Las instituciones públicas, la investigación y la educación, en el punto de mira de los ciberataques en España en 2022

El caso del ransomware al CSIC cumple el perfil tipo de la organización víctima más común de estos ataques, al menos, según los análisis que algunas empresas de ciberseguridad han publicado en los últimos meses. Los ciberataques a instituciones públicas son frecuentes en España y la industria más atacada en el segundo trimestre de 2022 fue el sector de la educación y la investigación.

Cada mes se detectan 1,2 millones de amenazas, según un estudio de Barracuda Networks, y en lo que va del año unas 30 empresas o instituciones han sido extorsionadas en España, sólo teniendo en cuenta las  informaciones que han visto la luz pública a través de la prensa. 

Las instituciones públicas, las que más ciberataques reciben

Más de 30 organizaciones en España de tipo público y privado han sido ciberatacadas y extorsionadas en la primera mitad de año, según una lista de casos recopilados por ESET. El informe sólo recoge datos publicados a través de fuentes abiertas, por lo que es sólo una muestra pequeña de la cantidad de ciberataques que reciben las instituciones públicas y privadas en España. La mayoría de organizaciones no denuncian estas situaciones y pagan el rescate, aseguran los expertos. 

El informe “Ciberamenazas y Tendencias” del CCN (Centro Criptológico Nacional) de diciembre señala que es precisamente el entorno gubernamental el más atacado y afectado. Una de las principales tendencias que se recogen en el análisis del año 2020 es el hecho de que los ciberdelincuentes eligen infraestructuras sanitarias y centros de investigación relacionados con la lucha contra la COVID. 

Durante el segundo trimestre de este año, se ha experimentado un aumento de los ciberataques en España de un 77%, según datos del Observatorio de Ciberseguridad de Exprivia, que también señala que la mayoría han estado dirigidos a instituciones como las Administraciones Públicas, entidades bancarias y financieras, así como al sector sanitario. 

El Consejo Superior de Investigaciones Científicas (CSIC) ha sido el último caso de un ciberataque de tipo ransomware dirigido a una gran infraestructura nacional, tras otras instituciones públicas en España que han sido víctimas de ciberataques, como el del Servicio Público de Empleo Estatal (SEPE) en 2021 o la oleada de ataques a los sitios web del Instituto Nacional de Estadística (INE) y de los ministerios de Justicia, Economía y Educación ese mismo año. 

Por sus características el CSIC cumple el perfil de organización víctima más común en los últimos meses: institución pública, centro de investigación e institutos dentro del ámbito de la educación, a la que se dirige un ataque tipo ransomware que tiene como consecuencia el robo o la fuga de datos sensibles. 

El robo de información, objetivo de los ciberataques a instituciones públicas

El último informe anual de investigación en ciberamenazas de Barracuda Networks, empresa de ciberseguridad, revela que entre enero y junio de este año se han detectado unos 1,2 millones de amenazas por mes de media. 

Además, los ataques a infraestructuras críticas se han cuadruplicado en el último año, según el mismo informe. Se entiende por infraestructuras críticas aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Estos son las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones públicas del Estado y las Administraciones Públicas.

El robo de información, como el que sucedió en el ciberataque al CSIC, es lo que más abunda últimamente en España. Esto señala Josep Albors, director de Investigación y Concienciación de ESET, quienes han hecho la lista con los casos que han salido en prensa. Sin embargo, es difícil calcular el número de casos de ciberataques a instituciones públicas, especialmente los de ransomware. “No todos se hacen públicos e incluso es posible que la víctima pague para evitar que salga el nombre de su empresa en los listados que hacen los delincuentes”, dice. 

En la lista de ciberataques que se han hecho públicos en lo que va de este año hay varios ayuntamientos (Barcelona, Palma, Getxo, Caldes de Montbui) y otros sitios web de instituciones públicas como el Congreso de los Diputados, el Institut d'Informàtica de Barcelona, la Television Autonómica de Castilla La Mancha, o el IB-Salut (el servicio de Salud de las Islas Baleares). También empresas ligadas a servicios públicos como Madrid Calle 30 S.A., la empresa mixta que gestiona la M-30, la vía de circunvalación que rodea el centro de Madrid. 

'Ransomware', el ataque más común en España

Hay muchos tipos de ataque actualmente, pero Mario García, director de Check Point Software para España y Portugal no duda en señalar al ransomware como uno de los los más dañinos y comunes en términos empresariales, “sobre todo, por el gran beneficio económico que les trae a los ciberdelincuentes”. 

Según una de las últimas investigaciones de su empresa, a día de hoy, la media semanal global de organizaciones impactadas por ransomware alcanza a 1 de cada 40, lo que supone un aumento del 59% interanual (1 de cada 64 compañías en el segundo trimestre de 2021). Además, en el segundo trimestre de 2022 se produjo un pico histórico, donde los ciberataques globales aumentaron un 32%, en comparación con el segundo trimestre de 2021.

El ransomware también es el tipo de ataque más común en la lista de los últimos ciberataques en España de ESET. Este tipo de ataque consiste en un “secuestro de datos” en el que el delincuente logra infiltrarse en los sistemas o equipos de la víctima y bloquear el acceso a su sistema o a bases de datos normalmente con información sensible o útil para el funcionamiento. Se pide un rescate por la clave o la llave que desbloquea el acceso a la información y muchas veces el atacante también filtra parte de esa información. Es lo que ha sucedido con la fuga de datos del CSIC, miles de expedientes con datos internos de la agencia de investigación española que el grupo Vice Society publicó en su web. 

Desde el Centro Criptológico Nacional observan que el ransomware es la vía de ataque preferida de los ciberdelincuentes, que tienden hacia métodos de secuestro de la información cada vez más sofisticados y selectivos. En su informe mencionan la técnica de la doble extorsión (cifrado más sustracción y publicación de datos en la Dark Web), que ha provocado un aumento del precio medio que se pide por un rescate. 

El CCN observa que han aparecido grupos de ciberdelincuentes que establecen una especie de cartel de operaciones de ransomware independiente. “Esto es, la unión de distintos grupos de actores de ransomware específicos que deciden compartir sus plataformas de dataleaks utilizadas para la extorsión. Este sistema otorga más credibilidad, sofisticación y beneficios al compartir tácticas, conocimientos y plataformas de dataleaks”, señala el informe. 

Aunque no siempre es tan sofisticado. Miguel López, director de Barracuda Networks dice que el ransomware, que es la herramienta elegida en la mayoría de los casos para ciberataques dirigidos a instituciones públicas en España, ni siquiera tiene habitualmente un componente de sofisticación demasiado importante. 

¿Cómo es posible que un sector clave como el de las administraciones públicas se encuentre en esta situación? López enumera algunas razones: la falta de adecuación presupuestaria, la falta de personal formado en ciberseguridad, la falta de concienciación a nivel directivo y ser un objetivo de alto interés para los atacantes. Las administraciones públicas poseen información muy relevante que los ciberdelincuentes ansían. A su vez, la criticidad de sus operaciones hace que en caso de caer víctimas del ransomware las posibilidades de obtener un rescate sean superiores.

Educación y ciencia son el sector más afectado 

La primera mitad de 2022 registra un aumento significativo de los ataques en todos los sectores, según el informe ‘Cyber Attack Trends: 2022 Mid-Year Report’, de Check Point, y a la cabeza de todos ellos, se encuentra la industria de la educación y la investigación. Con una media de 2.297 ataques contra empresas cada semana en el primer semestre de 2022, supone un aumento del 44% en comparación con el primer semestre de 2021. 

También el informe de Barracuda ha encontrado que el sector de la educación es el más afectado por el ransomware, con un 15% de las amenazas, a la cabeza de administraciones municipales (12%), salud (12%), infraestructura (8%) y empresas de finanzas (6%). El informe señala que existen evidencias de que esos ataques también exigen multas si no hay pronto pago de los rescates. 

Los datos de Check Point lo dejan claro: en julio de este año, el sector de la educación y la investigación muestra más del doble de ciberataques semanales en comparación con la media de los demás, y tuvo una media de casi 2.000 ataques por organización cada semana (un aumento del 6% en comparación con julio del año pasado y del 114% en comparación con el mismo periodo de hace dos años). Estos ciberataques pueden tener consecuencias devastadoras como sucedió con el caso del Lincoln College, al que un ataque de ransomware terminó de convencerles de cerrar el 13 de mayo de 2022, después de 157 años de actividad. 

¿Qué objetivos tienen estos ataques, sobre todo los dirigidos a instituciones públicas, como los que hemos sufrido en España? “Pueden ser variados, pero el principal es la obtención de datos personales”, señala García, “sobre todo por el gran valor que tiene esta información para los ciberdelincuentes y, por otro lado, la obtención de un beneficio económico”.