Efectivos del Mando del Ciberespacio blindarán también las elecciones europeas

1. Interior, INCIBE, Centro Criptológico Nacional...
2. Mando Conjunto del Ciberespacio
3. Respuesta ante emergencias informáticas
4. Plan de operaciones para las Europeas
5. Reserva por si el resto quedan desbordados
6. Refuerzo para el 9 de junio
7. Qué puede aportar
8. Centro de operaciones desplegable
9. “Guerra híbrida”
10. Hackers prorrusos atacaron en las generales
11. Web falsa con una amenaza de ETA

Más de 360 millones de ciudadanos de la Unión Europea están llamados a las urnas para elegir la composición del Parlamento Europeo durante los próximos cinco años. Las elecciones comenzaron el jueves y se extienden hasta este domingo, cuando votarán, entre otros, los españoles.

Desde hace años, el despliegue de seguridad físico, de agentes de las Fuerzas de Seguridad en los colegios electorales, se complementa con un dispositivo especial que trata de proteger algo tan importante como las urnas y los puntos de votación: los sistemas informáticos de las administraciones públicas, tanto en general como aquellos que específicamente se utilizan para el recuento y difusión de los resultados electorales.

Interior, INCIBE, Centro Criptológico Nacional...

El ministro del Interior, Fernando Grande-Marlaska, presidió el 6 de mayo una reunión en la que se activó la Red de Coordinación para la Seguridad en Procesos Electorales, para adoptar todas las medidas necesarias dirigidas a garantizar la seguridad en las elecciones europeas.

Interior explicó en una nota que “la red está formada por la Junta Electoral Central; Presidencia del Gobierno; los ministerios del Interior, Defensa, para la Transformación Digital y de la función Pública, y el de Asuntos Exteriores, Unión Europea y Cooperación. También son miembros de la red el Departamento de Seguridad Nacional; la Agencia Española de Protección de Datos; la Sociedad Estatal de Correos y Telégrafos; el Instituto Nacional de Estadística, y en esta ocasión se suma también la Comisión Nacional de los Mercados y la Competencia”.

Concretó que “en el ámbito de la seguridad física de los comicios, en el que se incluye el despliegue de efectivos de Policía Nacional, Guardia Civil, policías autonómicas y locales, la red se ocupará también de la protección frente a las ciberamenazas, una misión en la que intervendrán también los Centros de Respuesta ante Emergencias Informáticas (CERT) de la Administración, la Oficina de Coordinación de la Ciberseguridad (OCC), el Instituto Nacional de Ciberseguridad (INCIBE) y el Centro Criptológico Nacional (CCN)”.

Además, “el Departamento de Seguridad Nacional coordinará la lucha contra las campañas de desinformación, una tarea en la que tienen también un papel fundamental la Secretaría de Estado de Comunicación y la Dirección General de Comunicación, Diplomacia Pública y Redes del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación”.

Mando Conjunto del Ciberespacio

Confidencial Digital ha podido confirmar que también estará alerta ante posibles ciberataques, para reaccionar si es preciso, el Mando Conjunto del Ciberespacio.

Este órgano conjunto (integrado por militares de Tierra, Armada y Aire) depende del Jefe de Estado Mayor de la Defensa (JEMAD) y es “responsable del planeamiento, dirección, coordinación, control y ejecución de las acciones conducentes a asegurar la libertad de acción de las Fuerzas Armadas en el ámbito ciberespacial”.

Se encarga de realizar las acciones necesarias para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las Fuerzas Armadas.

Es decir, que su misión es proteger frente a ciberataques las redes militares, los sistemas informáticos de toda la estructura del Ministerio de Defensa.

Respuesta ante emergencias informáticas

En teoría, es al Centro Criptológico Nacional (dependiente del Centro Nacional de Inteligencia) al que le corresponde “contribuir a la mejora de la ciberseguridad española, afrontando de forma activa las amenazas que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país, en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y a cualquier sistema TIC que procese información clasificada”.

Lo hace principalmente a través del CCN-CERT, que es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, y que se creó en 2006 como CERT (equipo de respuesta ante emergencias informáticas) Gubernamental Nacional español.

“Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes”, detalla la web del CCN-CERT.

El Instituto Nacional de Ciberseguridad también tiene su equipo de respuesta ante emergencias informáticas: INCIBE-CERT, que es el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España operado por el INCIBE, dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

En el caso de la gestión de incidentes que afecten a operadores críticos del sector privado, INCIBE-CERT está operado conjuntamente por INCIBE y la Oficina de Coordinación de Ciberseguridad (OCC) del Ministerio del Interior.

Un tercer CERT de la Administración General del Estado es responsabilidad del Mando Conjunto del Ciberespacio: el Equipo de Respuesta ante Emergencias Informáticas del Ministerio de Defensa, con la denominación CERT de Defensa (ESPDEF-CERT).

Plan de operaciones para las Europeas

Fuentes militares explican a Confidencial Digital que, en fechas recientes, se elaboró un plan de operaciones (OPLAN) sobre la participación del Mando Conjunto del Ciberespacio en la protección de las infraestructuras informáticas con ocasión de las elecciones europeas.

Un plan de operaciones suele detallar las fuerzas implicadas en la operación y las actuaciones concretas a llevar a cabo. Normalmente, se aprueba como consecuencia o al amparo de una Directiva Inicial Militar (DIM), que en este caso estaría firmada por el Jefe de Estado Mayor de la Defensa (JEMAD).

ECD se puso en contacto con el Estado Mayor de la Defensa, del que depende el Mando Conjunto del Ciberespacio, para recabar más información.

Desde el Estado Mayor de la Defensa responden que “no” en todas las elecciones se aprueban una Directiva Inicial Militar y un Plan de Operaciones para que el Mando Conjunto del Ciberespacio se implique en la protección de las redes durante los comicios.

Preguntado si en todas las elecciones participa el Mando Conjunto del Ciberespacio en el dispositivo de ciberseguridad, o si es la primera vez, contestan que “el Mando Conjunto del Ciberespacio lleva participando en los dispositivos de ciberseguridad de grandes eventos desde hace varios años, siempre que son requeridos nuestros servicios -al igual que los otros dos CERT de referencia-, tanto nacionales como internacionales”.

Reserva por si el resto quedan desbordados

Otras fuentes militares consultadas por ECD señalan que hace unos años el Mando Conjunto del Ciberespacio no tenía apenas ningún papel en el dispositivo de protección de las elecciones.

Pero, si los otros equipos de respuesta ante emergencias informáticas del Gobierno se veían desbordados, podrían pedir colaboración al Mando Conjunto del Ciberespacio.

Las mismas fuentes apuntan que en citas electorales más recientes se ha contado con el MCCE, si bien con un papel muy residual, sólo de reserva, en previsión de una situación de emergencia que sobrepase a los medios principales desplegados por el Gobierno de España.

Refuerzo para el 9 de junio

ECD preguntó al Estado Mayor de la Defensa de quién había partido la iniciativa en este caso para diseñar un plan de operaciones del Mando Conjunto del Ciberespacio para estas elecciones europeas: si del JEMAD, almirante general Teodoro Esteban López Calderón, o de la ministra de Defensa, Margarita Robles.

La respuesta fue que “estos dispositivos suelen establecerse desde el Ministerio del Interior, que es quien solicita la colaboración”.

Sí confirmó el Estado Mayor de la Defensa que, “al igual que el resto de CERT, el papel del ESPDEF-CERT es el de colaborar con el dispositivo en la vigilancia del ciberespacio sobre todo aquello que se les requiera que pueda afectar al proceso electoral”.

También corroboró que se establece un refuerzo de personal del Mando Conjunto del Ciberespacio, activado para la jornada electoral del 9 de junio.

Las redes que son responsabilidad principal del Mando Conjunto del Ciberespacio, las del Ministerio de Defensa, suelen ser objeto habitual de ataques. A la pregunta de si, con ocasión de las elecciones, las redes de Defensa también sufren más ciberataques, el Estado Mayor de la Defensa afirma que “hasta la fecha, no se ha apreciado cambio significativo en las redes de Defensa con ocasión de jornadas electorales”.

Qué puede aportar

Personas conocedoras de cómo se diseñan planes de operaciones indican que en el documento del Mando Conjunto del Ciberespacio para esta jornada electoral se podría haber especificado la designación del equipo movilizado, la cadena de mando, las condiciones de activación, la misión a realizar, las reglas de actuación, los refuerzos, el apoyo logístico...

Como se ha indicado, los militares y civiles del Mando Conjunto del Ciberespacio estarán de reserva, para apoyar el dispositivo de protección de las infraestructuras informáticas si se requiere su ayuda.

Las fuentes consultadas sugieren algunas ideas sobre qué puede aportar el Mando Conjunto del Ciberespacio a la red que lidera el Ministerio del Interior, con el fin de proteger principalmente los sistemas implicados en el proceso de recuento de votos.

Centro de operaciones desplegable

Puede contribuir con personas, equipos y herramientas al dispositivo, por ejemplo con un centro de operaciones desplegable, para monitorizar los sistemas, o con expertos en gestión de incidentes, restauración de sistemas o forense digital.

También podrían activar un dispositivo de vigilancia digital en redes sociales para detectar bulos, campañas de desinformación o actividades maliciosas, algo que se hizo en la pandemia.

Ese ámbito parece que se ha adjudicado al Departamento de Seguridad Nacional, por lo que el Mando Conjunto del Ciberespacio podría prestarle ayuda.

Aunque es una unidad joven, y relativamente poco conocida, fuentes militares aseguran que el Mando Conjunto del Ciberespacio tiene unas capacidades potentes, que pueden ser de gran ayuda para otros organismos públicos que se encargan de blindar las redes gubernamentales frente a ciberataques.

Si bien su misión se centra en las redes militares, cabe señalar que el Mando Conjunto del Ciberespacio ha participado en ejercicios multinacionales con órganos de ciberseguridad de países latinoamericanos, en los que se ha simulado la respuesta a un ciberataque contra el voto telemático en unas elecciones.

Es decir, que el apoyo a instituciones “civiles” con ocasión de elecciones es un escenario que se contempla.

“Guerra híbrida”

La parte “cibernética” de las elecciones tiene cada vez mayor importancia. Se trata de proteger sobre todo los sistemas en los que se van acumulando los datos del recuento, y de evitar que la página web oficial donde se publican los resultados sea manipulada o tumbada.

El temor de cualquier administración es que un ataque de piratas informáticos erosione la confianza de los ciudadanos en la limpieza del proceso electoral.

Desde hace años, se trata de una de las amenazas que más temen algunos países, en lo que se denomina “guerra híbrida” o “zona gris”: que un país hostil movilice a sus hackers para boicotear las elecciones, y así introducir desconfianza en los ciudadanos hacia los poderes públicos del estado víctima del ataque.

En las elecciones municipales del 28 de mayo de 2023, la gran afluencia de tráfico a la web de los resultados provocó que la página se cayera. Desde las nueve de la noche y durante hora y media, los ciudadanos que entraban en ella se encontraban con el mensaje “504 Error. La solicitud no puede ser satisfecha”, o simplemente con la pantalla en blanco y sin dar ninguna respuesta.

El problema se solventó finalmente, pero para las elecciones generales del 23 de julio el Ministerio del Interior trató de reforzar la protección del sitio web donde se mostrarían los datos del escrutinio.

Hackers prorrusos atacaron en las generales

Pese a ese refuerzo, un grupo de hackers prorrusos presumieron en su canal de Telegram, en distintos momentos de la jornada electoral, de haber tumbado las páginas de la Junta Electoral Central, de Correos y del Instituto Nacional de Estadística (INE), tres organismos públicos implicados en la organización de las elecciones.

Reivindicaron haber lanzado a esas páginas ataques masivos de denegación de servicio (DDos), consistentes en enviar gran cantidad de tráfico a una web para hacerla caer y que no se pueda mostrar a los internautas.

También celebraron haber atacado otros organismos públicos, como el Ayuntamiento de San Fernando de Henares (Madrid), Metro Ligero Oeste (también en Madrid), el Ministerio del Interior (por dos veces), el Consorcio de Transportes de Madrid, la Empresa Municipal de Transportes (EMT) de Madrid.

A lo largo del día, en varias ocasiones no se pudo acceder con normalidad a la web del Ministerio del Interior. En unos casos, tardaba más de lo normal en cargarse, y finalmente no mostraba la portada habitual del sitio web, sino el siguiente mensaje:

“Web temporalmente fuera de servicio. Debido a tareas de mantenimiento esta web no se encuentra disponible. Se restablecerá el servicio a la mayor brevedad posible. Disculpe las molestias”.

Web falsa con una amenaza de ETA

Otra acción para introducir elementos de distorsión entre la ciudadanía en plena jornada electoral fue la aparición de una página que trataba de suplantar la web oficial de la Comunidad de Madrid.

La gravedad en este caso fue que clonaba la página del gobierno de Madrid, e incluía un mensaje totalmente falso: se aseguraba que “el correo del Ministerio del Interior recibió una carta con amenazas del grupo terrorista ETA (Euskadi Ta Askatasuna). Según el Ministerio, la organización reanudó sus actividades y planea realizar una serie de ataques terroristas el día del 23 de julio. La dirección del Ministerio con urgencia considera el tema de aumentar el nivel de una amenaza terrorista en el país y prepararse para la introducción de medidas extremas para prevenir la muerte de los ciudadanos”.

Ese aviso sobre ETA era totalmente falso. La URL de esa web que suplantaba a la Comunidad de Madrid les llegó a numerosos rusos residentes en España, según denunció una asociación que agrupa a opositores a Vladimir Putin en nuestro país.

En otras citas electorales recientes también se han diseñado planes especiales de ciberseguridad para responder tanto a ataques informáticos como a la difusión de bulos.

Con ocasión de las elecciones al Parlamento de Cataluña, del 12 de mayo, el Centro Criptológico Nacional y la Agencia de Ciberseguridad de Cataluña participaron en un gabinete de crisis conjunto entre la Generalitat y el Ministerio del Interior.