Medio centenar de cibermedidas para que los políticos eviten ser espiados ante el 9-J

La Junta Electoral Central (JEC) ha distribuido de nuevo entre los partidos políticos una “breve guía de ciberseguridad” con sugerencias para que sus candidatos y dirigentes eviten un posible ciberataque durante la campaña para las elecciones al Parlamento Europeo del próximo 9 de junio. El documento destaca que el objetivo de las medidas es evitar que sufran uno que suponga “la divulgación pública de información robada de los ordenadores, teléfonos móviles o servidores informáticos” que pueda “tener un impacto directo y significativo en la conducta electoral del votante”. La guía, de 78 páginas de extensión, ha sido elaborada por el Centro Criptológico Nacional (CCN, dependiente del CNI) y remitida a los partidos el 1 de abril. Su contenido es idéntico al que la Junta Electoral ya les facilitó en mayo del año pasado, justo antes de las últimas municipales y autonómicas.

El documento recoge ocho “listas de chequeo” con un total de 51 cibermedidas para que los partidos minimicen el riesgo de ser víctimas de ataques informáticos. “Este papel crucial, y las graves consecuencias que podrían derivarse de un ataque informático a uno o varios partidos políticos en el curso de un proceso electoral, justifica que los partidos deban preparase de la mejor manera posible para hacer frente a las amenazas híbridas [actuaciones que buscan desequilibrar las condiciones de seguridad de un estado sin superar el umbral de la agresión armada convencional] y reduzcan sus vulnerabilidades en ciberseguridad”, recalca en su introducción.

La elaboración de esta guía fue una recomendación surgida en octubre de 2020, cuando la pandemia disparó los ciberataques, del Consejo de Seguridad Nacional (CSN), el órgano encargado de asesorar al presidente del Gobierno ante situaciones de emergencia. En 2019, los protocolos policiales puestos en marcha por Interior para las tres elecciones celebradas aquel año para combatir las llamadas fake news o bulos en internet y proteger el sistema informático de recuento de votos de un posible ataque informático ya habían detectado “numerosos ciberincidentes”, aunque todos fueron de baja peligrosidad. Desde entonces, diferentes organismos han lanzado alertas en el mismo sentido.

Entre las más recientes está la que planteó la Unión Europea el pasado noviembre, cuando organizó un denominado “ejercicio de ciberseguridad” con la participación de los estados miembros. En el mismo se alertó los comicios de junio se enfrentaban a riesgos que iban “desde la manipulación de la información y la desinformación hasta los ciberataques que ponen en peligro las infraestructuras”. Una advertencia similar aparecía en el último informe del Departamento de Seguridad Nacional (DSN, dependiente de Presidencia del Gobierno)m, hecho público en marzo, y que señalaba a Rusia como el principal propagador de las campañas de desinformación que tienen como objetivo “desestabilizar y polarizar a la sociedad y socavar su confianza en las instituciones”.

El documento distribuido ahora por la Junta Electoral a los partidos destaca que, si bien “a menudo se piensa que un ciberincidente grave durante un proceso electoral sería el derivado de un ataque informático a los sistemas de procesado de resultados electorales, o incluso a los sistemas de voto electrónico en los países donde estén implantados”, en realidad puede ser incluso más peligroso “un ciberataque selectivamente medido y dirigido contra los sistemas informáticos de uno o varios partidos políticos, con el fin de desvelar información sensible de partidos políticos o de sus miembros, que luego sea tergiversada ante la opinión pública”. Y añade que que con esta maniobra se puede “condicionar ilegítima e ilegalmente las dinámicas democráticas”.

En la guía, los expertos advierten a los partidos de que, si bien los métodos que pueden utilizar los ciberdelincuentes son numerosos y muy diversos, “dos sobresalen en porcentaje incontestable como las que acumulan el mayor volumen de incidentes informáticos en todo el mundo y cada año”. Se trata, en concreto, de la intrusión en los equipos informáticos tras aprovechar “fallos de software” o “la manipulación de la conducta del usuario [...] para conducirle a realizar acciones” como, por ejemplo, pinchar en un enlace con un virus informático. Los motivos de los ciberdelincuentes los engloba en tres categorías: “Ideológicas, cibercriminales de lucro o geopolíticas”.

Aunque las recomendaciones se dirigen a aumentar la seguridad de todos los equipos informáticos de los partidos, incluidas bases de datos, la guía pone el foco en los teléfonos inteligentes que, como recalca la guía, “habitualmente acompañan a una persona casi todas las horas de sus días”, por lo que su protección es calificada de “primordial”. En este sentido, recuerda que estos dispositivos “hace tiempo que dejaron de ser única o principalmente teléfonos” para convertirse en “máquinas portátiles de computación que realizan una amplia variedad de funciones” para lo que se conectan “tanto con sistemas informáticos propios del partido político como ajenos, todo ello en paralelo y al mismo tiempo”, con el riesgo que ello supone.

Para blindar la abundante información que contienen estos dispositivos, el documento recomienda desactivar la función de geolocalización que acompaña a algunas aplicaciones, utilizar claves de acceso más “robustas” de las que habitualmente incorporan estos dispositivos ―plantea que de los cuatro dígitos habituales se pase a un código de 12 caracteres que combine letras, números y caracteres especiales o se usen acrósticos con las iniciales de las palabras que componen una frase―, eliminar las notificaciones en pantalla, impedir las descargas de nuevas aplicaciones sin el visto bueno de los responsables de ciberseguridad del partido e instalar programas antivirus.

También insta a que, cuando se celebren reuniones presenciales de dirigentes y candidatos en las que se vaya a manejar información confidencial, los asistentes introduzcan previamente sus teléfonos móviles en sobres diseñados como jaulas de Faraday (recipientes que impiden que los dispositivos emitan o reciban señales inalámbricas) para que estos queden incomunicados y no puedan ser hackeados durante el tiempo que dure el encuentro.

Sobre las redes sociales, el informe desaconseja a los políticos que las usen para compartir información sensible tanto del partido como personal ante “la creciente tendencia” de que sean escenario de ciberataques. “La sobreabundancia de información personal que los usuarios difunden a través de sus perfiles en redes sociales constituye una atractiva materia prima para que cibercriminales utilicen esa información con propósitos maliciosos”, recalca el informe, que apunta a que “es recomendable mantener en privado la lista de contactos y analizar bien las solicitudes de amistad de desconocidos”, añade.

Respecto a las aplicaciones de mensajería instantánea, como WhatsApp o Telegram, plantea evitar el envío a través de ellas de documentos sin encriptar o pinchar en enlaces y ficheros recibidos “salvo que se haya realizado una doble verificación de la identidad e intención del remitente del mensaje”. También recomienda “no aceptar solicitudes de adhesión a grupos de mensajería” y “detenerse unos minutos a pensar y cerciorarse en cada momento si el contenido que se va a compartir” es el “adecuado”. En este sentido, los expertos recomiendan que los responsables de seguridad de los partidos realicen “las acciones necesarias para concienciar regularmente al personal” al considerar que son precisamente ellos “la primera línea de defensa”.