La guerra obliga al Gobierno a agilizar la creación del Centro de Operaciones de Ciberseguridad que se lleva prometiendo desde 2017

Pedro Sánchez avanzó este lunes algunas líneas maestras del nuevo plan de choque para paliar los efectos económicos de la guerra en Ucrania. De los 36 minutos con 20 segundos que duró su intervención, el presidente del Gobierno dedicó 41 segundos, menos de un minuto, a plantear algunas iniciativas en materia de ciberseguridad.

La seguridad informática se ha convertido en una política esencial, más en tiempos de conflictos como los presentes. Los ciberataques contra empresas e infraestructuras críticas no hacen más que multiplicarse. El año pasado una banda de ransomware afectó al Servicio de Empleo Público Estatal y al Ministerio de Trabajo en dos graves ciberataques.

Hace tan solo unos días la página web del Congreso de los Diputados se caía debido a un ataque de denegación de servicios.

Las incidencias siguen produciéndose, pero no ha sido hasta ahora cuando el Gobierno ha anunciado la constitución del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y de sus Organismos Públicos.

Lo indicaba el propio Sánchez después de anunciar un nuevo Plan de Ciberseguridad "a escala nacional" con un presupuesto de más de 1.000 millones de euros "que contempla más de 150 actuaciones esenciales para garantizar la ciberseguridad" en todo el país. Este Centro de Operaciones de Ciberseguridad responderá a las siglas de COCS.

Pero no es la primera vez que se anuncia.

Una empresa española libera un dispositivo para demostrar cómo se pueden 'hackear' los contadores y dejar sin luz a barrios enteros después de que las eléctricas hayan ignorado sus avisos durante años

El Centro de Operaciones de la Ciberseguridad para la Administración General del Estado fue una iniciativa que nació en julio de 2018, con la llegada de Pedro Sánchez al Gobierno. Entonces se creó una División de Planificación y Coordinación de Ciberseguridad dentro de la Secretaría General de Administración Digital (SGAD) para la dirección estratégica de esta nueva entidad.

El 15 de febrero de 2019 el Consejo de Ministros aprobó la constitución de este Centro de Operaciones declarado como "servicio compartido" con el Ministerio de Defensa, responsable del Centro Nacional de Inteligencia y del Centro Criptológico Nacional y su CERT (CCN-CERT) en virtud de un acuerdo de 2015.

La referencia del Consejo de Ministros ya destacaba que este Centro de Operaciones de Ciberseguridad prestaría "servicios horizontales de ciberseguridad que aumenten la capacidad de vigilancia y detección de amenazas en las operaciones diarias de los sistemas de información y comunicaciones de la Administración", así como "la mejora de su capacidad de respuesta ante cualquier ataque".

Nuevamente, ya en mayo de 2021, el Gobierno incluyó la constitución de este Centro de Operaciones de Ciberseguridad en una de las líneas de actuación del componente 11 del Plan de Recuperación, Transformación y Resiliencia, el documento marco con el que se gestiona la llegada de los fondos europeos Next Generation para levantar la economía tras la pandemia.

El documento estipula que se establecerá este centro de protección "frente a amenazas de ciberseguridad, que reforzará las capacidades de prevención y reacción ante incidentes de seguridad e incrementará la capacidad de vigilancia y detección de ciberamenazas de un modo centralizado más eficiente que implique un ahorro significativo de dinero, esfuerzo y tiempo".

"Este centro ayudará a mejorar la seguridad de todas las entidades y facilitará el cumplimiento del Esquema Nacional de Seguridad al gestionar la seguridad de todas las entidades de manera centralizada", resumía.

Un experto de la Guardia Civil pide reflexionar ante las amenazas de los metaversos: "Surgirán cosas en contra de la ciudadanía, se llamen ya delitos o no"

En septiembre se aprobó una transferencia de crédito de 5,2 millones de euros del Ministerio de Asuntos Económicos (del que depende la SGAD) al Ministerio de Defensa (del que depende el CCN-CERT) en virtud del convenio que alcanzaron para dirigir este nuevo centro de operaciones o SOC.

Finalmente, fue el pasado 14 de marzo cuando se publicó en la Plataforma de Contratación del Sector Público un contrato formalizado con una unión temporal de empresas que aúna a Telefónica e Indra. Son las dos firmas españolas las encargadas de "la construcción e implantación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y Organismos Públicos".

Se trata de un contrato negociado sin publicidad que se adjudicó en realidad a principios de febrero, según consta en la plataforma pública. El presupuesto base del contrato es de 38,3 millones de euros, aunque la Secretaría General de Administración Digital en realidad hacía una estimación de valor del contrato superior a los 46 millones de euros.

El procedimiento, negociado y sin publicidad, ha sido además acelerado en virtud de un artículo del decreto ley que permite ejecutar el Plan de Recuperación, Transformación y Resiliencia. "Esta declaración [de procedimiento acelerado] responde a la necesidad de acelerar la adjudicación de este contrato, que es crítico para dar cumplimiento a los objetivos establecidos".

Esbozado en 2015, concretado en 2018, creado en 2019, prometido en 2021 y adjudicado en 2022, este Centro de Operaciones en Ciberseguridad para la Administración General del Estado y Organismos Públicos será el primer SOC del Gobierno (en sus siglas en inglés, Security Operation Centre).

Qué es un SOC y qué es un CERT

El Centro de Operaciones de Ciberseguridad de la Administración General del Estado y Organismos Públicos o COCS no representará duplicidad de ningún tipo con el CCN-CERT. Pero antes de entrar en detalles, es importante explicar qué son algunas de estas siglas tan habituales en el sector de la ciberseguridad.

CERT son las siglas en inglés de equipo de respuesta para emergencias informáticas. CIRT es equipo de respuesta a incidentes informáticos. CSIRT es equipo de respuesta a incidentes de seguridad informática.

El Gobierno tiene un CERT que depende del Centro Criptológico Nacional (CCN-CERT, dependiente del Centro Nacional de Inteligencia y del Ministerio de Defensa). Pero hay otros organismos públicos especializados en ciberseguridad, como el Instituto Nacional de Ciberseguridad o INCIBE, que tiene un contacto más estrecho con el tejido productivo y tiene su propio CERT, el INCIBE-CERT.

El 97% de las webs institucionales españolas no son seguras y 12 ministerios tienen la peor puntuación en cuanto a seguridad

Cuando un ciberataque deja colgado a un ayuntamiento como el de Jerez, lo que ya ocurrió en 2020, los agentes del CCN-CERT tienen la potestad de llegar incluso a desplazarse para tratar de salvaguardar la infraestructura digital de toda Administración Pública española. Los especialistas del INCIBE-CERT tienen la potestad para hacer lo propio en el ámbito empresarial.

Las multinacionales y grandes empresas suelen apostar por soluciones privadas, pero con el auge de la digitalización que ha impulsado la pandemia, es habitual encontrar cómo pequeños y medianos negocios no cuentan con esa capacidad para proteger su infraestructura y sus servicios en línea de forma debida. Por eso pueden contar con los equipos de respuesta a emergencias del INCIBE.

España ya tiene un CERT, ¿por qué necesita un SOC?

Pero, ¿por qué hace falta que el Gobierno y la Administración General del Estado tenga un Centro de Operaciones en Ciberseguridad o SOC?

Martín Piqueras, profesor de la OBS Business School y especialista en estrategia digital para Gartner, aporta varios detalles sobre por qué un SOC es crucial en este contexto. 

"La ciberseguridad requiere de distintas disciplinas, pero si hay que resumirla en dos tiene que haber una parte centrada en detección y prevención de incidencias para evitar que ocurran cosas; y otra parte para responder cuando ocurran esas cosas", explica. Por un lado, la detección. Por el otro, la respuesta.

El propio Piqueras señala que la tendencia en la industria venía siendo invertir un 90% en prevención y detección y un 10% en respuesta. Esto está cambiando, y las inversiones ahora se mueven en el campo del 60% y el 40%. "Ya es inevitable que ocurran cosas". Por eso, a su juicio, este nuevo SOC público debe contar con un buen centro de respuesta.

"El gran sueño del internet global entra en crisis": así será la nueva red fracturada si Rusia se desconecta del resto del mundo

Pero este SOC funcionará también como un centro especializado en la prevención y detección de amenazas como las que ya sufrieron algunas Administraciones Públicas hace tan solo un año. La recuperación de un ciberataque con ransomware en el Servicio de Empleo Público Estatal conllevó una inversión de cientos de horas extras por parte de sus responsables.

Una detección temprana del ransomware 'invasor' habría evitado que el incendio se propagara mucho más de lo que hizo. Cosa que se logró parcialmente: las consecuencias de un ransomware total afectando a la mayor parte de los sistemas del SEPE podría haber tenido consecuencias devastadoras.

El propio Piqueras asevera en declaraciones a Business Insider España que SOC como el que finalmente se va a poner en marcha en España "existen en múltiples países" y también "en algunas administraciones autonómicas con bastante éxito". 

"Suelen ser organizaciones con su presupuesto propio que se encargan de realizar la prevención, la detención y la respuesta a incidentes cibernéticos o de seguridad tecnológica", incide. No cree que llegue tarde, aunque sí reconoce que una planificación estratégica más proactiva habría hecho que este centro estuviese en marcha desde hace ya "algunos años".

"Estamos trabajando de una forma más reactiva ante eventos que requieren cada vez más atención. Esto ocurre en todos los ámbitos, también en empresa o en nuestra vida particular; en ocasiones somos más proactivos y en ocasiones somos más reactivos. Pero bienvenida sea la propuesta", zanja.