No se habían convocado antes unas elecciones europeas en un clima semejante, con una gran guerra en plena escalada en el este. El riesgo de sabotajes informáticos está tan acreditado, que un miembro de las Fuerzas de Seguridad del Estado describe a estos comicios del 9 de junio como “las elecciones más ciberamenazadas de nuestra historia”.
Toda una larga y gruesa cadena de incidentes informáticos viene sucediéndose desde antes de la campaña electoral, recrudecidos coincidiendo en el tiempo con la confirmación por España de que firmaría con Ucrania un acuerdo bilateral de seguridad y defensa.
Esos incidentes incluyen ataques a firmas de las cadenas de suministro de la industria española de defensa, pero no solo. Desde el inicio de la primavera, han trascendido asaltos informáticos a Iberdrola, Telefónica, el Banco Santander… En páginas web ocultas se anuncian ofertas de venta de bases de datos del Colegio de Notarios, o de la DGT, o de 38 millones de ciudadanos españoles. Hay un hacker, por ejemplo, que pide 10.000 dólares por esta supuesta bolsa de nombres.
Diversos colectivos, buena parte de ellos de una nada oculta inspiración rusa, han reivindicado ataques en mayo al Metro de Madrid, la Asamblea madrileña, el Senado, la firma comercial Decathlon, los ayuntamientos de Mataró y San Lorenzo de El Escorial… Y últimamente son varias firmas de armamento los objetivos, siendo el más señalado el grupo GDELS, matriz de Santa Bárbara Sistemas, la firma que repone los carros de combate Leopard que España dona a Ucrania.
Estos últimos ataques son típicas oleadas de denegación de servicio, o sea, el colapso de páginas web con millones de solicitudes. Los otros sabotajes, más sofisticados, intentan la intrusión y la exfiltración de datos confidenciales, se producen por toda Europa y son “seguidos, continuados en el tiempo, centrados en las cadenas de suministro industrial y con similitud de comportamientos”, explica Javier Rodríguez, guardia civil experto en ciberdelincuencia.
Hacktivismo
Rodríguez no suscribe la previsión de “las elecciones más ciberamenazadas” de su colega porque “pronto vendrán las americanas y dejarán atrás estas…”, pero sí admite el escenario delicado de los comicios europeos: se producen en “un momento ciber muy crítico, de los más críticos que he conocido”, opina.
La amenaza que se cierne sobre la red de aplicaciones de móvil y sistemas de recuento de las europeas en los países de la UE ya se evaluaba como alta el pasado 6 de mayo, cuando el ministro del Interior, Fernando Grande-Marlaska, reunió a la Red de Coordinación para Seguridad del proceso electoral del 9J. Entre los organismos convocados, los cuatro vigilantes del sistema informático: el Centro Criptológico Nacional (CCN, dependiente del CNI), el Instituto Nacional de Ciberseguridad (INCIBE), la Oficina de Coordinación de la Ciberseguridad (OCC, de Interior) y los CERT (Centros de Respuesta ante Emergencias Informáticas) del Estado.
Este sábado se podrá descargar la aplicación para el seguimiento en el móvil y tablet de las elecciones. Aparecerá con el nombre “Elecciones Europeas 2024′ en las appstore de IOS y Android. El domingo, se activará la web segura resultados.eleccioneseuropeas2024.es . Ambas tendrán un pico considerable de demanda cuando carguen los resultados provisionales, que no será antes de las 23 horas, según dispone la normativa europea.
Hace más de tres meses que se evalúa el sistema que centralizará los datos de recuento en varios pabellones del recinto ferial de Madrid Ifema. Su arquitectura, actualmente cerrada, es sometida a test de estrés con paulatina dificultad. Telefónica -que, con Indra, es una de las actoras privadas clave del servicio- balancea cargas de demanda de información entre servidores para probar su resistencia.
El sistema tiene ramificaciones hasta 22.248 tablets distribuidas por el Gobierno entre los agentes electorales presentes en colegios. Esos dispositivos también han sido evaluados. La red tiene probada su eficacia en los tres últimos comicios celebrados en España.
Todas las fuentes implicadas coinciden en señalar que el riesgo principal es el de ataques de corte hacktivista: o bien redes de ciberdelincuentes que atacan webs para colocar su propaganda, o bien grupos organizados para conseguir un DDoS, una denegación del servicio por acumulación de peticiones al sistema.
Javier Rodríguez aporta una definición muy gráfica de un DDoS: “¿Qué pasaría si tenemos una autopista con cuatro carriles… y colocamos un coche parado en cada carril? Un DDoS no afecta a los datos, pero sí a su disponibilidad”.
“Ambiente indeseable”
Francisco Alonso, alto cargo de Interior, jefe de infraestructuras y Seguridad TIC en el Centro Tecnológico de Seguridad, el CETSE de la Secretaría de Estado de Seguridad, ya explicó tres meses antes de estas elecciones que la velocidad con que en España se cuentan los sufragios es prácticamente una excepción: “Aquí, en los procesos electorales, la sociedad está acostumbrada a que a las 23:30 ya se sabe quién ha ganado. Y eso en el mundo es totalmente inusual. En muchos países se tardan semanas en conocerse el resultado…”, explicó en la última edición de Rooted, congreso de hacking y ciberseguridad celebrado en Madrid en marzo pasado.
En 2019 ya hubo una reflexión a fondo de los expertos de Interior sobre, en palabras de Alonso, “qué puede ocurrir si la noche de unas elecciones el ministro tiene que salir a decir que nos han hackeado el sistema y no podemos difundir resultados”. Es la pesadilla de los guardianes del sistema, y el sueño de populistas, extremistas y agentes extranjeros hostiles, todos los interesados en desestabilizar a los países occidentales.
Para evitar esa escena, que en la crispada política de España, inundada de bulos, provocaría una enorme tensión y un fortísimo desgaste del prestigio de la democracia -o sea, “un ambiente bastante indeseable”, dijo Alonso-, se monta un dispositivo de seguridad informática que tendrá solo unas horas de vida, pero que implica el trabajo de cuatro meses de preparación.
Nervios el 23-J
Un precedente contribuye a reforzar las medidas para el 9-J. Un ataque DDoS es de lo más primario en materia de sabotajes informáticos, pero en las elecciones generales celebradas el 23 de julio causó quebraderos de cabeza en la Seguridad del Estado.
“El de las últimas elecciones fue un incidente importante. Afortunadamente, pudimos capearlo”, dice un miembro de los operativos que intervinieron en la ciberseguridad de los comicios generales del 23 de julio. En aquella jornada llegó “relativamente pronto” la oleada DdoS contra la web de las elecciones. “Aparece, y empieza a zumbarnos fuerte…”, recuerda.
Cuando la app ‘Generales 23J’ que mostraba gráficos de participación, se quedó congelada durante unos minutos, corrió más rápido el bulo que el propio sabotaje. A las 20:08 horas Interior enviaba a la prensa especializada este mensaje: “Buenas tardes. La página web de Interior ni está caída ni ha dejado de funcionar en ningún momento”.
Aquella vez los atacantes utilizaron un mismo user agent (aplicación informática para acceder a una web) y eso “nos permitió bloquearlo pronto”, explica la fuente mencionada.
Ahora, grupos como el ruso NoName rotan los user agents y cambian su forma de proceder. No obstante, un experto de la Policía muestra su confianza en la solidez del sistema: “Necesitarían millones de colaboradores para derribarlo”.
Rusia, el principal de los llamados “agentes estatales” en el mundo ciber, tiene “gran poder de convocatoria de hacktivistas antisistema de diversos países, además de una gran ósmosis de los aparatos estatales con el crimen organizado”, advierte Javier Rodríguez.
Una denegación de servicio, recuerda este experto fogueado en la UCO de la Guardia Civil, busca “usar las elecciones como amplificador” en un ataque reputacional al Estado y al sistema democrático: “El bloque de una web electoral, si lo consiguen, les sirve de trigger, o disparador, para empezar de inmediato a soltar por todas partes narrativas de tongo en las elecciones, gobierno inútil, sistema deficiente, país atrasado…”.
Subscribe to continue reading