España afronta la ciberprotección de la cumbre de la OTAN con el escándalo de Pegasus aún latente

40 delegaciones: los 30 estados miembros de la OTAN, más ocho países invitados por su posición estratégica (cuatro de la UE y otros cuatro del área Asia-Pacifico), más otros dos equipos representando a la Comisión y el Consejo europeos. Un total de 5.000 participantes. 5.000 jugosos objetivos para un ciberataque.

La seguridad de la cumbre de la OTAN que comienza este miércoles en Madrid ha provocado el mayor despliegue de medios de la historia reciente de España. Unos 9.000 agentes entre policías y guardias civiles, a los que se sumarán policías municipales y bomberos. En el terreno digital, la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior coordina un dispositivo que incluirá al Centro Criptológico Nacional, dependiente del CNI y por tanto del Ministerio de Defensa, así como a entidades privadas.

A las tradicionales amenazas físicas como el terrorismo se une en esta cumbre la amenaza informática. Incluso la ministra de Defensa, Margarita Robles, ha reconocido que “existe la posibilidad” de que se produzca un ciberataque durante la cumbre.

Fuentes del sector de la ciberseguridad exponen a elDiario.es que la ciberseguridad del encuentro se enfrenta a tres tipos de ofensivas. En primer lugar están los ataques destructivos, cuyo objetivo es inhabilitar infraestructuras o canales de información. Normalmente son mucho menos habituales que aquellos que persiguen comprometer dispositivos para el ciberespionaje, pero los expertos apuntan a que no pueden descartarse en el actual contexto bélico.

“Es difícil decir cuál de los dos tipos de ataques puede ser más peligroso”, explica Miguel López, director general de Barracuda Networks, una firma internacional de ciberseguridad. “Es cierto que el robo de información y el espionaje es algo muy importante en una cumbre como esta. Pero también hay que pensar que en la situación que vivimos ahora mismo, con un conflicto bélico en varios países, realizar un ataque que simplemente fuera destructivo y persiguiera dañar la imagen de los organismos implicados también podría ser bastante exitoso”.

“No sabría decir cuál de los dos a día de hoy podría preocupar más las autoridades en este momento”, añade.

Interior tendrá el apoyo de la Oficina de Seguridad de OTAN. López señala que “España tiene una experiencia amplia en este tipo de eventos y habitualmente se ha salido bastante airoso”, aunque la cumbre no llega en el mejor momento. “Recientemente hemos visto que en el pasado los protocolos de ciberseguridad en la administración pública española no eran los mejores y es notorio que hemos sufrido escándalos”, recuerda. Pegasus está todavía en el espejo retrovisor.

Pegasus, un software de espionaje diseñado por la empresa israelí NSO, infectó con éxito a varios miembros del Gobierno. El Ejecutivo ha reconocido que los teléfonos de Pedro Sánchez, Margarita Robles, del ministro del Interior Fernando Grande-Marlaska y de la entonces ministra de Exteriores, Arancha González Laya, fueron comprometidos en 2021. El anunció llegó poco después de que un informe del Citizen Lab, un instituto de investigación de la Universidad de Toronto, destapara que decenas de políticos independentistas catalanes y vascos, así como miembros de la sociedad civil, fueron hackeados con Pegasus, que oficialmente solo se vende a gobiernos.

Pegasus es conocido por ser uno de los software de su tipo más potentes del mercado. Un teléfono infectado se convierte en un dispositivo espía controlado por los atacantes. Da acceso a cualquier información guardada en él, permite rastrear su ubicación y también activar a voluntad la cámara o el micrófono para vigilar reuniones o encuentros. Esto hace que Pegasus no solo comprometa la seguridad de la víctima sino la de todos los que le rodean.

El escándalo que siguió a las revelaciones del Citizen Lab aún colea en la política española, con la relación entre el Govern de la Generalitat y el Gobierno todavía prácticamente congelada. Aunque ha habido otros ejecutivos europeos que han sido atacados con Pegasus, como el británico o el francés, España es el único país que ha reconocido una infección en lo más alto del Gobierno y confirmado que se produjo robo de información.

Los objetivos de Pegasus se eligen por nombre y apellidos. El programa se autodestruye si compromete un dispositivo que no está en su lista de objetivos, lo que pretende dificultar su detección. Con todo, este tipo de software de espionaje puede encontrar un entorno ideal en encuentros de mandatarios. “Una cumbre como esta se ciberprotege poniendo medidas extra de ciberseguridad, por estar todos los mandatarios y las delegaciones en el mismo lugar, conectándose a las mismas redes”, detalla Hugo Álvarez, manager en la península ibérica de Perception Point, una firma israelí de ciberseguridad. 

El objetivo es crear “un entorno lo más aislado y seguro posible, para evitar cualquier tipo de intrusión”, continúa el experto: “A las delegaciones se les recuerda que no deben compartir datos a través de Bluetooth o de canales que pueden ser más inseguros por naturaleza. Pero son una serie de normas que conocen perfectamente y simplemente hay que recordárselas, porque las tienen que aplicar siempre en su día a día, por la naturaleza de la información que manejan, mientras ocupan esas responsabilidades”.

Daño reputacional

Ni Robles ni ninguna autoridad oficial han mencionado específicamente a Rusia o la posibilidad de que sea el Kremlin el que intente comprometer la ciberseguridad de la cumbre. No obstante, existe un tercer tipo de ofensiva digital que Rusia ha demostrado manejar y que, como un ataque destructivo exitoso, también puede dañar gravemente la reputación del adversario. Una maniobra como la que acaba de sufrir José Luis Martínez Almeida.

El alcalde de Madrid ha reconocido que mantuvo una reunión por videoconferencia con alguien que le hizo creer a él y a todo su equipo que era el alcalde de Kiev. En un momento de la conversación, alguien se dio cuenta que Almeida estaba hablando con un impostor y “se cortó la comunicación”, han explicado fuentes del Ayuntamiento a este medio.

En el consistorio de la capital aún no saben con quién habló el alcalde. Sin embargo, la acción recuerda a otra muy similar que sufrió María Dolores de Cospedal cuando era ministra de Defensa. Entonces alguien que se identificó como su homólogo letón consiguió hablar telefónicamente con ella para informarle de que había obtenido información que revelaba de Carles Puigdemont era en realidad un espía ruso con el nombre en clave “Cipollino”.

Aquello ocurrió en otoño de 2017, cuando el Gobierno de Mariano Rajoy había aumentado la hostilidad verbal ante la supuesta injerencia rusa en el procés. Entonces la llamada fue reivindicada por cómicos rusos.

En esta ocasión Martínez Almeida puede excusarse en que otros regidores europeos han sido víctimas de la misma acción. La alcaldesa de Berlín y el de Viena, que llegó a publicar un hilo en Twitter dando detalles de la conversación cuando aún pensaba que su interlocutor era el verdadero regidor de Kiev, también han sufrido la “broma”.

Desde la Alcaldía de Berlín se apunta a que la acción se desarrollo a través de la tecnología deepfake, un sistema de inteligencia artificial capaz de modular la cara del interlocutor para que simule los rasgos y movimientos faciales de la persona suplantada. El ataque del falso alcalde de Kiev se produjo la semana pasada, en medio de los preparativos de la cumbre de la OTAN en Madrid, y muestra una amenaza más a la que podría tener que enfrentarse el dispositivo de ciberseguridad que debe protegerla.