Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.
La portada de mañana
Acceder
Aldama zarandea al PSOE a las puertas de su congreso más descafeinado
Corazonadas en la consulta: “Ves entrar a un paciente y sabes si está bien o mal”
OPINIÓN | Días de ruido y furia, por Enric González

Los diputados del Congreso usan en su escaño ordenadores de 2006 con software obsoleto y riesgos de seguridad

Pleno del Congreso de los diputados con los ordenadores de los escaños que emplean Windows XP.

Carlos del Castillo

Los ordenadores de los escaños del Congreso de los Diputados emplean Windows XP para funcionar, un sistema operativo que quedó obsoleto hace cinco años, mucho tiempo en el mundo de la tecnología. WindowsXP es uno de los sistemas operativos más inseguros en la actualidad.  La gran implantación que disfrutó a principios de siglo este software lo convirtió en el objetivo preferido de los ciberdelincuentes, que diseñaron todo tipo de código malicioso pensando específicamente en él.

La amenaza que esto supone se multiplicó a partir de 2014, cuando Windows dejó de dotarlo de actualizaciones de seguridad. En 2019, esto es casi lo mismo que decir que carece defensas ante cualquier virus, troyano, gusano informático o código espía medianamente avanzado, además de una puerta abierta ante cualquier ciberatacante que quiera penetrar en un sistema que lo utiliza.

“Los servicios informáticos del Congreso son plenamente conscientes de las problemáticas de seguridad derivadas del uso de Windows XP y las trata de forma acorde”, aseguran fuentes oficiales del Congreso a eldiario.es, que explican que los grandes riesgos que implica el uso de este software obligan a los técnicos del Congreso a tenerlos monitorizados en todo momento.

“Los ordenadores integrados en los escaños operan en un entorno de red completamente aislado del resto de la red de Congreso y se encuentran administrados de forma centralizada mediante una plataforma al efecto que no permite que se puedan realizar cambios de configuración por parte de los usuarios finales y que permite revertir de forma casi instantánea cualquier alteración en el software de éstos”, detallan.

Sin embargo, otras fuentes han informado a eldiario.es que los ordenadores no solo están conectados a Internet, sino que tienen una conexión directa a una red local compartida con los equipos de los despachos de los diputados para que estos puedan acceder desde el hemiciclo a archivos que tengan almacenados allí. El icono que lo permite es un acceso directo en el escritorio de nombre “despacho”, como se aprecia en algunas de las imágenes incluidas en esta información.

Desde el Congreso y los diputados consultados aseguran que el uso que se hace de estos ordenadores es muy limitado, ya que prefieren trabajar sobre las tabletas y teléfonos móviles que les suministra la propia Cámara. “La única función reseñable de estos dispositivos es servir como sistema para la visualización de los datos del escaño y resultados de votaciones”, justifican.

Tampoco es que los ordenadores funcionen muy bien: se instalaron en 2006, cuando Manuel Marín ostentaba la presidencia de la Cámara, y desde entonces no se han modernizado. Su usabilidad, trece años después, es bastante limitada. Por las características de su instalación, empotrada en el escaño, sustituirlos por otros más modernos requeriría levantar la estructura de madera de los 350 escaños. El resto de equipos del Congreso emplean Windows 7 y Windows 10, lo mismo que los sistemas del Senado. En la Cámara Alta no hay ordenadores en los escaños.

La presencia de Windows XP en una parte de los sistemas informáticos de una infraestructura crítica como el Congreso preocupa a los expertos. “Es un riesgo grande porque a muchas formas de ataque que afectan a XP les basta con tener algún tipo de dispositivo vulnerable en la red para introducirse y luego se van replicando, contagiando a otros equipos”, explica Sergio Carrasco, abogado experto en protección de datos y ciberseguridad.

El método de ataque que enuncia Carrasco es lo que se denomina “gusano informático”. Es un tipo de malware (acrónimo del inglés malicious software) muy habitual que no necesita la intervención del usuario para infectar el equipo. Son difíciles de detectar porque cuando consiguen entrar en un dispositivo no tienen por qué alterar su funcionamiento, si no es esa la meta del atacante que lo ha diseñado. Lo que hacen es buscar ordenadores vulnerables a los que infectar, de forma que van extendiéndose por la red hasta que llegan a su verdadero objetivo.

Cuando los gusanos se expanden por ordenadores de usuarios su fin suele ser crear redes de equipos teledirigidos por el atacante, en muchas ocasiones sin que su dueño se entere. El ordenador trabaja como un zombie para fines que su propietario desconoce, como clicar automáticamente en banners de publicidad para aumentar su facturación o enviar spam. Aunque puede ser mucho más nocivo: una evolución del gusano fue el responsable de uno de las pandemias informáticas más virulentas hasta la fecha, Wannacry, que en 2017 cifró los archivos de millones de sistemas informáticos en 150 países y pidió un rescate en bitcoins por desencriptarlos. 

“Es un riesgo grande que además tendría una solución relativamente sencilla, como sería actualizar los sistemas operativos. Es un coste ridículo dentro de lo que es el desarrollo normal del Congreso”, recuerda Carrasco, que lamenta: “Por desgracia no es un caso extraordinario. El problema es que habla mucho de la Estrategia de Seguridad Nacional y de las normas, pero cuando bajamos a la aplicación práctica vemos que los sistemas están desactualizados y los usuarios no están formados, lo que al final crea un marco de riesgo bastante importante”.

“En otros países ya se han visto las brechas de seguridad que han ocurrido, es de esperar que en algún momento acabe sucediendo algo grave en las propias instituciones españolas. Hay que mitigar cualquier riesgo y más cuando es de tan fácil solución como este”, pide el experto. 

Fuentes de la firma de ciberseguridad Kaspersky coinciden con Carrasco. “Windows XP es el sistema operativo más targeteado por el malware y, después de que Microsoft dejara de darle soporte, potencialmente el más indefenso”, explican a eldiario.es.

“Sería aconsejable que los gobiernos y estados realizaran la migración a un sistema operativo más reciente y más seguro y que dispusieran de copias de seguridad y de un sistema de gestión de parches. La mayoría de las amenazas llegan a través de la infraestructura de red. Se recomienda desconectar por completo todos los equipos basados en XP o, por lo menos, poner límites a su conectividad a Internet”, recomiendan los técnicos de la empresa.

“Actualmente, se están estudiando opciones alternativas, teniendo en cuenta las dificultades que suponen las peculiares características del entorno del Hemiciclo”, justifican desde el Congreso. 

¿Por qué atacar el Congreso? Por información

Cuando se libera un virus a gran escala el objetivo del ciberatacante suele ser tumbar sistemas y pedir dinero a cambio de la vacuna. No obstante, cuando se diseña para atacar a una infraestructura crítica para un país como puede ser el Congreso de los Diputados, su fin suele ser mucho más sofisticado: el mejor ejemplo hasta ahora del uso de un gusano contra un país ocurrió en 2010, cuando el gusano Stuxnet se coló en el sistema de la central nuclear iraní de Natanz. Pasó meses oculto en la red hasta que logró llegar a los sistemas que controlaban las centrifugadoras usadas para enriquecer uranio y las destruyó.

Actualmente las infraestructuras críticas españolas sufren ciberataques cuyo objetivo “suele ser siempre el mismo”, como explicó recientemente Javier Candau, responsable del Centro Criptológico Nacional, el organismo encargado de la ciberseguridad de las instituciones: robar información. 

Estas ofensivas no provienen de bandas de ciberdelincuentes o grupos ciberterroristas, sino de la órbita de los propios Estados. Las acciones de las organizaciones amparadas por gobiernos o directamente bajo su paraguas ocupan el primer lugar en la lista de amenazas para España que elabora periódicamente el Centro Criptológico. Aunque pueden afectar al sector privado y a los ciudadanos, el principal receptor de estos ataques es la Administración Pública.

Este 2019 se ha conocido que uno de ellos tuvo éxito. En marzo el Ministerio de Defensa trasladó a la Fiscalía las pruebas de una intrusión en su red informática del “día a día”. Alguien, del que todavía no han trascendido detalles, se coló en el sistema “de propósito general” del departamento dirigido por Margarita Robles y por la que no circula información clasificada. Los investigadores sospechan que el atacante buscaba secretos de la industria de armamento española, la séptima exportadora a nivel mundial.

El Congreso, donde se negocian las leyes y se maneja la posición política de cada partido respecto a los problemas del Estado, es un foco de información estratégica. “En todo sistema existe un riesgo, no es posible lograr la seguridad 100%. Pero en el caso de que se produzca una intrusión por parte de un delincuente se debe poder detectar lo más rápido posible para poder tomar las medidas que corresponda y que no pueda actuar durante meses, como ocurrió en el caso de Defensa”, recuerda Sergio Carrasco.

Etiquetas
stats