Medio centenar de cibermedidas para que los pol¨ªticos eviten ser espiados ante el 9-J

La Junta Electoral Central (JEC) ha distribuido de nuevo entre los partidos pol¨ªticos una ¡°breve gu¨ªa de ciberseguridad¡± con sugerencias para que sus candidatos y dirigentes eviten un posible ciberataque durante la campa?a para las elecciones al Parlamento Europeo del pr¨®ximo 9 de junio. El documento destaca que el objetivo de las medidas es evitar que sufran uno que suponga ¡°la divulgaci¨®n p¨²blica de informaci¨®n robada de los ordenadores, tel¨¦fonos m¨®viles o servidores inform¨¢ticos¡± que pueda ¡°tener un impacto directo y significativo en la conducta electoral del votante¡±. La gu¨ªa, de 78 p¨¢ginas de extensi¨®n, ha sido elaborada por el Centro Criptol¨®gico Nacional (CCN, dependiente del CNI) y remitida a los partidos el 1 de abril. Su contenido es id¨¦ntico al que la Junta Electoral ya les facilit¨® en mayo del a?o pasado, justo antes de las ¨²ltimas municipales y auton¨®micas.

El documento recoge ocho ¡°listas de chequeo¡± con un total de 51 cibermedidas para que los partidos minimicen el riesgo de ser v¨ªctimas de ataques inform¨¢ticos. ¡°Este papel crucial, y las graves consecuencias que podr¨ªan derivarse de un ataque inform¨¢tico a uno o varios partidos pol¨ªticos en el curso de un proceso electoral, justifica que los partidos deban preparase de la mejor manera posible para hacer frente a las amenazas h¨ªbridas [actuaciones que buscan desequilibrar las condiciones de seguridad de un estado sin superar el umbral de la agresi¨®n armada convencional] y reduzcan sus vulnerabilidades en ciberseguridad¡±, recalca en su introducci¨®n.

La elaboraci¨®n de esta gu¨ªa fue una recomendaci¨®n surgida en octubre de 2020, cuando la pandemia dispar¨® los ciberataques, del Consejo de Seguridad Nacional (CSN), el ¨®rgano encargado de asesorar al presidente del Gobierno ante situaciones de emergencia. En 2019, los protocolos policiales puestos en marcha por Interior para las tres elecciones celebradas aquel a?o para combatir las llamadas fake news o bulos en internet y proteger el sistema inform¨¢tico de recuento de votos de un posible ataque inform¨¢tico ya hab¨ªan detectado ¡°numerosos ciberincidentes¡±, aunque todos fueron de baja peligrosidad. Desde entonces, diferentes organismos han lanzado alertas en el mismo sentido.

Entre las m¨¢s recientes est¨¢ la que plante¨® la Uni¨®n Europea el pasado noviembre, cuando organiz¨® un denominado ¡°ejercicio de ciberseguridad¡± con la participaci¨®n de los estados miembros. En el mismo se alert¨® los comicios de junio se enfrentaban a riesgos que iban ¡°desde la manipulaci¨®n de la informaci¨®n y la desinformaci¨®n hasta los ciberataques que ponen en peligro las infraestructuras¡±. Una advertencia similar aparec¨ªa en el ¨²ltimo informe del Departamento de Seguridad Nacional (DSN, dependiente de Presidencia del Gobierno)m, hecho p¨²blico en marzo, y que se?alaba a Rusia como el principal propagador de las campa?as de desinformaci¨®n que tienen como objetivo ¡°desestabilizar y polarizar a la sociedad y socavar su confianza en las instituciones¡±.

El documento distribuido ahora por la Junta Electoral a los partidos destaca que, si bien ¡°a menudo se piensa que un ciberincidente grave durante un proceso electoral ser¨ªa el derivado de un ataque inform¨¢tico a los sistemas de procesado de resultados electorales, o incluso a los sistemas de voto electr¨®nico en los pa¨ªses donde est¨¦n implantados¡±, en realidad puede ser incluso m¨¢s peligroso ¡°un ciberataque selectivamente medido y dirigido contra los sistemas inform¨¢ticos de uno o varios partidos pol¨ªticos, con el fin de desvelar informaci¨®n sensible de partidos pol¨ªticos o de sus miembros, que luego sea tergiversada ante la opini¨®n p¨²blica¡±. Y a?ade que que con esta maniobra se puede ¡°condicionar ileg¨ªtima e ilegalmente las din¨¢micas democr¨¢ticas¡±.

En la gu¨ªa, los expertos advierten a los partidos de que, si bien los m¨¦todos que pueden utilizar los ciberdelincuentes son numerosos y muy diversos, ¡°dos sobresalen en porcentaje incontestable como las que acumulan el mayor volumen de incidentes inform¨¢ticos en todo el mundo y cada a?o¡±. Se trata, en concreto, de la intrusi¨®n en los equipos inform¨¢ticos tras aprovechar ¡°fallos de software¡± o ¡°la manipulaci¨®n de la conducta del usuario [...] para conducirle a realizar acciones¡± como, por ejemplo, pinchar en un enlace con un virus inform¨¢tico. Los motivos de los ciberdelincuentes los engloba en tres categor¨ªas: ¡°Ideol¨®gicas, cibercriminales de lucro o geopol¨ªticas¡±.

Aunque las recomendaciones se dirigen a aumentar la seguridad de todos los equipos inform¨¢ticos de los partidos, incluidas bases de datos, la gu¨ªa pone el foco en los tel¨¦fonos inteligentes que, como recalca la gu¨ªa, ¡°habitualmente acompa?an a una persona casi todas las horas de sus d¨ªas¡±, por lo que su protecci¨®n es calificada de ¡°primordial¡±. En este sentido, recuerda que estos dispositivos ¡°hace tiempo que dejaron de ser ¨²nica o principalmente tel¨¦fonos¡± para convertirse en ¡°m¨¢quinas port¨¢tiles de computaci¨®n que realizan una amplia variedad de funciones¡± para lo que se conectan ¡°tanto con sistemas inform¨¢ticos propios del partido pol¨ªtico como ajenos, todo ello en paralelo y al mismo tiempo¡±, con el riesgo que ello supone.

Para blindar la abundante informaci¨®n que contienen estos dispositivos, el documento recomienda desactivar la funci¨®n de geolocalizaci¨®n que acompa?a a algunas aplicaciones, utilizar claves de acceso m¨¢s ¡°robustas¡± de las que habitualmente incorporan estos dispositivos ¨Dplantea que de los cuatro d¨ªgitos habituales se pase a un c¨®digo de 12 caracteres que combine letras, n¨²meros y caracteres especiales o se usen acr¨®sticos con las iniciales de las palabras que componen una frase¨D, eliminar las notificaciones en pantalla, impedir las descargas de nuevas aplicaciones sin el visto bueno de los responsables de ciberseguridad del partido e instalar programas antivirus.

Tambi¨¦n insta a que, cuando se celebren reuniones presenciales de dirigentes y candidatos en las que se vaya a manejar informaci¨®n confidencial, los asistentes introduzcan previamente sus tel¨¦fonos m¨®viles en sobres dise?ados como jaulas de Faraday (recipientes que impiden que los dispositivos emitan o reciban se?ales inal¨¢mbricas) para que estos queden incomunicados y no puedan ser hackeados durante el tiempo que dure el encuentro.

Sobre las redes sociales, el informe desaconseja a los pol¨ªticos que las usen para compartir informaci¨®n sensible tanto del partido como personal ante ¡°la creciente tendencia¡± de que sean escenario de ciberataques. ¡°La sobreabundancia de informaci¨®n personal que los usuarios difunden a trav¨¦s de sus perfiles en redes sociales constituye una atractiva materia prima para que cibercriminales utilicen esa informaci¨®n con prop¨®sitos maliciosos¡±, recalca el informe, que apunta a que ¡°es recomendable mantener en privado la lista de contactos y analizar bien las solicitudes de amistad de desconocidos¡±, a?ade.

Respecto a las aplicaciones de mensajer¨ªa instant¨¢nea, como WhatsApp o Telegram, plantea evitar el env¨ªo a trav¨¦s de ellas de documentos sin encriptar o pinchar en enlaces y ficheros recibidos ¡°salvo que se haya realizado una doble verificaci¨®n de la identidad e intenci¨®n del remitente del mensaje¡±. Tambi¨¦n recomienda ¡°no aceptar solicitudes de adhesi¨®n a grupos de mensajer¨ªa¡± y ¡°detenerse unos minutos a pensar y cerciorarse en cada momento si el contenido que se va a compartir¡± es el ¡°adecuado¡±. En este sentido, los expertos recomiendan que los responsables de seguridad de los partidos realicen ¡°las acciones necesarias para concienciar regularmente al personal¡± al considerar que son precisamente ellos ¡°la primera l¨ªnea de defensa¡±.