El CNI env¨ªa recomendaciones a los partidos para evitar ciberataques en campa?a que puedan alterar el voto el 28-M

El Centro Criptol¨®gico Nacional (CCN) ha elaborado para los partidos pol¨ªticos una ¡°breve gu¨ªa de ciberseguridad¡± con consejos y directrices para que minimicen, durante la campa?a para las elecciones del 28 de mayo, el riesgo de ser v¨ªctimas de ataques inform¨¢ticos y campa?as de desinformaci¨®n. En el documento, distribuido por la Junta Electoral Central el d¨ªa 11 y de 78 p¨¢ginas de extensi¨®n, el organismo dependiente del Centro Nacional de Inteligencia (CNI) muestra su preocupaci¨®n por el hecho de que ¡°un ciberataque a los sistemas inform¨¢ticos de un partido pol¨ªtico, que tenga como resultado la divulgaci¨®n p¨²blica de informaci¨®n robada de los ordenadores, tel¨¦fonos m¨®viles o servidores inform¨¢ticos [...] durante una campa?a electoral o en la propia jornada de reflexi¨®n de la poblaci¨®n convocada a las urnas, puede tener un impacto directo y significativo en la conducta electoral del votante¡±.

El documento recalca que, si bien ¡°a menudo se piensa que un ciberincidente grave durante un proceso electoral ser¨ªa el derivado de un ataque inform¨¢tico a los sistemas de procesado de resultados electorales¡±, los comicios tambi¨¦n pueden verse condicionados gravemente con ¡°un ciberataque selectivamente medido y dirigido contra los sistemas inform¨¢ticos de uno o varios partidos pol¨ªticos, con el fin de desvelar informaci¨®n sensible de partidos pol¨ªticos o de sus miembros, que luego sea tergiversada ante la opini¨®n p¨²blica¡±. Esto, concluye, ¡°puede condicionar ileg¨ªtima e ilegalmente las din¨¢micas democr¨¢ticas¡±.

Para evitarlo, la gu¨ªa elaborada por el CCN, a la que ha tenido acceso EL PA?S, aconseja a los responsables de las formaciones que adopten diversas medidas de control en el acceso a su informaci¨®n interna, de protecci¨®n de sus sistemas inform¨¢ticos y tel¨¦fonos m¨®viles, y de seguridad en las cuentas en redes sociales. El documento concluye con instrucciones sobre c¨®mo deben actuar las formaciones si detectan que se ha producido uno de estos incidentes y para que aleccionen a sus candidatos y dirigentes en la toma de medidas de ciberprotecci¨®n en el d¨ªa a d¨ªa. No obstante, tambi¨¦n recalca que esta gu¨ªa, que califica de ¡°recopilatorio de sugerencias de ciberseguridad¡±, no debe ¡°sustituir la necesidad¡± de que los partidos desarrollen ¡°sus propios sistemas de gesti¨®n de la seguridad de la informaci¨®n de manera sistem¨¢tica y profesional¡±.

La elaboraci¨®n de este documento fue una recomendaci¨®n surgida hace algo m¨¢s de dos a?os del Consejo de Seguridad Nacional (CSN, encargado de asesorar al presidente del Gobierno ante situaciones de emergencia) despu¨¦s de que los protocolos policiales puestos en marcha en 2019 por Interior para combatir durante las tres campa?as electorales de aquel a?o las llamadas fake news o bulos y proteger el sistema inform¨¢tico de recuento de votos ante un posible ataque inform¨¢tico detectasen ¡°numerosos ciberincidentes¡±, todos ellos de baja peligrosidad.

En aquella ocasi¨®n, el departamento de Fernando Grande-Marlaska activ¨® a un centenar de agentes junto a expertos de otros organismos de ciberseguridad para rastrear redes sociales e internet con el fin de prevenir estos ataques y neutralizarlos, pero no implicaba directamente a los partidos a pesar de que aquellos documentos ya alertaban de ¡°posibles ataques contra actores del sistema¡±, en referencia a las formaciones pol¨ªticas y otros organismos implicados en los comicios.

La gu¨ªa difundida ahora entre los partidos pretende que estos se involucren ¡°en la consecuci¨®n de la ciberseguridad de redes y sistemas inform¨¢ticos como un factor de garant¨ªa en la lucha contra la desinformaci¨®n en el ¨¢mbito electoral, dada la trascendencia que los partidos pol¨ªticos tienen en nuestro sistema electoral¡±. Para ello, plantea a los partidos la necesidad de ¡°prepararse de la mejor manera posible para hacer frente a las amenazas h¨ªbridas [ciberataques y propaganda desestabilizadora] y reduzcan sus vulnerabilidades¡±. En este sentido, les propone lo que denomina ¡°una lista de chequeo¡± que les permita saber ¡°qu¨¦ se est¨¢ cumpliendo y qu¨¦ deber¨ªa de cumplirse para garantizar un est¨¢ndar de ciberseguridad¡±. Con ello, asegura, ¡°los partidos tendr¨¢n menos probabilidades de ser victimizados en esquemas maliciosos de desinformaci¨®n dirigidos a manipular a la poblaci¨®n espa?ola¡±.

El documento pone el foco en las dos ¡°t¨¢cticas¡± de los ciberdelincuentes que ¡°acumulan el mayor volumen de incidentes inform¨¢ticos en todos el mundo y cada a?o¡±. Por un lado, la entrada en los equipos aprovechando ¡°fallos de software¡± y, por otro, ¡°la manipulaci¨®n de la conducta del usuario de sistemas inform¨¢ticos para conducirle a realizar acciones¡±, como pinchar en el enlace de un mensaje que han recibido para que un virus inform¨¢tico infecte el dispositivo. En este sentido, la gu¨ªa destaca que los ciberataques pueden ser, en realidad, una sucesi¨®n de acciones encadenadas pero independientes, cuyos autores tengan distintas motivaciones, desde econ¨®micas a ideol¨®gicas.

Como ejemplo describe un escenario en el que un ¡°primer atacante¡± infecte con un webshell (programa malicioso que permite al ciberdelincuente entrar sin trabas en un equipo inform¨¢tico) que permite, a su vez, que un segundo inserte un virus troyano (que da el control en remoto desde otro equipo) para alquilarlo a un tercer atacante que puede inocular un ransomware (que encripta los datos de un sistema para luego solicitar un rescate a cambio de liberarlos) y que un cuarto se haga con la informaci¨®n sensible del partido para venderla a un quinto interesado en provocar ¡°un incidente electoral en un pa¨ªs¡±, recalca el CCN. ¡°Esta informaci¨®n robada y publicada puede tergiversarse a su vez mediante t¨¦cnicas de desinformaci¨®n, con el objetivo de torcer la percepci¨®n de partes de una comunidad de votantes¡±, a?ade.

Por todo ello, el CCN insiste a los partidos en la necesidad de que creen ¡°un ecosistema de ciberseguridad¡± sobre su informaci¨®n m¨¢s sensible, y que va desde aquella que reciben del Estado y que est¨¢ sometida a la Ley de Secretos Oficiales o est¨¢ clasificada como ¡°confidencial¡± o ¡°difusi¨®n limitada¡± a aquella de car¨¢cter personal amparada por la ley de protecci¨®n de datos. A toda ella, la gu¨ªa pide a?adir parte de la ¡°informaci¨®n interna¡± de los propios partidos, entre los que incluye la que recoge con detalle los ¡°procesos organizativos y finanzas¡±, la utilizada para dejar constancia de ¡°deliberaciones internas, estrategias, planes, intenciones o conversaciones privadas con terceros¡± o la de ¡°encuestas, acciones prospectivas o m¨¦todos de acci¨®n¡±. Tambi¨¦n pide proteger el contenido de correos electr¨®nicos enviados o recibidos en cuentas de la formaci¨®n y la documentaci¨®n que detalle, precisamente, ¡°los sistemas de seguridad y ciberseguridad¡±, as¨ª como los que muestren los sistemas tecnol¨®gicos utilizados y las credenciales de autenticaci¨®n para acceder a esta informaci¨®n sensible.