El Ministerio del Interior intensificará la vigilancia para detectar posibles ciberataques promovidos por otros estados que busquen "perturbar el funcionamiento de servicios esenciales" en España, en sintonía con lo que ya han denunciado algunos países con motivo de la celebración de procesos electorales. El refuerzo de la monitorización trata de descubrir otras amenazas, como ciberterrorismo y acciones de grupos yihadistas y movimientos radicales.

El departamento que dirige Grande-Marlaska acaba de poner en marcha un procedimiento de licitación para contratar los servicios de una empresa especializada que dé apoyo técnico al Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y a la Oficina de Coordinación de Ciberseguridad (OCC) -ambas dependientes del Gabinete de Coordinación y Estudios de la Secretaría de Estado de Seguridad- en las labores de persecución de la cibercriminalidad y el ciberterrorismo y surta a sus analistas de información sobre amenazas y ataques informáticos que puedan perjudicar intereses españoles. El presupuesto del encargo asciende a 1,57 millones de euros (impuestos incluidos), fijándose la duración del contrato en 24 meses prorrogables.

"El crecimiento en el número de incidentes de ciberseguridad con impacto en los operadores críticos y en los de servicios esenciales así como en otros considerados estratégicos nacionales; el aumento de las tipologías de ciberataque, su evolución y complejidad; así como el aumento en el número de requerimientos recibidos en la OCC por parte de los operadores y otras entidades gubernamentales para la resolución y esclarecimiento de los incidentes de seguridad de los sistemas de información de una forma conjunta y coordinada, requieren el desarrollo de una serie de capacidades, que, si bien en algunos casos se han venido prestando de forma exclusiva desde la OCC, requieren de una potenciación y continuidad estable en el tiempo, que permita operar las 24 horas del día, los 7 días de la semana, 365 días al año con una calidad en el servicio acorde con la importancia en la protección de infraestructuras críticas", expone Interior para justificar la necesidad de llevar a cabo la contratación. La gestión de estas amenazas exigen "especialización, disponibilidad y respuesta inmediata", enfatiza.

Extracto del pliego de prescripciones técnicas que regula el concurso.

Uno de los servicios que deberá prestar la compañía elegida será hacer un seguimiento de las amenazas cibernéticas que eventualmente lleven a cabo "otros estados o entidades relacionadas con los mismos" y que tengan como objetivo alterar el funcionamiento de servicios esenciales en el país. La "información relevante" tendrá que comunicarse con "alertas instantáneas" si su no remisión impide el uso operativo de la misma por parte de las fuerzas y cuerpos de seguridad del Estado y en los informes mensuales que deberá presentar antes de las 10 horas de cada día 1.

"Producir desestabilización en la sociedad"

Esta labor preventiva no sólo busca las posibles injerencias que pretendan otros países. También alcanza a cualquier actividad dirigida a "producir desestabilización en la sociedad" ya sea mediante la "manipulación de la información", distorsionando la "voluntad del votante en procesos electorales" o poniendo en riesgo el "normal desenvolvimiento de la actividad" del país.

Con esta contratación, Interior busca cubrir la atención a las incidencias de seguridad durante las 24 horas de los 365 días del año, para lo que exige -según se detalla en el pliego de prescripciones técnicas que regula el procedimiento, consultado por este diario- que el adjudicatario destaque al menos a un operador en las instalaciones del CNPIC y la OCC en el Centro Tecnológico de Seguridad (El Pardo, Madrid), si bien ya se prevé un posible refuerzo de personal "si las necesidades del servicio lo demandan". Ese servicio se encargará también de cubrir el punto de contacto nacional para el intercambio de información a requerimientos de policías de otros estados miembros, como obliga la directiva europea relativa a los ataques contra los sistemas de información.

El encargo, igualmente, incluye el apoyo técnico para el análisis "en profundidad" de las tareas de protección y seguridad de la información de infraestructuras críticas, operadores de servicios esenciales, actores estratégicos y sus proveedores, lo que conllevará la realización de tareas de consultoría en materia de ciberseguridad para la detección y resolución de incidentes. Este cometido abarca la gestión de "activos tecnológicos", el desarrollo de labores de "cibervigilancia" en redes sociales y otros canales virtuales y la elaboración de análisis de patrones y tendencias.

El contratista tendrá que monitorizar posibles amenazas, como la alteración de la voluntad del votante en un proceso electoral

El suministro de información debe cubrir también otro flanco de máxima prioridad para el Estado: la amenaza yihadista. Así, el contratista tendrá que hacer un seguimiento tanto a los grupos con actividad en Europa -"con especial dedicación a los que actúen en España", precisa el documento- como a aquellos que aludan a la ejecución de acciones en el continente y, especialmente, a los que hagan referencias a España.

Esa monitorización comportará el análisis de manuales, propaganda, aplicaciones informáticas, campañas de reclutamiento y radicalización, cuentas de criptomonedas, acciones físicas o cibernéticas contra infraestructuras concretas del país y cualquier otra información que pueda arrojar pistas en beneficio de la "seguridad nacional".

"Se tratará de atribuir, siempre que sea posible, una determinada actividad a un determinado grupo de los identificados anteriormente, indicando en estos casos la adscripción, pertenencia, influencia o inspiración de los mismos con las distintas corrientes de terrorismo yihadista existentes. En caso de que no sea posible llevar a cabo esta atribución, se motivará este aspecto", plantea.

"Protestas o quejas de la sociedad"

Del mismo modo, el contrato exige realizar un seguimiento exhaustivo a las entidades relacionadas con el hacktivismo y sus acciones, entre las que se citan de forma expresa cualquier actividad cibernética "con fines reivindicativos de derechos, promulgación de ideas de cualquier índole, protestas o quejas de la sociedad en general a través de acciones contra la seguridad de los sistemas informáticos".

La empresa que preste el servicio tendrá que colocar también bajo su radar a grupos dedicados a la cibercriminalidad, a movimientos radicales y a cualquier movimiento orientado a generar "desestabilización en la sociedad", ya sea para influir en los resultados de un proceso electoral o para alterar el "normal desenvolvimiento de la actividad del país". "Esta actividad se llevará a cabo sin límites territoriales, de cara a poder evaluar el impacto de incidentes similares a los descritos en este apartado en organismos, entidades o infraestructuras de otros países", precisa.

De acuerdo con las estimaciones del Ministerio del Interior, el Centro de Atención de Incidencias de Ciberseguridad gestiona al menos unos 3.000 episodios al mes, realiza unas 5.000 operaciones mensuales a través del sistema AlertPIC -aplicación de mensajería instantánea con la que los operadores de servicios críticos y esenciales para el Estado pueden cualquier ciberincidente al CNPIC- y atiende alrededor de 100 solicitudes de ayuda policial relacionadas con el punto de contacto nacional.

Jerarquización de la peligrosidad de los ciberincidentes, según el Ministerio del Interior.

Para el desempeño de estas funciones, el Gabinete de Coordinación y Estudios exige una dotación de personal compuesta al menos por un coordinador general -con una experiencia mínima de cinco años como consultor en materia de ciberseguridad, en posesión de un máster universitario y con conocimientos demostrables-, dos analistas y no menos de cinco operadores, sin que éstos puedan prestar servicios en el mismo periodo con otras entidades públicas o privadas para así garantizar la confidencialidad.

La Secretaría de Estado de Seguridad prevé que el contrato empiece a correr el próximo 1 de junio. De momento, ha abierto el plazo para recibir ofertas, que podrán presentarse hasta el próximo 25 de enero. El precio es el principal criterio para la valoración de las propuestas, representando el 51 % del total.