• Publicidad
  • Boletín Gratis
  • Hazte Socio
Confidencial Digital Confidencial Digital
La web de las personas informadas que desean estar más informadas
Buscar
Secciones
Síguenos

El Centro Criptológico Nacional enseña a funcionarios a prevenir vulnerabilidades de los móviles y a proteger documentos confidenciales

Casi 4.000 solicitaron inscribirse durante el primer semestre a los cursos de ciberseguridad, aunque solo fueron admitidos 473

Funcionarios en una oficina de la administración.
Funcionarios en una oficina de la administración.
Aurelio Ruiz Enebral
Aurelio Ruiz Enebral
03/09/22 | 1:05
Etiquetas:
funcionarios CNI Pegasus ciberataques Ciberseguridad Centro Nacional de Inteligencia

Los ataques con el programa Pegasus a los teléfonos móviles de Pedro Sánchez, Margarita Robles y Fernando Grande-Marlaska renovaron hace meses la preocupación por la ciberseguridad de las administraciones públicas.

Más allá de estos casos concretos de espionaje a altas instituciones del Estado, lo cierto es que cada vez hay mayor conciencia del peligro que supone que un funcionario de un ministerio u organismo público cualquiera abra un correo electrónico extraño o pinche en el enlace de un sms sospechoso.

El Servicio Público de Empleo Estatal (SEPE) y el Ministerio de Trabajo sufrieron ciberataques en 2021 que comprometieron el funcionamiento de sus sistemas informáticos.

Alerta del CNI

Tras la invasión de Ucrania por lanzó Rusia a finales de febrero, el Centro Nacional de Inteligencia (CNI) alertó de que ese incidente en el SEPE se podía repetir en las fechas en las que se abonan las prestaciones por desempleo. Efectivamente, se produjeron problemas en las redes del SEPE para tramitar los pagos a principios de abril.

También se han producido episodios en teoría menos lesivos, aunque llamativos: al Estado Mayor de la Defensa le robaron las credenciales de su cuenta oficial de Instagram, que durante varias horas publicó fotos de una chica joven en ropa interior. Fue un hackeo “mediante un ataque de phishing o de engaño, utilizando técnicas de ingeniería social”, del que hace meses aún se desconocía la autoría.

Ataques muy complejos

El Informe Anual de Seguridad Nacional de 2021, en el capítulo sobre “Contrainteligencia”, admite que servicios de los países de la cuenca mediterránea, el Sahel y Oriente Medio llevaron a cabo el año pasado “ataques informáticos muy complejos y difíciles de neutralizar, para obtener información de Europa, y más concretamente de España”. En general, la actividad del espionaje extranjero en nuestro país se disparó en 2021.

En este contexto se enmarcar el éxito que están teniendo entre los empleados públicos de las administraciones los cursos sobre ciberseguridad que imparten el Instituto Nacional de Administración Pública (INAP) y el Centro Criptológico Nacional (CCN). Este último es el organismo, dependiente del CNI, que monitoriza la amenazas cibernéticas a los organismos públicos y trata de potenciar las capacidades defensivas ante los piratas informáticos.

3.918 solicitantes, 473 admitidos

El INAP y el CCN mantienen un convenio para formar a los funcionarios en materia de ciberseguridad. Organizan cursos cada cierto tiempo y, según el Centro Criptológico Nacional, en lo que va de año se ha registrado una “enorme demanda formativa por parte de los empleados públicos”.

En el primer semestre de 2022, han celebrado 18 actividades en materia de ciberseguridad, y han impartido un total de 860 horas de formación por medios telemáticos.

 

Estos cursos tuvieron una alta demanda por parte de los funcionarios. El CCN recibió 3.918 solicitudes para seguir cursos de ciberseguridad enfocados a proteger los sistemas de las administraciones públicas.

Al final, sólo se admitió a 473 solicitantes. Es decir, se cubrió apenas el 12% de la demanda para formarse en prevención y reacción frente a ataques informáticos.

Un 40% fueron mujeres

Los empleados públicos interesados fueron mayoritariamente hombres: de las 3.918 solicitudes, 3.155 las presentaron hombres (80,5%) y 763 mujeres (19,5%).

Sin embargo, las resoluciones de la directora general del Instituto Nacional de Administración Pública, que convoca estos cursos cada seis meses, establecen que “se reservará al menos un 40 por ciento de las plazas en los cursos de formación para su adjudicación a mujeres que reúnan los requisitos establecidos, salvo que el número de solicitudes de mujeres sea insuficiente para cubrir este porcentaje”.

De ahí que finalmente se aceptara a 251 hombres y a 122 mujeres para realizar estos cursos.

Gestión de incidentes de seguridad

Entre los cursos que el Centro Criptológico Nacional ofrece a los funcionarios está el “Curso de Seguridad de las Tecnologías de la Información y las Comunicaciones”.

Es, por así decirlo, el curso básico, general, que tiene por objeto “proporcionar una visión global de la seguridad de los sistemas de información, sus vulnerabilidades, las amenazas a las que están sometidos y los riesgos que comporta su uso”.

Se estudian “Orientaciones de seguridad”, “Criptología”, “Organización de la ciberseguridad”, “Seguridad lógica: software dañino”, “Seguridad en redes inalámbricas”, “Gestión de incidentes de seguridad”...

Se imparte de forma online, y dura 30 horas. Suele exigirse como requisito haber realizado este curso para apuntarse a otros más específicos.

Seguridad en comunicaciones móviles

El caso Pegasus ha mostrado los peligros para la ciberseguridad, incluso para la seguridad nacional, que ofrecen los teléfonos móviles y dispositivos similares.

El CCN y el INAP impartieron en el primer semestre de 2022 un “Curso STIC – Seguridad en Comunicaciones Móviles” que tiene por objeto “proporcionar a los asistentes una visión detallada y actualizada de las amenazas y vulnerabilidades de seguridad que se ciernen sobre las comunicaciones móviles”.

En el curso, los funcionarios conocen con detalle los ataques contra las diferentes generaciones de protocolos de comunicaciones móviles, y se les explican “los conceptos básicos de arquitectura y seguridad mínimos necesarios para que el alumno llegue a entender completamente el funcionamiento de cada ataque, con diferentes ejemplos prácticos y videos demostrativos”.

Aprenden, así, conceptos sobre la seguridad en las comunicaciones de distintos tipos de redes móviles, desde el 2G hasta el 5G, seguridad en los SMS, en las llamadas de voz, contramedidas, tipos de ataques...

Este curso en concreto va dirigido a empleados públicos de los subgrupos A1, A2 y C1, y a personal laboral equivalente, “que tengan responsabilidades, a nivel técnico, en la planificación, gestión, administración o seguridad de sistemas de las tecnologías de la información y las comunicaciones, y que, asimismo, necesite para su puesto de trabajo llevar a cabo tareas relacionadas con entornos de gestión de comunicaciones móviles, de seguridad de la información y auditorías de seguridad”.

Android e iOS

Similar era el “Curso Avanzado STIC - Dispositivos Móviles”, pero en este caso se centraba en “un acercamiento teórico y práctico a las plataformas mayoritariamente implantadas (Android e iOS), para conocer y analizar las amenazas existentes en los dispositivos móviles para así poder mitigarlas”.

Las clases incluían recomendaciones y buenas prácticas en el uso de dispositivos móviles, medidas de protección, y uso lo más seguro posible de los dispositivos móviles, configuración y utilización de los mecanismos de protección existentes en la actualidad...

También estudiaban las debilidades que presentan los dispositivos, y cómo pueden ser explotadas; localización geográfica de estos aparatos; manipulaciones de red; ataques SSL, que permiten espiar toda la navegación de un usuario por internet; amenazas de malware; y una introducción al análisis forense del dispositivo móvil.

Trazabilidad del dato

En el “Curso STIC – Trazabilidad del dato”, aprendieron “los conocimientos necesarios para gestionar la documentación sensible y confidencial de la organización a través de un enfoque de seguridad centrada en los datos”, de forma que esa documentación pueda estar protegida y bajo control en cualquier ubicación, además de obtener una completa auditoría de accesos sobre la misma.

Se trata, por tanto, de formar a los funcionarios en proteger documentos confidenciales y perseguir filtraciones y fugas de información sensible.

En el curso se estudian “vectores de ataque sobre la información sensible y tipología de fugas de información”, “casos de uso y beneficios de una solución de protección, control y trazabilidad del dato”, así como el uso de la herramienta‘Carla’, un programa del Centro Criptológico Nacional que permite bloquear el acceso a un documento y saber quién ha accedido a él y con qué permisos.

Cibervigilancia

Durante el pasado mes de enero se impartió a empleados de las administraciones públicas un curso sobre “Cibervigilancia”, cuya finalidad es “proporcionar conocimientos para comprender y definir necesidades de información en cada paso del espectro de obtención de información en Fuentes Abiertas (OSINT), particularizando el enfoque OSINT en su aplicación al desarrollo de labores de Cibervigilancia”.

Aprendieron técnicas de obtención en fuentes abiertas y social media, y gestión de aplicaciones para generación de inteligencia de fuentes abiertas.

Les enseñaron a sacar más partido a las búsquedas en internet y en redes sociales, para obtener esa inteligencia de fuentes abiertas; a identificar bots en las redes; a practicar la “anonimización en cibervigilancia”; a utilizar herramientas libres para monitorizar e investigar; y a elaborar informes de cibervigilancia.

Llama la atención que en ese curso se habla del Observatorio Digital Elisa. Se trata de una unidad de cibervigilancia del Centro Criptológico Nacional, que analiza fuentes abiertas, principalmente en busca de narrativas de desinformación. Detecta estrategias de desinformación que tratan de socavar la confianza de los ciudadanos en las instituciones, por ejemplo aprovechando la crisis del coronavirus.

Seguridad en Infraestructuras de Red

Otro curso destacado, entre los que impartió el CCN y que tuvieron tanta demanda de los funcionarios, fue el dedicado a “Seguridad en Infraestructura de Red”.

En este caso se trataba de proporcionar “los conocimientos necesarios sobre las principales amenazas que afectan a las infraestructuras y equipamiento que soportan las redes de comunicaciones, así como conocer y aplicar las medidas adecuadas para garantizar su seguridad”.

Abarcaba conceptos básicos sobre redes de área local y redes IP, así como sobre configuración de routers y switches; principales amenazas que afectan a la seguridad de routers y switches; medidas básicas y buenas prácticas de configuración para mitigar las amenazas, tanto en el acceso a la gestión de los equipos como en el plano de datos y de control; técnicas de acceso seguro a la gestión remota de equipos mediante redes privadas virtuales.

Buena nota de los participantes

El Centro Criptológico Nacional, que organizó todos estos cursos en colaboración con el Instituto Nacional de Administración Pública, celebra “el gran nivel de satisfacción de los participantes”.

Al acabar cada curso, los funcionarios y empleados públicos marcaban una nota para expresar su satisfacción con la formación recibida. La puntación media fue, en los 18 cursos de ciberseguridad impartidos entre enero y junio de 2022, de 8,14. A los tutores que impartieron los cursos les pusieron un 8,53 de media.

Etiquetas:
funcionarios CNI Pegasus ciberataques Ciberseguridad Centro Nacional de Inteligencia

Video del día

Salvador Illa y Victor Francos admiten que se reunieron
con Koldo García en el Ministerio de Sanidad
Más en Seguridad
Portada
Comentarios
Envíanos tus noticias
Si conoces o tienes alguna pista en relación con una noticia, no dudes en hacérnosla llegar a través de cualquiera de las siguientes vías. Si así lo desea, tu identidad permanecerá en el anonimato
Enviar una noticia