación que minimicen el impacto en la sociedad. Y, en Euskadi, más allá del plan del Gobierno de España, se extendió esa sensibilidad hacia otras organizaciones que operaban en el territorio. No superaban los umbrales necesarios para ser nombradas infraestructuras críticas para el Estado pero había que protegerlos igualmente porque afectaban de una manera esencial a la vida en Euskadi.
Un fiscal de Gipuzkoa experto en la materia ironizó que las instituciones tienen que perseguir aviones con un Seat 600. ¿Está bien dotada la Cyberzaintza?
Uno siempre quiere tener más para poder hacer mejor su trabajo. Lo que hay que valorar aquí es el esfuerzo que se está haciendo. Y no solamente en Euskadi. Hay un esfuerzo general en otras comunidades autónomas y en el Gobierno de España para para poder hacer frente a esta amenaza creciente. Pero también es cierto que las entidades que atacan están muy fuertemente financiadas. Generalmente, quien juega el ataque va un paso por delante y quien tiene que defender, como es nuestro caso, hace lo que puede. Pero quiero poner en positivo la situación nuestra: el Gobierno vasco ha decidido crear esta esta agencia. Tenemos margen de mejora pero esa sensibilidad está ahí. La ley para aprobar la creación de la Cyberzaintza se hizo en trámite de urgencia, porque se veía que era un tema que no podía esperar. Es cierto que, obviamente, en un primer momento de arranque, una institución como la nuestra tiene mucho recorrido por delante y mucho margen de mejora. Espero que en los próximos meses tengamos un perfil de capacidades de protección mejor que el que tenemos ahora. Tenemos referentes y experiencias en las que podemos mirarnos concretamente. En nuestro caso, el más evidente es el de Cataluña, que tiene una mayor experiencia por el tiempo que llevan ya con su agencia. Y, por supuesto, está el Centro Criptológico Nacional (CCN), que lleva también ya más de una década ayudando a las administraciones públicas y que para nosotros ahora mismo es un aliado.
¿Son suficientes 2 millones de presupuesto?
La respuesta es no. De hecho, ya estamos trabajando con el Departamento de Hacienda en una posible ampliación de ese presupuesto en múltiplo. Ha sido simplemente un dinero para echar a andar pero este mismo año vamos a multiplicar el presupuesto y duplicar la plantilla.
Mencionaba antes el CCN, que depende del CNI. ¿Cuál es la relación entre la Cyberzaintza y el CCN?
El Centro Criptológico Nacional es el organismo competente a nivel del Estado para velar por la ciberseguridad y proteger a las administraciones públicas. La propia Estrategia Nacional de Ciberseguridad promueve la creación de capacidades de respuesta en las comunidades autónomas. Lo que el Centro Criptológico Nacional está buscando son socios locales que le ayuden a canalizar todos los servicios y todas las capacidades que ellos tienen, porque no pueden gestionar desde un único equipo toda la diversidad y todo el volumen que supone la geografía del Estado. Ese socio en Euskadi es la Cyberzaintza. Estamos ahora mismo en el proceso de acordar un protocolo general de actuación en el cual compartiremos información, herramientas y buenas prácticas, como no puede ser de otra manera. Es el organismo de referencia con el cual hay que coordinarse.
La ciberseguridad afecta también a particulares y a empresas.
Sí, sí. Hay que dejar claro que no acaba la amenaza en grupos activistas. Hay otras con ánimo lucrativo. Mencionaba precisamente el problema con las estafas. El cibercrimen lo que busca es dinero. O dinero o ventajas competitivas, que al final siempre se traducen en dinero. Hay un marco grande de victimización de ciudadanía y empresas. No tengo los datos concretos de segmentación de las denuncias, porque no somos un organismo policial, pero probablemente el dinero defraudado sea mucho mayor en el ámbito privado doméstico que en el ámbito público.
¿Qué consejos básicos tiene que seguir un usuario en una empresa o a nivel particular para al menos tener un mínimo de protección ante estas circunstancias?
El criterio general es la prudencia, como en todos los ámbitos de la vida. Pero hay algunas actitudes que pueden ayudar a que sea más difícil que nos victimicen. Si se va a hacer alguna actividad relacionada con dinero, toca asegurarse de que es una URL confiable y legítima. Por supuesto, hay que mantener los equipos domésticos, el teléfono móvil o los equipos de sobremesa y portátiles con los últimos parches de seguridad para que sea más difícil ser víctimas de algún tipo de 'malware'. Y que no tengamos contraseñas de fábrica. Que sean difíciles de romper en la medida de lo posible. Hay que usar más el doble factor, como ya están haciendo los bancos enviándonos una verificación a nuestro teléfono móvil. Y, por supuesto, tener copias de respaldo, 'backups' de lo que podamos. Si tenemos la mala suerte de que nos entra un 'ransomware', que nos cifra todo y no podemos acceder a nada, que al menos tengamos un dispositivo de almacenamiento desconectado del equipo atacado del cual podamos recuperar la actividad normal. En el caso de las empresas, hay una práctica que no es técnica sino de sensibilización: entrenarse. Todo el mundo tiene interiorizados los simulacros de incendios, pero estaría muy bien uno de esto. Nosotros lo hacemos con las organizaciones de nuestra mesa interinstitucional. Recreamos un escenario de infección por 'ransomware' y fuga de credenciales. Normalmente, las organizaciones participantes se suelen llevar deberes porque siempre se identifica algún área donde se puede mejorar. Y no siempre es una cuestión de dinero.
Se avecinan unas elecciones en Euskadi. En otros procesos se ha hablado de intrusiones. Aquí no se utiliza el voto electrónico, pero, ¿habrá algún tipo de refuerzo especial de seguridad informática?
Sí, se va a crear un operativo de vigilancia digital que se va a activar durante la última semana de febrero. Se ha establecido un espectro de vigilancia de activos no solamente relacionados con el Gobierno sino también de otros ámbitos. Se me ocurren, por ejemplo, redes sociales, tratar la influencia en la opinión durante el día de reflexión. Es el único proceso electoral en el que el Gobierno autonómico tiene competencias. Pero yo iría más allá. Tenemos el proceso electoral, sí, pero también a nadie se le escapa que en breve tenemos una campaña de declaración del IRPF. Tenemos una visión mucho más amplia del problema.
¿En qué consiste exactamente esa monitorización de las redes sociales? ¿Y los nodos de 'bots'?
Lo que hacemos básicamente es identificar cuáles son las cuentas sensibles y estar atentos a que haya un reporte de un incidente, que alguien nos pueda alertar de que han secuestrado su cuenta. En cuanto a los 'bots', se hace una investigación y se trabaja en el desmantelamiento a través de nuestros contactos internacionales. Solemos actuar informando a las personas o a los organismos que tienen capacidad para detener eso en origen. Generalmente, se bloquea el dominio o el espacio donde se origina esa campaña. Es cierto también que de repente la misma campaña te surge en otro lado y empieza otra vez el trabajo. Pero eso, como digo, forma parte del escenario en el que nos toca jugar. Y no porque sea laborioso y costoso vamos a dejar de hacerlo, ¿no?
0