Atacantes en las redes (aisladas) que interconectan las instituciones públicas

A principios de noviembre comenzaron a publicarse las noticias sobre el ciberataque al Consejo del Poder Judicial (CGPJ) que resultó en una fuga de datos a gran escala, incluyendo los datos de cerca de 50.000 miembros del Cuerpo Nacional de Policía. Llegando a verse la Agencia Tributaria afectada, los ciberatacantes obtuvieron datos de en torno a medio millón de contribuyentes. Conforme fuentes iniciales el ciberataque realmente se inició en el mes de octubre

Redes entre instituciones públicas

Los organismos públicos tienen sus propias vías de conectividad, tienen sus propias redes que permiten el acceso a diversos servicios. Algunos organismos públicos usan redes muy específicas y sirven de pasarela a dichas redes a otras entidades menores. Son como autopistas privadas de circulación para personal autorizado a usar dichas autopistas. No es nada nuevo, y quien sepa algo sobre historia de la informática entenderá muy bien que los primeros atacantes podían aprovechar las redes universitarias para saltar a otras redes más interesantes. 

En el caso del CGPJ, se vio afectado el “Punto Neutro Judicial” (PNJ), una de estas autopistas que permite la interconexión de varias instituciones. No es la única red de este tipo, y últimamente quien no estuviese habituado a escuchar hablar sobre ellas está, desgraciadamente, poniéndose al día. 

De hecho, en los últimos días varias noticias señalan un ataque sobre el Ministerio de Economía (que ha desmentido haber sufrido dicho ataque), perpetrado a través de la Red SARA. la red SARA  (Sistemas de Aplicaciones y Redes para las Administraciones). Mientras varios medios señalan la relación entre esta red y el PNJ con cautela, indicando que tal vez pudieran ser sucesos relacionados, otros ya mencionaron en su día que el ataque sobre la red PNJ sucedió a través de la Red SARA. En el caso de los juzgados, esta red se usaría para consultar datos “de Policía Nacional, de la Dirección General de Tráfico, de la Agencia Estatal de la Administración Tributaria, del Colegio de Registradores de la Propiedad y Mercantiles de España, o del Consejo General del Notariado, entre otros”

Nota del Ministerio de Economía desmintiendo la publicación de ABC

Existen más redes, por ejemplo, en Andalucía conocemos la red NEREA (Red Interadministrativa de Andalucía), que se interconecta con la red SARA y la RCJA (Red Corporativa de la Junta de Andalucía). El aislamiento de estas redes en muchas ocasiones se traduce en una falsa sensación de seguridad. 

Cómo pudo suceder

Teniendo en cuenta que el ataque al CGPJ se atribuyó a un joven de 18 años que se paseaba en Porsche por Madrid, es difícil que alguien haya pasado por alto la noticia. Desde comentarios que ya señalan el ciberataque como «el mayor hackeo de la historia» hasta otros que restan importancia a lo ocurrido, es, sin lugar a dudas, una situación en la que cabe preguntarse ¿estaba muy bien preparado el joven o muy mal protegido el sistema?

Comentario en twitter sobre el ciberataque

Pese a que no pasa desapercibido que las instituciones públicas están realizando grandes esfuerzos por adaptar sus sistemas y protegerlos, lo cierto es que aún queda mucho por hacer y el tiempo es un factor que juega en contra del equipo azul. Gran parte de los ataques se aprovechan del factor humano y de técnicas de ingeniería social, dado suele ser más sencillo (y efectivo) que romper las protecciones. Desde e-mails hasta llamadas insistentes a usuarios que en muchas ocasiones sin saberlo se convierten en parte decisiva del ataque.

Un ataque como el del CGPJ complica aún más las cosas, porque la información es poder, y con esto los ciberdelincuentes se encuentran mejor pertrechados. A partir de aquí el uso que le quieran dar a dicha información puede ser muy diverso, pero uno muy práctico es su uso en campañas dirigidas de phishing que aprovechen información privada; no cometamos el error de asumir que dichos datos sólo los tienen entidades de confianza.

Más información

Un hackeo a través del Poder Judicial roba a Hacienda datos de medio millón de contribuyentes. Pedro Águeda, elDiario.es, 11/11/2022: https://www.eldiario.es/politica/hackeo-traves-judicial-roba-hacienda-datos-medio-millon-contribuyentes_1_9699143.html

Piratas informáticos hackean el Ministerio de Economía. Javier Chicote, ABC, 21/11/2022: https://www.abc.es/espana/piratas-informaticos-hackean-ministerio-economia-20221121190027-nt.html#vca=rrss&vmc=abc-es&vso=tw&vli=cm-general&_tcode=d2toZWk0

El Gobierno sufre un ataque, pero no en el Ministerio de Economía: “Nunca han tenido el presupuesto suficiente en ciberseguridad”. Raquel Holgado, 24/11/2022: https://www.20minutos.es/tecnologia/ciberseguridad/el-gobierno-ha-sufrido-un-ataque-pero-no-en-el-ministerio-de-economia-nunca-han-tenido-el-presupuesto-suficiente-en-ciberseguridad-5079225/

El Ministerio de Economía niega un ciberataque a su red informática. La Vanguardia. 24/11/2022: https://www.lavanguardia.com/tecnologia/ciberseguridad/20221121/8615043/ministerio-economia-niega-ciberataque-red-informatica-pmv.html

El Gobierno se enfrenta a un grave ciberataque, aunque niega que Economía esté afectada: esto es lo que sabemos. Enrique López, Xakata. 22/11/2022: https://www.xataka.com/seguridad/gobierno-se-enfrenta-a-grave-ciberataque-niega-que-economia-este-afectada-esto-que-sabemos

Más de 12 millones de datos quedaron expuestos durante dos días por el ataque al CGPJ. Luis Miguel Montero, Ok Diario, 8/11/2022: https://okdiario.com/espana/mas-12-millones-datos-quedaron-expuestos-durante-dos-dias-ataque-punto-judicial-neutro-9952684

La entrada Atacantes en las redes (aisladas) que interconectan las instituciones públicas se publicó primero en Una al Día.