Ciberataque: ¿puede España repeler ataques contra sus sistemas informáticos?

El actual escenario europeo con la invasión a Ucrania y la posterior guerra con Rusia, pone en tensión a todos los altos mandos europeos, estén en la OTAN o no. Los movimientos de barcos rusos hace apenas unos meses en el Atlántico encendieron todas las alarmas: “es posible que corten cables de comunicaciones” era el temor. Así pues, el escenario bélico en el Este de Europa podría influir en la seguridad de las conexiones, por lo menos en la UE. El 28 de abril, apenas pasadas las 12:30 del medio día, la Península Ibérica quedó a oscuras. Recuperada la energía diecisiete horas más tarde en España y Portugal, las preguntas llegaron en avalancha al Gobierno. Una de las preguntas era: “¿ha sido un ciberataque?”. Eduardo Prieto, director de servicio de Red Eléctrica respondía que tras los análisis realizados concluían que “no ha habido ningún tipo de intrusión en los sistemas de control de Red Eléctrica que pudieran haber ocasionado el incidente". Pero las dudas seguían y el miedo a que se repita otro apagón también. En tal caso, ¿cómo haría frente España a un ciberataque exterior?

FRAGILIDAD DE LO DIGITAL

“Somos muy frágiles” decía una periodista en RNE durante el apagón. En un mundo cada vez más digitalizado, los ciberataques representan una amenaza real para la seguridad nacional, los servicios esenciales y la privacidad de los ciudadanos. Quedándonos solo con los servicios esenciales, hospitales y centros de salud cuentan con generadores, hubo despliegues para atender a personas dependientes, hogares con todo electrificado quedaron prácticamente aislados y los alimentos en las neveras podrían acabar mal si la situación se prolongase.

¿Qué sucede cuando España sufre un ataque informático de gran envergadura? A día de hoy todo estado debe estar atento ante la eventualidad de una agresión cibernética. En el caso de España, la primera acción es que el Estado despliega una respuesta coordinada y multidisciplinar. Esto último significa que intervienen organismos de inteligencia, cuerpos policiales, centros técnicos y autoridades judiciales, siguiendo protocolos definidos para garantizar la eficacia y la legalidad en la gestión de la crisis.
 

En relación a esto último, el Gobierno presentaba el 14 enero de este año el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. La norma ha sido elaborada por la Secretaría de Estado de Seguridad y busca reforzar la protección de redes y sistemas de información esenciales. Esto incluye todo aquello implicado en actividades económicas, sociales y de otra naturaleza que estén sometidas a amenazas (ciberataques) y necesiten de respuestas capaces de contrarrestarlas. Esta norma incorporará la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (la NIS-2) para unificar criterios de ciberseguridad en la Unión Europea.

ANALIZAR E IDENTIFICAR LA CAUSA

Ante la materialización del ataque informático, el primer paso es buscar el origen del mismo y esta tarea recae en los CSIRT (equipos de respuesta a incidentes de seguridad informática), como el CCN-CERT (del Centro Criptológico Nacional, CCN) y el INCIBE-CERT (del Instituto Nacional de Ciberseguridad). Estos equipos pueden recibir alertas de empresas, administraciones públicas o sistemas automáticos de vigilancia. Una vez identificado el ataque, se clasifica según su gravedad, origen y tipología (por ejemplo, ransomware, DDoS, phishing o ciberespionaje).

El Centro Nacional de Inteligencia (CNI), a través del CCN, lidera la protección de infraestructuras críticas (comunicaciones, energía, transporte, sanidad) frente a ciberataques y amenazas de espionaje. El CCN despliega equipos especializados para analizar el suceso, determinar el alcance, identificar el vector de ataque y evitar su repetición. Este proceso incluye análisis forense, identificación de posibles actores (estatales, grupos organizados, etc.) y colaboración con organismos afectados para contener y mitigar el daño.

En casos de incidentes graves, como un apagón eléctrico causado por un ciberataque, el CNI y el CCN elaboran informes técnicos para las autoridades judiciales y gubernamentales, como la Audiencia Nacional, que puede abrir diligencias para esclarecer los hechos y determinar si existe delito de terrorismo o sabotaje informático.

INVESTIGACIÓN Y JUDIALIZACIÓN

Las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), como la Policía Nacional y la Guardia Civil, cuentan con unidades especializadas en ciberdelincuencia. Estas unidades investigan los hechos, recogen pruebas digitales y colaboran con el CNI y el CCN para identificar a los responsables. La investigación puede incluir la intervención de jueces para autorizar registros, incautaciones o seguimiento de comunicaciones, garantizando la cadena de custodia de las pruebas.

Si el ataque afecta a infraestructuras críticas o tiene implicaciones de ciberespionaje o terrorismo, el CNI asume un papel central, especialmente a través del CCN. La colaboración entre los diferentes organismos es clave, y en casos de delitos graves, la Audiencia Nacional puede asumir la instrucción del caso.

Por otra parte, dada la naturaleza transnacional de muchos ciberataques, la cooperación internacional es esencial. En ese sentido, España colabora con Europol, Interpol y otras agencias, así como con empresas tecnológicas y países aliados, para rastrear a los responsables y prevenir nuevos ataques.

Una vez que se ha detectado el ataque y se procede a contrarrestarlo, se aíslan los sistemas comprometidos, se emiten alertas a otros organismos y se realizan contramedidas y actualizaciones de seguridad. De cara a evitar futuros ciberataques en la medida de lo posible se revisan protocolos y se refuerzan las medidas de prevención.

QUIÉN ES QUIÉN EN LA DEFENSA DIGITAL

La actuación del Estado se enmarca en la Estrategia Nacional de Ciberseguridad, que articula líneas de acción como la prevención, detección, respuesta y recuperación ante ciberamenazas; la protección de infraestructuras críticas; la persecución del ciberterrorismo y la ciberdelincuencia; y la cooperación público-privada. Los organismos clave en la gestión y respuesta a incidentes son:

CCN-CERT: para el sector público y sistemas clasificados.

INCIBE-CERT: para ciudadanía y sector privado.

CNPIC: para infraestructuras críticas y operadores estratégicos.

FCSE: investigación policial y judicial.
 

La respuesta del Estado español ante un ciberataque es un proceso estructurado que combina inteligencia, tecnología, investigación policial y acción judicial. La coordinación entre organismos, la cooperación internacional y la constante actualización de protocolos son esenciales para proteger a la sociedad frente a las amenazas que atraviesan el ciberespacio.