Oriol Torruella: ”Las organizaciones deben asumir que serán atacadas más de una vez”

Hace tres semanas, la Generalitat sufrió el ciberataque más potente de los últimos años. Noqueó durante tres horas unas 2.000 aplicaciones de la Administración autonómica. El director de la Agencia de Ciberseguridad de Cataluña, Oriol Torruella (Barcelona, 42 años) cifra en más de 900 millones los intentos de ciberataques que la Administración ha sufrido en 2021, de los que 2.830 han sido gestionados como incidentes de seguridad. A punto de cumplirse dos años de la fundación de la agencia, Torruella analiza la amenaza que supone para las organizaciones el viraje creciente de los grupos criminales hacia la red, que ha causado una parálisis tecnológica en la Universidad Autónoma de Barcelona (UAB) desde hace dos meses.

Pregunta. ¿Quién está detrás del ciberataque a la Generalitat del pasado 3 de diciembre?

Respuesta. Es terriblemente complicado saberlo. El ataque que sufrimos fue de denegación de servicio (DDoS). Satura las conexiones por volumen de datos, utiliza varias fuentes y, por lo tanto, recibimos peticiones de conexión de muchos tipos distintos y de muchas ubicaciones, desde países como Rusia o Ucrania. Quien monta el ciberataque utiliza un proveedor que está en la internet oscura y cobra en bitcoins. Es difícil de localizar a corto plazo. Los Mossos d’Esquadra están trabajando en ello.

P. ¿Han quedado secuelas?

R. No. La verdad es que, en este caso, la gracia de los ordenadores es que cuando los reinicias vuelven a funcionar como antes.

P. En el primer medio año de la pandemia se dispararon los intentos de ciberataque: 600 millones entre enero y junio de 2020. ¿La tendencia sigue al alza?

R. Los números se han estabilizado. Durante la pandemia vivimos una sobreexposición y recibimos muchos ataques porque muchos sistemas se estaban transformando. En 2021 habremos tenido más de 900 millones de intentos de ciberataque. 2.830 de ellos se han gestionado como incidentes de seguridad.

P. Se conocen los ataques a la Administración, pero no mucho los que sufre el sector privado. ¿Las empresas les piden ayuda?

R. Nuestra función no incluye los servicios a empresas, pero a veces nos vienen a buscar para que les asesoremos. El sector privado es uno de los más afectados. Están los casos de la cárnica norteamericana JBS [quedó paralizada en junio] o el caso del oleoducto Colonial. Son casos de infraestructuras críticas. Mapfre también ha sufrido un ciberataque este año.

P. La UAB lleva dos meses recuperándose del ataque de ransomware. Ha estado hasta hace pocos días con su web caída. Fue muy bestia, ¿no?

R. El atacante hizo mucho daño, pero la UAB tenía los datos bastante ordenados y creo que se podrá recuperar todo. Ahora es una cuestión de tiempo de recuperación. Muchas veces el planteamiento acaba siendo pagar una recompensa a los criminales y esto es un mal negocio.

P. Pero el sector público no se plantea pagar dinero a los criminales, ¿cierto?

R. Es poco habitual y no lo recomendamos de ninguna manera porque los recursos públicos no están pensados para esto. A veces este tipo de ataques implican, como ha pasado en la UAB, el paro de las operaciones. Hay entidades que no se lo pueden permitir y yo entiendo perfectamente que haya alguien que haga un cálculo de pros y contras y en algunos casos considere esta situación. Aun así, nos hacen un flaco favor porque pagar es perpetuar el cibercrimen.

P. La UAB, que ya ha dicho que no pagará, vive bajo la amenaza de que los atacantes publiquen la información secuestrada. Puede que haya datos personales.

R. El rector dijo que es improbable. Es posible que estos grupos, ante infraestructuras tan grandes, simulen que han extraído alguna cosa y lo utilicen como amenaza. Pero no tenemos ningún indicio. El tiempo lo dirá.

P. ¿Cómo está ayudando la agencia a la UAB?

R. Proponiendo medidas a corto plazo para evitar que, cuando pongan los sistemas en marcha, no vuelvan a ser víctimas del mismo atacante. Pero pueden tener otro. Las organizaciones deben asumir que serán ciberatacadas; algunas, más de una vez. Los que tenemos activos digitales de valor debemos estar siempre en alerta.

P. Ahora parece peor que te ciberataquen a que te entren a robar.

R. En el último informe mensual apuntamos que el mercado del cibercrimen es ya mayor que el narcotráfico. Y aún tenemos cierta desconexión entre nuestra responsabilidad de lo que hacemos como ciudadanos en la red.

P. El vicepresidente Puigneró anunció un plan para reforzar la ciberseguridad en las universidades. ¿Qué presupuesto tiene?

R. Aún no tenemos una cifra definitiva para 2022, también lo trabajamos con el Departamento de Universidades. Como agencia tenemos asignados 17 millones.

P. ¿Cuál es el principal reto de la agencia, ahora que en enero cumplirá dos años?

R. Vamos a crear un índice para medir cómo es la ciberseguridad en distintos ámbitos en Cataluña. La digitalización sigue adelante con el 5G, la inteligencia artificial y los sistemas asistidos por robots. Hay que huir de las múltiples realidades distópicas que hemos visto en las películas. O somos ciberseguros o ya podemos huir por patas.

P. ¿Ustedes tendrían que depender de Interior?

R. Tenemos un contacto permanente con Interior y forma parte de nuestro consejo de administración. Pero según el país hay varios modelos. En nuestro caso, en Políticas Digitales nos encargamos de la función tecnológica para construir un país ciberseguro y ellos de perseguir a los criminales.