El inspector Alberto Francoso, responsable de la Oficina de Coordinación Cibernética, explica la labor policial en la red durante la crisis del coronavirus
El estado de alarma por la crisis del coronavirus ha sacado a buena parte de las Fuerzas de Seguridad a la calle, pero también mantiene a sus especialistas en ciberseguridad pegados a las pantallas de sus equipos informáticos para vigilar la red en previsión de delitos y ataques cibernéticos. El inspector de la Policía Nacional Alberto Francoso es uno de ellos. Al frente de la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC, dependiente del Ministerio del Interior), asegura que desde que estalló la emergencia sanitaria “no ha habido un aumento sustancial de número de ciberdelitos ni cambios del modus operandi que utilizan los delincuentes. Siguen siendo las mismas técnicas, pero ahora utilizan como señuelo el coronavirus”, añade.
No obstante, reconoce que, además del ransomware [secuestrador de datos] enviado a través de mensajes de correo electrónico dirigidos a personal sanitario que se conoció el pasado lunes, el CNPIC, en colaboración con otros organismos de ciberseguridad, ha detectado otros dos ataques contra estructuras sanitarias: “No iban dirigidas a la perturbación del servicio, sino a poner en compromiso la información contenida en sus sistemas. Se están investigando. No tenemos claro aún qué ha ocurrido”, detalla.
El CNPIC tuvo constancia de una de estas posibles intrusiones por la aparición de una imagen en la red con información presuntamente confidencial. “Quizá era un hacker que buscaba publicidad para él, sin ánimo de robar nada”, explica. En foros de hackers es habitual enseñar una prueba de hackeo para demostrar una proeza o para vender información. Las autoridades españolas están investigando si ha habido realmente acceso a información confidencial o es una imagen falsa. “Por ahora no sabemos cómo catalogarlo. Lo estamos investigando junto al Incibe (Instituto Nacional de Ciberseguridad de España, dependiente del Ministerio de Asuntos Económicos) y el Centro Criptológico Nacional [adscrito al CNI]”.
El ataque con el ransomware Netwalker hecho público este lunes no tuvo finalmente ningún impacto en los servicios: “Fue un incidente mínimo”, dice. Algún empleado clicó en un mensaje que contenía el malware [software malicioso] porque se presentaba como información sobre el coronavirus. Engañar con ello es más fácil y los clics de un empleado son imposibles de controlar. Por ello, los equipos de ciberseguridad de empresas y organismos públicos necesitan lo que Francoso llama “un segundo escalón de defensa”. Se trata de tenerlo todo “bien compartimentado”. Si el ataque entra en el sistema debe afectar solo a una parte pequeña, aislada de las otras para evitar contagios, como si en realidad fuera el virus verdadero: “Si las redes están segregadas, el impacto es mínimo”, dice. “España tiene un alto nivel de ciberseguridad. Ahora es muy difícil que un ransomware, después de todos los incidentes que han ido ocurriendo, tenga un efecto significativo”, añade el inspector.
Francoso forma parte del medio centenar de especialistas de Interior, en su mayoría policías y guardias civiles, que integran el “dispositivo especial” puesto en marcha por Interior “desde el inicio de la crisis” para patrullar en Internet y las redes sociales. Un equipo similar al que se pone en marcha cada vez que se convocan elecciones o, por ejemplo, durante la reciente celebración de la Cumbre del Clima en Madrid. Desde que se puso en marcha, admite haber detectado, junto al envío de correos electrónicos con software malicioso que busca obtener un beneficio económico para los delincuentes, un número considerable de ciberbulos, las célebres fake news. “No parece, por ahora, que tengan una finalidad concreta y no sabremos si tienen un origen común hasta que analicemos más adelante su origen. Lo único evidente es que son mensajes muy diversos, que van desde teorías de la conspiración para explicar el origen del virus a informaciones falsas para perjudicar al Gobierno o dar a famosos por muertos. El objetivo de todos ellos parece crear confusión”, destaca el inspector.
A pesar de estos ataques que por ahora han tenido pocas consecuencias reales, Francoso admite que están muy alerta de la información que llega de otros países. Un grupo de “hackers de elite” intentó acceder a la Organización Mundial de la Salud a principios de marzo, según reveló Reuters este lunes. Sus motivos no estaban claros y la operación no tuvo éxito, pero el encargado de ciberseguridad del organismo advirtió que los intentos de hackeo estaban creciendo. El supuesto fin era robar contraseñas del correo de funcionarios de la OMS. Un mensaje falso desde la cuenta real de este organismo puede ahora permitir el acceso a muchos sistemas de todo el mundo.
Francoso ha compartido su inquietud por la situación inédita que se vive, con la mayoría de empleados trabajando, por lo que las opciones de hackeo crecen de manera extraordinaria: “Hemos pasado a depender de manera casi crítica de las tecnologías de la información debido al confinamiento. Ha aumentado mucho la superficie de exposición. Hay mucho malware circulando. Se usa mucho el correo electrónico, los mensajes de mensajería instantánea”, alerta. Su consejo es estar más alerta, usar la Red solo lo que sea necesario y, por supuesto, “no clicar en nada que no sea de gente conocida”, dice.