El jefe de ciberseguridad en el CNI: "España tiene una defensa chunga, de 3ª regional" frente a Pegasus

"Estos son, vamos a decirlo así, que a mí me gusta utilizar muchas veces símiles de fútbol, atacantes de segunda división. Utilizan lo que hay y nos atacan. ¿Eso qué quiere decir? Que tenemos una defensa un poquito chunga". Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, se expresaba de ese modo el pasado mes de diciembre, durante la XV edición de las Jornadas STIC CCN-CERT, organizadas por el CCN, una de las citas anuales del sector de la ciberseguridad en España.

Con más de 17 años de experiencia -lo que lo hacen uno de los máximos expertos en la materia-, Candau confesaba que ante esta clase de ataques de softwares maliciosos, "quizás" nuestras defensas resulten precarias, más bien de "tercera regional". 

El mismo Candau lamentaba en ese foro, durante una conversación con otros expertos en ciberseguridad para Capital Radio, la cantidad de trabajo que debieron afrontar el año pasado: "Llevamos un semestre de 2021 horroroso".

Aun así, celebraba que desde el Centro Criptológico Nacional habían logrado que relevantes actores públicos y privados empiecen a valorar la protección en el ámbito de los delitos informáticos remotos: "Hemos conseguido que la ciberseguridad sea un asunto a considerar mucho por nuestros jefes".

La endeblez de las defensas del Estado ante estos ataques -reconocida por el experto del CNI en las grabaciones que acompañan esta información- encuentran su traducción ahora tras la revelación de que los teléfonos móviles de varios miembros del Gobierno fueron infectados con el programa espía Pegasus. Y que la violación de las comunicaciones no fue detectada hasta, al menos, 11 meses después.

En los informes aportados por el Ejecutivo en su denuncia ante la Audiencia Nacional se certifica que el dispositivo de Pedro Sánchez fue infectado en dos ocasiones en el año 2021: los días 19 y 31 de mayo. En la primera, se extrajeron 2,6 gigabytes de información y en la segunda, 130 megas. Ambas fechas coinciden con la crisis migratoria desatada en Ceuta, que supuso uno de los momentos de mayor tensión en la relación diplomática entre España y Marruecos.

Asimismo, los espías accedieron al móvil de Margarita Robles en junio de 2021 y robaron únicamente 9 megas de información. Además, tal y como ha revelado EL ESPAÑOL, el Centro Criptológico Nacional (CCN) ya ha descubierto más móviles de miembros del Gobierno infectados con el programa espía. Este jueves, El País revelaba que uno de ellos es el del ministro del Interior, Fernando Grande-Marlaska, aunque desde su entorno sólo deslizan que todavía no se tienen "resultados".

El Gobierno se defiende afirmando que "se aplican los protocolos de seguridad", aunque éstos "evolucionan al ritmo que las amenazas". Así tratan de excusar que no se detectara el ataque al teléfono de Sánchez en más de 11 meses. Pero fuentes de Moncloa confirman en privado a este diario que "siempre vamos por detrás, lamentablemente".

A pesar de las elucubraciones que apuntan a Marruecos, por el momento, se desconoce quién ordenó utilizar el software Pegasus para infectar ambos terminales. La denuncia de la Abogacía del Estado tampoco detalla qué tipo de información fue capturada. 

"El susto"

En la conversación entre Javier Candau y otros expertos en la materia, el responsable de ciberseguridad del CCN lamentaba que sólo se tomen medidas cuando se consuma la amenaza. Y que todavía queda mucho trabajo por hacer.

-La transformación digital no siempre va de la mano de la ciberseguridad que los expertos recomendáis. ¿Se está teniendo en cuenta la ciberseguridad o todavía falta un gran susto para que nos demos cuenta?

-Lo malo es que las organizaciones se dan cuenta cuando tienen el susto o cuando reciben el impacto -responde Candau-. Ha habido organizaciones con impactos muy altos, inasumibles en algunos casos. Yo quiero que se muevan para evitar el impacto. Y no ahora que hemos tenido más de 700 incidentes relacionados con el ransomware (un tipo de software malicioso). E incidentes críticos, más de 40 o 50. 

Candau es coronel de artillería e ingeniero industrial con especialidad en electrónica y automática. Es también especialista en criptología, uno de sus principales cometidos y el que le coloca como responsable de la capacidad de Respuesta ante incidentes a nivel gubernamental. Dispone de diversas certificaciones de especialización en seguridad de las TIC (Tecnologías de la Información y la Comunicación) y tiene más de 20 años de experiencia en materia de ciberseguridad.

Los principales cometidos de su Departamento son la formación del personal especialista en seguridad de la Administración, el desarrollo de políticas, directrices guías e informes del Centro Criptológico Nacional, el desarrollo de herramientas de ciberseguridad en apoyo al sector público, así como la supervisión de acreditación de sistemas y la realización de auditorías de seguridad.

Informes de Seguridad Nacional

Candau reconocía así lo que ya advertía el Departamento de Seguridad Nacional y el propio CNI en el reciente Informe Anual de Seguridad Nacional sobre el año 2021, avanzado por este diario. Por segundo año consecutivo, revelaba ese documento, la percepción que existe sobre la evolución de la seguridad nacional es que empeorará de aquí a un lustro: el "horizonte temporal de cinco años es de deterioro".

Los resultados de la encuesta sitúan cinco elementos en el rango de los riesgos y las amenazas que muestran "un fuerte deterioro" en los últimos tiempos. "Son la vulnerabilidad del ciberespacio, las campañas de desinformación, los efectos del cambio climático y de la degradación del medio natural, los flujos migratorios irregulares, y la vulnerabilidad energética".

El CNI advertía de que, para hacer frente a los ciberataques de los servicios de inteligencia extranjeros, "es importante incrementar la inversión en la protección de las redes TIC de las organizaciones nacionales y supranacionales". Será crucial "aumentar la colaboración internacional e impulsar la denuncia pública y el desarrollo de un marco legal que penalice estas actividades".

En ese mismo documento, el CNI exigía también "mantener una adecuada concienciación de las Administraciones, organizaciones y ciudadanos con el fin de reducir las malas prácticas y riesgos asociados al factor humano".