España, blanco de más de cuarenta ciberataques

Ciberespías que escudriñan los correos electrónicos de sus enemigos. Que se infiltran en redes vitales para la seguridad mundial. El caso Google ha puesto en el ojo del huracán la batalla de espionaje que China y Estados Unidos libran en la Red. Pues bien, España, aunque está lejos de los niveles de tensión que respiran las dos potencias, no vive ajena a los intentos de ciberespionaje.

Según ha podido saber EL PAÍS, en 2009 se produjeron más de 40 incidentes "graves" en instituciones y organismos clave españoles. Las fuentes del Centro Nacional de Inteligencia (CNI) que confirman esas más de 40 intervenciones, no facilitan información sobre la procedencia de los ataques. Pero esta es la primera vez que los servicios de inteligencia españoles admiten haber intervenido ante este tipo de acciones.

España está en plena fase de elaboración de su manual de emergencia ante grandes contingencias

Los servicios de inteligencia españoles reconocen haber recibido cuatro ataques directos el año pasado

Algunos servicios secretos fichan a los ciberespías enemigos cuando les 'pillan', a cambio de conmutarles la pena

No todos los ataques fueron casos tan notorios como el de Javier Solana, cuyo ordenador fue penetrado por servicios de inteligencia de "una gran potencia" cuando aún era representante de la política exterior y de seguridad europea. Entonces quedó claro que, hoy en día, nadie está a salvo de los ciberespías. Ningún ministerio en España lo está. Ni siquiera el propio CNI. Según reconoce una fuente de este centro, el año pasado se produjeron cuatro ataques directos contra los servicios de inteligencia españoles: dos contra el CNI y dos contra el Centro Criptográfico Nacional (CCN), el órgano que garantiza la seguridad de las tecnologías de la información en la Administración y que depende del propio CNI.

La batalla de los servicios de inteligencia, aquí, también se libra en la Red. James Bond se ha vestido de hacker y ha sustituido los artilugios espectaculares por avanzadas nociones en programación. Se ha puesto a enviar códigos maliciosos para penetrar en los ordenadores del enemigo. Estamos en la era de los duelos de hackers de élite, frente a frente.

Hubo un tiempo en que los hackers eran unos tipos graciosos con afán de notoriedad que jugaban a entrar en los ordenadores del Pentágono. Siguen existiendo, sí, véase el episodio Mr. Bean. Pero son otros los que preocupan más a los servicios secretos occidentales. Los hay que venden en el mercado negro internacional por 60.000 euros los agujeros de seguridad que descubren. Hackers que, trabajando de modo directo o indirecto para servicios secretos, ponen a prueba los sistemas de inteligencia del enemigo 24 horas al día. Hackers maliciosos y brillantes que, cuando son pillados en labores de espionaje, conmutan su condena fichando por los propios servicios secretos que han atacado.

Los ciberespías cada vez hacen más ruido. Y eso que los episodios que protagonizan se intentan silenciar por todos los medios posibles.

Hace tan sólo dos años que Estados Unidos, Alemania, Reino Unido y Francia expresaron quejas por las intrusiones de chinos, los llamados hackers rojos. También fue en 2007 cuando un Estado, Estonia, fue víctima de un ciberataque masivo que colapsó bancos y organismos oficiales y que se atribuyó entonces a un grupúsculo de hackers rusos. "Todo Occidente es muy vulnerable a este tipo de ataques", asegura Carlos Jiménez, presidente de Secuware, empresa de seguridad en Internet. "Nuestra sociedad no está preparada y el daño que pueden causar es mayor que el de una bomba, te pueden paralizar un país". Sentado en una sala de reuniones de la sede de su empresa, en Torre Picasso, remata: "Para estos ataques no necesitas plutonio". La Agencia Europea de Redes y Sistemas de Información (ENISA) ya advirtió en 2008 del riesgo de un 11-S digital.

Evgeni Morozov, experto en uso político de Internet, mantiene que no hay que ser catastrofistas. En conversación telefónica desde Washington, sostiene que los que se dedican al mundo de la seguridad en Internet exageran para poder vender más sus propios servicios. "Los ciberataques entre países continuarán", comenta, "pero una cosa es que te roben datos y otra que te colapsen la red eléctrica".

Daniel Sansó-Rubert, experto español en inteligencia, seguridad y defensa, también rebaja el tono: "Para mantener un ataque informático prolongado hace falta una estructura muy fuerte", dice, "un grupo terrorista no la tiene; los Estados, sí".

Lo que está claro es que España tiene por delante dos retos: el del ciberespionaje y el de la protección ante un ciberataque que pueda paralizar un país. En el primero, ahora se reconocen los primeros incidentes. En el segundo, España está en plena fase de elaboración de su manual de emergencia.

Centro Nacional de Inteligencia, jueves 21 de enero, 10.30. Luis Jiménez, responsable ejecutivo del CCN, toma asiento en una sala de reuniones de los servicios secretos españoles. "Los ataques contra la Defensa intentan pasar desapercibidos", explica, "infectan tu ordenador para robarte la información. Eso lo hacen los servicios de inteligencia de modo sistemático. Son ataques muy difíciles de detectar".

En un laboratorio cercano a donde se celebra esta entrevista es donde se procede al análisis forense de los troyanos -dispositivos maliciosos que se introducen en el ordenador y abren una puerta para la fuga de información- que se detectan

en un ordenador, por ejemplo, de un ministerio: se investiga cuándo y cómo entró y qué tipo de información ha podido ser comprometida. El código malicioso se estudia, se ejecuta y se hacen varios intentos de conexión con el exterior para determinar desde qué servidor fue enviado. Una vez descubierto de dónde procede, se entra en contacto con el servicio secreto del país desde el que se envió para proseguir la investigación. Que el troyano llegue de China no significa que el ataque proceda de allí. Hay ataques que utilizan ordenadores cautivos en lugares remotos.

Según confirma una fuente del CNI, en los más de 40 casos de incidentes graves que se detectaron en 2009 en España el troyano era sofisticado, era un troyano ad hoc, un troyano concreto para un objetivo concreto; no era obra de meros aficionados. En algunos casos fueron gobiernos extranjeros los que detectaron un servidor infectado en España y pidieron colaboración al CNI. Los organismos tocados fueron espacios clave. Ministerios y administraciones locales, entre otros. No hay datos de que los ataques consiguieran gran cosa.

La actividad de los servicios de inteligencia está en plena fase de mutación. Los avances tecnológicos exigen cambios de ritmo endiablados. Antes se buscaban los puntos flacos del enemigo y se estudiaba cómo bloquear sus radares, sus sistemas de sensores, se freían los espectros radioeléctricos. Ahora todo va por la Red. Los sistemas de mando ya no están centralizados. Los equipos de ciberdefensa deben descubrir dónde están los servidores de Internet del enemigo para poder neutralizarlos o destruirlos en caso de conflicto.

Según señalan desde el CNI, hace tres años los países occidentales destinaban un 1% de sus recursos de inteligencia a la ciberdefensa. Ahora este concepto engloba en torno a un 15% de los recursos. El Centro Criptológico Nacional ha triplicado su personal en los últimos cuatro años.

El replanteamiento de estrategia implica un acercamiento de los servicios de inteligencia al mundo de los hackers. "En Estados Unidos, si capturan a uno, le conmutan la pena contratándole", cuenta Sansó-Rubert. "Les ponen a trabajar, a someter al sistema de inteligencia a ataques que permitan determinar dónde están las puertas traseras". Los servicios secretos occidentales necesitan tener contacto con esos malos. No es raro encontrar en un congreso de seguridad digital a un miembro de un servicio de inteligencia sentado junto a un hacker.

A la hora de fichar agentes en España, Jiménez explica que los grupos de investigación de universidades son un buen caladero. En cuanto al contacto con los hackers malos, explica: "Hay un mundo underground con el que se habla, al que hay que acercarse. Pero no puedo detallar procedimientos".

Son varios los expertos que se quejan de la lentitud de los cambios en el otro gran capítulo, el de la protección de las infraestructuras básicas. "Aún estamos bastante en pañales", declara un alto cargo que trabaja para el Ministerio de Defensa. Opinión que ratifica Xabier Michelena, miembro del Consejo Nacional Consultivo de Ciberseguridad, que agrupa a las empresas españolas del sector. Francia, Alemania y Reino Unido llevan mucho más tiempo trabajando en este campo.

Son más de 3.500 las infraestructuras que ya han sido catalogadas en España en el plan español. A escasos 18 kilómetros de Madrid, en un polígono industrial de Alcobendas, hay un edificio en el que todas las empresas allí ubicadas forman parte del plan. En su interior, un búnker: el Centro de Operaciones de Seguridad (SOC, siglas en inglés) del Laboratorio de Seguridad en Infraestructuras Críticas. Un lugar que el Ejército protegería en caso de un ciberataque importante.

Hay que pasar siete niveles de seguridad (incluida la identificación por huella dactilar) para llegar al corazón de este búnker. Se trata de un centro privado, pertenece a la empresa de seguridad S21sec.

En este centro de paredes, techos y suelos de acero se pueden rastrear un millón de webs diarias, más de 40.000 por hora. Se buscan amenazas en correos electrónicos que llegan a empresas financieras, de gas, de electricidad; a administraciones. El laboratorio recibe financiación de entes públicos que permite poner al alcance de determinadas instancias del Estado, como el Ministerio de Defensa o el CNI, tecnologías punteras. Aquí, los troyanos se destripan en tres segundos. Hace unos años se tardaba más de tres horas.

El centro ofrece sus servicios a administraciones públicas cuya titularidad no desvela. Pero no es esa su prioridad. Da servicio al 99% del sector financiero español. Los hackers buenos que aquí operan no conocen el nombre del cliente para el que trabajan, al que se otorga un nombre ficticio. En estos días se llevan los nombres de ríos o de cantantes de ópera: Caruso, Manzanares son algunos de los alias elegidos.

España es uno de los países más ciberatacados del mundo. Las empresas y los ciudadanos sobre todo. Es el más afectado de Europa, según el último barómetro de seguridad de Interoute, que mide ataques de todo tipo en tiempo real. Como explica un profesional del sector de la seguridad informática, al ser un país donde hay bastante descarga, entra mucho virus y mucho troyano. Mucho ataque.

El gran plan de seguridad español está unido al desarrollo del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), que depende de la Secretaría de Estado de Seguridad. Los profesionales del sector consultados por este periódico se quejan de que camina lento y reclaman cambios normativos urgentes. El viernes por la noche, un portavoz del Ministerio del Interior confirmaba que el Ministerio es consciente de esa necesidad y que se está trabajando en alguna reforma legal que permita mejorar el funcionamiento del centro.

Miguel Ángel Panduro, consejero delegado de ISDEFE (Ingeniería de Sistemas para la Defensa de España), consultora pública dependiente del Ministerio de Defensa, es claro: "Muchos de nuestros sistemas están poco maduros y el hacker ya está por delante de nosotros. Es una lucha permanente".

Las medidas de seguridad se siguen reforzando.

"Sin seguridad en la Red, no hay libertad", afirma el senador, Félix Lavilla, senador del PSOE que impulsó una moción en el Senado para agilizar las cuestiones de seguridad nacional. Según avancen estos planes no tardarán en surgir voces que reclamen que no se cometan atropellos en nombre de la seguridad, que no se pisotee el derecho a la intimidad. Ya le ha pasado a Obama en Estados Unidos, cuando lanzó su plan de Homeland Security. Las críticas le vinieron de senadores de sus propias filas, demócratas.