El 12 de mayo de 2017 se produjo la infección mundial de WannaCry. Un ataque informático de una escala nunca antes vista tumbó los sistemas de instituciones públicas, hospitales, medios de transporte y todo tipo de empresas de 180 países. El episodio marcaría la concepción de la ciberseguridad a partir de entonces, algo que Mariano Rajoy aún no podía intuir cuando dos semanas después anunció la creación de un “Centro de Operaciones de Ciberseguridad de la Administración General del Estado” ante una pregunta parlamentaria sobre cómo pensaba responder su Gobierno a nuevas amenazas como WannaCry.
Ese Centro de Operaciones de Ciberseguridad o SOC, como se conocen este tipo de instalaciones entre los especialistas, tenía la misión de concentrar en un solo punto de control los recursos de ciberseguridad del Estado. La idea es que incluso una ofensiva contra un pequeño ayuntamiento pudiera ser contrarrestada con todas las herramientas tecnológicas de las que dispone el sector público, vigilando su evolución, impidiendo posibles contagios a otras redes y compartiendo la información con los organismos de ciberseguridad que apoyan a las empresas privadas.
Casi cinco años después del anuncio de Rajoy, el SOC de la Administración General del Estado aún no se ha puesto en marcha y no lo hará, al menos, hasta 2023. Por el momento ni siquiera está definido dónde se ubicará.
De alerta en alerta
La realidad es que Rajoy no ideó el nuevo organismo de ciberseguridad como respuesta a la crisis de WannaCry, sino que recuperó una idea antigua. El SOC de las administraciones públicas ya apareció reflejado en un acuerdo de 2015 entre el Centro Criptológico Nacional (CCN, responsable de la ciberseguridad de las infraestructuras públicas) y el Ministerio de Política Territorial. Pero tras rescatarlo como una medida de urgencia que exponer en el Congreso, Rajoy no se dio demasiada prisa por ponerlo en marcha. Hasta el punto de que su creación ni siquiera había sido aprobada un año después, cuando la moción de censura lo sacó de la presidencia del Gobierno.
Por el camino, en diciembre de 2017, Soraya Sáenz de Santamaría, entonces vicepresidenta y ministra de Administraciones Territoriales, había vuelto a confirmar en un evento ante 1.700 expertos en ciberseguridad que su Ejecutivo veía “prioritario” poner en marcha el SOC en 2018 ante el “incesante incremento de los ciberataques que también sufren las entidades del sector público”, como recogió un documento preparado por la Secretaría de Estado de Administración Digital.
La aprobación definitiva del SOC no llegaría hasta febrero de 2019, cuando el Consejo de Ministros dio luz verde al proyecto ya con Pedro Sánchez como presidente. “Los servicios electrónicos, que se han convertido en el centro de la tramitación administrativa y son obligatorios para las empresas y usados de manera creciente por los ciudadanos, carecen en la actualidad de una protección necesaria capaz de mitigar las crecientes amenazas procedentes del exterior”, reflejaba la referencia del Consejo de Ministros.
Pero entonces la actualidad se llevó por delante todos los planes para el nuevo organismo. Pedro Sánchez convocó elecciones, se presentó a la investidura de la mano de Ciudadanos (recordando en su discurso ante el Pleno del Congreso su compromiso de crear un “poner en marcha el Centro de Operaciones de Ciberseguridad”) pero no logró los apoyos necesarios. Repetición electoral, negociación e investidura del gobierno de coalición y pandemia de coronavirus se sucedieron en pocos meses.
El SOC quedó congelado hasta la primavera de 2021, cuando una grave campaña de ciberataques afectó a numerosas instituciones del sector público. El SEPE y el Ministerio de Trabajo sufrieron infecciones de ransomware que paralizaron su trabajo durante semanas. Los sistemas de los ministerios de Asuntos Económicos, de Industria y de Educación, así como el Tribunal de Cuentas, el Consejo de Seguridad Nuclear y varios ayuntamientos también se vieron afectados por ataques de diversa gravedad. El Gobierno planteó un “plan de choque” para frenarlos y presentó de nuevo al SOC como respuesta a la crisis.
“El Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS) reforzará las capacidades de vigilancia, prevención, protección, detección, respuesta ante incidentes de ciberseguridad, asesoramiento y apoyo a la gestión de la ciberseguridad de un modo centralizado, mediante el correspondiente catálogo de servicios, que mediante optimización y economías de escala permita una mejor eficacia y eficiencia, con los ahorros de dinero, esfuerzo y tiempo derivados”, recogió la referencia del Consejo de Ministros del 25 de mayo de 2021.
Por el procedimiento de urgencia
La licitación definitiva no se produjo hasta ocho meses después. En febrero de este año, la Secretaría General de Administración Digital, dependiente de Asuntos Económicos, adjudicó su construcción a una Unión Temporal de Empresas (UTE) formada por Telefónica e Indra. El contrató es por 46 millones de euros que saldrán de los fondos europeos, se adjudicó sin concurso y por el procedimiento de urgencia. El pliego refleja que no estará operativo hasta 2023.
Pese a todo, al SOC, ahora renombrado a COCS, aún le quedaba otra aparición como medida de urgencia ante ciberataques. En el Consejo de Ministros de esta semana, la vicepresidenta Nadia Calviño detalló el Plan de Respuesta a la guerra de Ucrania anunciado por Sánchez el lunes, en el que una de las medidas es la “aceleración” de la puesta en marcha del Centro de Operaciones de Ciberseguridad de las administraciones públicas.
elDiario.es se ha puesto en contacto con la UTE de Telefónica e Indra para preguntar por la posibilidad de adelantar plazos para la ejecución del COCS, pero han rechazado hacer ningún comentario. Fuentes de la Secretaría General de Administración Digital explican a este medio que los planes siguen siendo los mismos: “La inversión de construcción e implantación se desarrollará en los años 2022 y 2023”.
El Gobierno espera que el COCS sirva para proteger la nube de los servicios públicos y sus servicios de comunicaciones, así como para mejorar el “intercambio de información de ciberincidentes”. “Se trata de una infraestructura dotada de hardware, software y servicios alojada en los centros de proceso de datos de la Secretaría General de Administración Digital integrada con las demás infraestructuras que permiten a dicha Secretaría la prestación de los servicios que ofrece”, prosiguen las mismas fuentes.
Desde la Secretaría General de Administración Digital no han contestado, no obstante, a la pregunta sobre por qué se terminó empleando el procedimiento de urgencia para ejecutar un centro cuya construcción estaba planteada desde hace años.
Si hubiera estado activo
¿Qué habría pasado si el COCS hubiera sido instalado lanzado en 2017 y construido en 2018, como planteó originalmente Rajoy? “Seguramente incidentes como el del SEPE se podrían haber mitigado mucho mejor”, contesta Miguel López, director general de la firma de ciberseguridad Barracuda Networks.
“Desde luego es bueno que se haya llevado a cabo, pero no deja de ser una lástima que no se haya podido hacer bastante antes”, continúa el experto, que destaca que los 46 millones que el Gobierno ha dedicado para ello “lo colocan como una de las mayores iniciativas de ciberseguridad del Estado”. Si están bien empleados o no, es algo que habrá que juzgar cuando se ponga en marcha y se puedan evaluar sus capacidades, destaca López.
“Telefónica e Indra son dos empresas que cuentan con todos los recursos y capacidades necesarias para llevar a cabo esta adjudicación. Pero hay más compañías que cuentan con esas capacidades. Teniendo en cuenta el tiempo que se lleva hablando de esto, lo ideal probablemente habría sido sacar un procedimiento más pausado y con mayores garantías”, concluye.