¿Son habituales ataques con ordenador oculto como el del Ayuntamiento de Gijón?

El Ayuntamiento de Gijón ponía esta semana en conocimiento de la Policía Nacional la aparición en dependencias municipales de un ordenador oculto, del que se desconoce tanto la procedencia como la función que realizaba. Todo ello a raíz de la puesta en marcha, hace apenas unos meses, de una auditoría interna para el control exhaustivo de todos los sistemas del Ayuntamiento y después de que el consistorio adoptara la decisión de crear una dirección general de Protección de Datos, al inicio de este mandato.

Los principales expertos en informática y sistemas de la región opinan que esta iniciativa desarrollada por el consistorio gijonés ha sido «completamente acertada» y determinante a la hora de dar con el equipo oculto y minimizar los riesgos. Estos especialistas analizan para La Voz cómo se producen este tipo de asaltos cibernéticos, qué suelen buscar y cómo se pueden evitar.

Una brecha en la primera línea de defensa del Ayuntamiento

Alberto Núñez, decano del Colegio Oficial de Graduados en Ingeniería Informática e Ingenieros Técnicos en Informática del Principado de Asturias, explica que en la actualidad hay «muchísima variabilidad en la infraestructura del ataque». Considera que aún hay que confirmar que la computadora encontrada «estaba ahí para hacer daño», si bien, a su juicio, «es el aspecto que tiene».

Desde el Colegio Oficial de Graduados en Ingeniería Informática e Ingenieros Técnicos en Informática del Principado de Asturias no consta que este modus operandi «sea muy frecuente, pero no es un caso aislado». «En ingeniería telemática establecemos la regla del 90/10 en ciberseguridad», explica el decano del colegio. En este sentido, «el 90% de tus riesgos y problemas en este ámbito desaparecen si tú no tienes el ordenador, tablet o móvil conectado a la red».

No obstante, «siempre queda un 10%, porque en todo momento puedes sufrir un ataque 'físico' y no es necesario que ese ordenador esté conectado a Internet». En esta línea, cree que «si tenemos hoy en día un ordenador, tablet o móvil sin conexión a Internet perdemos muchísima funcionalidad... no podemos trabajar desconectados todo el día».

Comenta que un sistema conectado directamente a la red del Ayuntamiento de Gijón es lo que los expertos llaman «un breaching, paso o puente que facilita muchísimo el acceso a la información». En el caso de lo acaecido en el consistorio gijonés, ese puente equivale a que «no tienes que pasar a través de Internet para llegar a los sistemas de información».

«La conexión así es más sencilla y si a través de Internet, o la vía que sea, me conecto desde otro sitio a ese ordenador oculto, tengo una pasarela magnífica para robar datos, provocar denegaciones de servicio o desarrollar el tipo de ciberataque que sea», asevera.

Alberto Núñez comenta que «el Ayuntamiento de Gijón, como cualquier administración pública o empresa, tiene sus sistemas en una red y se protege extraordinariamente entre su red e Internet». «Si yo meto un equipo espía en medio se facilitan mucho las cosas y soslayo una línea de defensa», resalta.

Medidas correctivas y preventivas

Este experto cree que, «si todo esto se confirmase, lo primero que se concluye es que el Ayuntamiento tuvo una decisión completamente acertada de crear esa dirección general de Protección de datos, la cual entendemos que es la que tomó la decisión de desarrollar esa auditoría, a través de la que se obtuvo esta evidencia de un riesgo».

Insiste en que en esta fase entra en juego la informática forense, que es «la que va a determinar exactamente qué es lo que ocurrió». Y es que «no está toda, pero hay muchísima información que queda registrada, desde cuándo y dónde se conectó el ordenador, a dónde fue esta información, a dónde fue la otra...».

El decano del Colegio Oficial de Graduados en Ingeniería Informática e Ingenieros Técnicos en Informática apunta que «la informática forense normalmente se pone en práctica junto con la auditoría, que proporcionan ciertos mecanismos que facilitan la recuperación del negocio o servicio de forma bastante inmediata en caso de ataque».

Considera que, de manera preventiva y para evitar este tipo de ataques informáticos, «se pueden desplegar políticas en diferentes nodos que gestionan las redes para prevenir conexiones no autorizadas». «Si esas políticas, que se implementan por software y se llevan a cabo entre software y hardware, son efectivas, probablemente detectes esa conexión no autorizada con la suficiente antelación para bloquearla con suficiente antelación y evitar daños ulteriores», concluye.

Irene Cid, decana del Colegio Oficial de Ingenieros en Informática del Principado de Asturias, indica que este tipo de intrusiones, por regla general, buscan «atacar una vulnerabilidad desde fuera y meterse en un ordenador de incógnito, con lo que no suele surgir desde dentro».

Los ciberataques desde dentro «pueden hacer más daño»

Pese a lo dicho, «en empresas grandes o administraciones con muchos trabajadores, o en este caso funcionarios, sí que es más común» delitos como el que ha tenido que afrontar el Ayuntamiento de Gijón.

Esta profesional cree que «lo que nunca se puede obviar es que al final cuentas con el factor humano y, cuando hay un volumen importante de trabajadores, las empresas tienen que tomar conciencia de quiénes están en su red».

En este sentido, «los ataques de fuera están muy centralizados y tienes muchas herramientas para defenderte, pero si vienen de dentro pueden hacer más daño». De este modo, «la red en la que trabajamos suele estar muy segmentada y muy controlados los accesos desde fuera, pero una vez que estás en la propia red física a veces los controles no son tan altos y se puede hacer más daño».

El ataque en el consistorio gijonés «se detectó en una auditoría de protección de datos y parece por las fuentes que llevaban tiempo conectados, es decir, que no era algo puntual, por lo que es probable que estuvieran escuchando para recuperar datos importantes».

A la hora de curarse en salud en este ámbito, la decana del Colegio Oficial de Ingenieros en Informática resalta que «hay que tener siempre auditorías y tener siempre inventariados tus activos informáticos». También es interesante «que para entrar en esa red compartida los empleados tengan que ingresar una autenticación».