El CNI pide al Gobierno que no emplee móviles sin que ellos los revisen para evitar otro ‘caso Pegasus’
Las ciberamenazas han crecido de forma exponencial en los últimos años, lo que ha llevado a las altas instituciones del Estado a buscar el modo de protegerse al máximo de posibles fallos en sus escudos de seguridad.
Fueron precisamente esas grietas, que ahora se pretenden subsanar, las que facilitaron el espionaje con el programa Pegasus a los teléfonos móviles del presidente Pedro Sánchez y otros miembros del Gobierno. Un escándalo que se prolonga hasta el día de hoy con Marruecos como principal sospechoso de infiltrarse en esos dispositivos.
Por eso, en los últimos meses el Centro Nacional de Inteligencia (CNI) ha redoblado los esfuerzos para evitar que sean hackeados los móviles de los altos cargos del Ejecutivo. Los servicios secretos enviaron esta misma semana un informe a las altas instancias del Estado exigiendo que dejen de utilizar teléfonos que no hayan sido supervisados antes por el Centro Criptológico Nacional (CCN-CERT).
El CCN-CERT es el departamento de los servicios de inteligencia dedicado a prevenir, detectar y responder a los incidentes de seguridad sobre sistemas informáticos. La nueva instrucción detalla aspectos sobre la seguridad en redes móviles 5G para uso institucional.
Se trata de una guía de 13 páginas titulada CCN-TEC 011 Comunicaciones Móviles Seguras en 5G, a la que ha podido acceder EL ESPAÑOL, elaborada para proteger la información clasificada o sensible en estos dispositivos.
[Interior registra 375.506 cibercrímenes en 2022, 1 de cada 5 delitos cometidos en España]
En el documento, el CNI hace referencia por primera vez a Pegasus desde que hace casi un año el Gobierno desveló que en 2021 los teléfonos de Pedro Sánchez, Fernando Grande-Marlaska y Margarita Robles, entre otros, habían sido infectados con el software espía israelí.
El CNI considera que para garantizar la seguridad en este tipo de redes móviles ante ataques “como puede ser el caso de Pegasus” los funcionarios del Estado solo deberán utilizar dispositivos “aprobados” que ellos mismos hayan analizado.
“Menos ciberataques”
Los servicios secretos hacen referencia en su informe al catálogo de Productos y Servicios STIC (CPSTIC) como el listado idóneo para que altos cargos ministeriales adquieran productos que disponen de unas garantías de seguridad verificadas y contrastadas.
“Está destinado a organismos del Sector Público o entidades privadas que den servicio a éstos y que se encuentren bajo el alcance del Esquema Nacional de Seguridad (ENS), o que manejen Información Clasificada”. En él figuran dispositivos que han sido evaluados por el área del CNI dedicada a la ciberseguridad.
[Interior adiestrará a 300 policías para combatir ciberataques tras el fallo de seguridad de Pegasus]
Esos teléfonos cuentan con una arquitectura segura, que permitirá que los recursos internos de cada organización estén protegidos, “siendo menos susceptibles a ciberataques y brindando una mejor visibilidad, detección y control de los ataques, lo que reducirá el riesgo”.
En este afán por informar a sus especialistas y aumentar la protección, otras instituciones públicas han tomado la iniciativa. El Ministerio del Interior decidía hace unos meses empezar a formar a 300 policías en un curso de 12 meses sobre “Amenazas persistentes avanzadas (APT)”.
Más iniciativas
Entre las principales APT figura el polémico Pegasus, programa de la empresa israelí NSO Group con el que fueron infectados los dispositivos del presidente del Gobierno y de los ministros de Defensa e Interior, entre otros, en plena crisis diplomática con Marruecos en mayo de 2021.
A esta medida se suma la orden que meses atrás dio el Ministerio de Defensa a sus trabajadores. La cartera que dirige Margarita Robles ordenó sustituir 4.000 teléfonos móviles de su personal para evitar el espionaje de programas como Pegasus.
[Defensa ordena sustituir 4.000 móviles de altos cargos y militares para protegerse de Pegasus]
Las Fuerzas Armadas comenzaban así una renovación al completo de sus dispositivos móviles por temor a nuevos episodios de espionaje. El objetivo es disponer de modelos más protegidos de amenazas externas.
En los últimos tiempos parece que se toma cada vez más en serio la protección en el ámbito de la ciberseguridad. Más teniendo en cuenta, según los últimos datos del Ministerio del Interior, que uno de cada cinco delitos que se cometen en España se producen en la red. En total 375.506 cibercrímenes en 2022, un 72% más que en el año 2019.
“Con la aparición de las ciberamenazas”, reza otro reciente informe del CNI al que ha podido acceder este diario, “causantes de pérdidas económicas y de prestigio en las
organizaciones, surge la necesidad de incrementar los esfuerzos en la seguridad de los sistemas y la protección de los datos”.