Moisés Barrio Andrés
Letrado del Consejo de Estado. Profesor de Derecho digital
Director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid
Asesor de diversos Estados y de la Unión Europea en materia de regulación digital
1. Introducción
El 19 de octubre se publicó la undécima edición del informe ENISA Threat Landscape (ETL) (1) , que es el informe anual de la Agencia de Ciberseguridad de la Unión Europea, la ENISA, sobre el estado del panorama de las amenazas a la ciberseguridad.
Supone un informe clave que describe el estado actual de la ciberseguridad, especialmente con referencia al territorio de la Unión Europea. El documento identifica las principales amenazas, las principales tendencias observadas con respecto a las amenazas, los actores de las amenazas y las técnicas de ataque, y también describe las medidas de mitigación pertinentes. Por este motivo, el informe de la Agencia de Ciberseguridad de la UE se tiene muy en cuenta a la hora de tomar las decisiones oportunas para salvaguardar el delicado equilibrio del ciberespacio, tanto por el sector público como el privado.
El ETL se refiere al período de tiempo comprendido entre julio de 2022 y junio de 2023, durante el cual el panorama de la ciberseguridad observó un aumento significativo tanto en términos de calidad y variedad como de cantidad de ciberataques y sus consecuencias.
2. Principales categorías de amenazas
Entre las principales amenazas identificadas y analizadas por ENISA, se encuentran las siguientes:
- — Ataques de ransomware (los actores de la amenaza toman el control de los recursos de una víctima y exigen un rescate a cambio de recuperar su disponibilidad);
- — Malware (software o firmware destinado a afectar negativamente a la privacidad, integridad, disponibilidad o confidencialidad de un sistema);
- — Ingeniería social (actividades que intentan explotar errores o comportamientos humanos para obtener acceso a información o servicios);
- — Amenazas contra los datos (violaciones de la seguridad que provocan la destrucción, pérdida, modificación, divulgación no autorizada o acceso a datos personales);
- — Denegación de servicio (los usuarios de un sistema o servicio no pueden acceder a los datos u otros recursos pertinentes debido al agotamiento o sobrecarga de los componentes de la infraestructura de red);
- — Amenazas de Internet (interrupciones del funcionamiento de Internet o de las comunicaciones electrónicas que adoptan la forma de apagones, cierres o censura);
- — Manipulación e interferencia de la información (patrones de comportamiento que amenazan o pueden tener un impacto negativo en los valores, procedimientos y procesos políticos, con una incidencia muy relevante de las fake news);
- — Ataques a la cadena de suministro (dirigidos a la relación entre las organizaciones y sus proveedores).
Durante el período de referencia, los ataques ransomware y DDoS (Distributed-Denial-of-Service) fueron los más denunciados y representaron casi la mitad de los eventos observados, alcanzando un total de 1.480 (31,3 %) y 1.010 (21,4 %), respectivamente.
3. Impactos principales
Entre los principales tipos de impactos derivados de ataques maliciosos, destaca en primer lugar el impacto digital, que se refiere a daños en el sistema, corrupción de archivos de datos, exfiltración o intrusión maliciosa. En concreto, el informe observó un impacto digital en casi todos los ciberataques detectados, concretándolo en tres categorías: interrupción del servicio (principalmente asociada a ciberataques de tipo DDoS), violación de datos y menoscabo en la reputación de la víctima.
En segundo lugar, cabe destacar el impacto económico, que se registró en el 19 % de los sucesos notificados, en forma de pérdidas financieras directas o daños a la seguridad nacional causados, por ejemplo, por una petición de rescate. En tercer lugar, está el impacto social (18 %), que se refiere a cualquier efecto que pueda afectar a la sociedad (por ejemplo, incidentes que perturben el sistema nacional de salud de un país o a sus elecciones democráticas). Además, también se tiene en cuenta el impacto reputacional, que se refiere a la posible publicidad negativa o influencia en la percepción pública de una víctima. Por último, debemos apuntar el impacto físico y que consiste en cualquier tipo de lesión o daño a empleados, clientes o pacientes, y el impacto psicológico se refiere a cualquier estado de confusión, malestar, frustración, preocupación o ansiedad causado a dichas víctimas.
4. Panorama sectorial
El informe de ENISA tiene en cuenta más de 2.500 ataques y, a través de un análisis sectorial, señala que, a nivel global, gran parte de los incidentes detectados (19 %) afectaron a las administraciones públicas, seguidas del sector sanitario (8 %), las infraestructuras digitales (7 %) y los proveedores de servicios digitales (6 %). Por otra parte, el 11 % de los ciberataques registrados pertenecen a la categoría «dirigidos a particulares», que incluye incidentes que afectaron a la sociedad civil en general y no a un sector en particular, y que adoptaron la forma de ataques de ingeniería social (por ejemplo, phishing) o campañas de desinformación. Los sectores menos afectados, en cambio, son los de defensa (2 %) y alimentación (1 %).
Sin embargo, combinando los datos sectoriales con las principales amenazas identificadas por ENISA, queda claro que el ransomware afectó a cada uno de los sectores considerados en este informe, especialmente a la industria manufacturera (15 % de los ataques de ransomware), la sanidad (13 %) y las administraciones públicas (11 %). Los ataques DDoS, dirigidos principalmente al segmento del transporte (17 %) y a los sectores bancario y financiero (9 %), también presentaron cifras bastante elevadas, al igual que las amenazas contra los datos, que afectaron sobre todo a las administraciones públicas (16 %), a la categoría de personas objetivo (15 %) y al sector sanitario (10 %).
5. Manipulación de la información e inteligencia artificial
El informe muestra un preocupante aumento de los ataques patrocinados por actores estatales, principalmente a través de correos electrónicos de phishing y solicitudes en redes sociales, contra políticos, funcionarios, periodistas y activistas. Aunque una gran parte de estos ataques son para el uso de ransomware, el beneficio económico no es la única razón de tales actividades. De hecho, en algunos casos, la motivación principal es determinar la difusión de información con fines políticos o influir en los procesos electorales.
La manipulación de datos representa una categoría particularmente insidiosa de ciberataques, ya que su objetivo es convertir datos fiables en datos falsificados mediante los sistemas de IA que procesan dicha información
Además, debe subrayarse que la manipulación de datos representa una categoría particularmente insidiosa de ciberataques, ya que su objetivo es convertir datos fiables en datos falsificados mediante los sistemas de IA que procesan dicha información, cambiando así la percepción de la realidad por parte de los usuarios o ciudadanos que, de alguna manera, utilizan los resultados de dichos sistemas. Por ejemplo, esto puede lograrse mediante el envenenamiento de datos, es decir, el envenenamiento de los datos de entrenamiento de la IA para reducir la precisión del modelo en el que se basan, o mediante la manipulación de la información, que adopta la forma de un ataque intencionado destinado a crear o compartir información falsa o engañosa que pueda influir en la percepción que tiene el público de un acontecimiento específico.
Estos ataques, como señala el informe analizado, se ven amplificados por la aparición de sistemas de IA de fácil acceso y utilización, que permiten a los ciberdelincuentes generar imágenes y textos bastante realistas y fiables. En particular, subraya, no hay que subestimar la capacidad de los chatbots y, más en general, de la IA generativa para permitir una desinformación interactiva y personalizada para el objetivo.
6. Conclusiones
Como acertadamente señala DELGADO MARTÍN (2) , en la sociedad actual «resulta estrictamente necesaria la efectiva protección de la información contenida en los dispositivos tecnológicos, mediante la realización a aquellas actividades destinadas a proteger las redes y los sistemas de información frente a las ciberamenazas. Los ataques pueden tener esencialmente una triple finalidad: económica, a través de la venta de información en el mercado negro; publicidad y notoriedad, especialmente en supuestos de ciberterrorismo; y causar daño a la imagen de un tercero, a través ataques dirigidos a la competencia o a un tercero».
El escenario que se desprende de la lectura del informe pone de relieve una nueva oleada de riesgos para la seguridad de los ciudadanos y los Estados, entre los que no deben subestimarse las inferencias en los procesos electorales previstos de cara a las próximas elecciones europeas. Por lo tanto, para contrarrestar este fenómeno, parece necesario aumentar el nivel de cooperación institucional en varios frentes. En primer lugar, esto se refleja a nivel internacional, donde tanto la cumbre del G7 en Hiroshima de 2023 como la reunión del Consejo de Comercio y Tecnología UE-EEUU en mayo evaluaron la manipulación y la interferencia de información extranjera como un asunto clave que debe abordarse de forma prioritaria y no subestimarse.
A nivel de la UE, se han tomado varias medidas, entre ellas la redacción del Código de buenas prácticas en materia de desinformación reforzado de 2022 (3) , que define un conjunto de normas de autorregulación para contrarrestar el fenómeno, y, sobre todo, la aprobación del nuevo Reglamento de Servicios Digitales (DSA) (4) de 2022, que entre sus requisitos (5) incorpora medidas para obstaculizar la difusión de contenidos ilegales en línea, además de imponer obligaciones a las plataformas digitales para mitigar diversos riesgos (entre ellos, los relacionados con la manipulación de elecciones).
A nivel técnico, han surgido diversas políticas públicas de apoyo a la recogida estructurada de datos y al análisis de la manipulación informativa en sus diversas conceptualizaciones. Se han propuesto varias iniciativas sobre este tema, por ejemplo, el Centro Común de Investigación (CCI) y el Centro Europeo de Excelencia para la Lucha contra las Amenazas Híbridas (Hybrid CoE) han presentado en marzo de 2023 la propuesta de un modelo para la gestión de las amenazas híbridas, incluida la desinformación (el Comprehensive Resilience Ecosystem - CORE) (6) .
A la postre, la ciberseguridad es una necesidad permanente y en constante evolución y por ello resulta imprescindible que la UE y los Estados miembros consigan una autonomía tecnológica sólida en el escenario global, que, además de reducir la dependencia de plataformas extranjeras, mitigue mejor los riesgos asociados.