- Un reciente ciberataque a la Agencia Tributaria ha puesto de relieve las consecuencias de no cumplir el Esquema Nacional de Seguridad (ENS).
- Solo el 34% de los ciberataques en España en 2024 han tenido como objetivo a administraciones públicas, exponiendo vulnerabilidades críticas.
- Según el Centro Criptológico Nacional, las certificaciones ENS en el sector público son significativamente menores que en el privado, evidenciando problemas estructurales.
- Expertos recomiendan implementar planes de gestión ENS, auditorías periódicas y reforzar la continuidad de negocio para mitigar riesgos.
El ciberataque a la Agencia Tributaria: un llamado de atención
El pasado 29 de noviembre, el grupo de hackers Trinity afirmó haber sustraído cerca de 600GB de datos sensibles de la Agencia Tributaria, incluyendo información fiscal y personal de contribuyentes y empleados públicos. Los atacantes demandaron un rescate de 38 millones de dólares para no publicar los datos.
Aunque la Agencia Tributaria negó haber sufrido el ataque, expertos en ciberseguridad indicaron que los ciberdelincuentes pudieron haber utilizado una puerta trasera para infiltrarse sin dejar rastros visibles. Este incidente subraya la necesidad crítica de implementar y cumplir con el Esquema Nacional de Seguridad (ENS), que establece medidas obligatorias de ciberseguridad para proteger los sistemas de las administraciones públicas.
Brechas en el cumplimiento del ENS en el sector público
Según los datos del Centro Criptológico Nacional (CCN) reflejan un cumplimiento insuficiente del ENS en el sector público. Hasta el 26 de noviembre de 2024, las certificaciones obtenidas por las entidades públicas representaban menos de la mitad de las alcanzadas por el sector privado.
El ENS, que proporciona un marco normativo para garantizar la ciberseguridad en las administraciones y entidades colaboradoras, enfrenta barreras estructurales y presupuestarias en el ámbito público, lo que dificulta su adopción. Solo en los primeros meses de 2024, las instituciones públicas españolas registraron 25.000 ciberataques, evidenciando la necesidad de mejorar sus capacidades de defensa.
“La diferencia en certificaciones muestra una realidad preocupante: mientras el sector privado avanza rápidamente, el sector público lucha con recursos limitados y falta de planificación estratégica”, afirma Tárrega.
Recomendaciones para fortalecer la ciberseguridad pública
Se sugieren varias medidas clave para mitigar las deficiencias actuales en el sector público:
- Planes de gestión ENS: Priorizar su implementación y alineación con los estándares normativos.
- Auditorías periódicas: Evaluar de manera continua los sistemas para detectar y resolver vulnerabilidades.
- Planes de continuidad de negocio: Garantizar la prestación de servicios esenciales ante posibles ciberincidentes.
- Gestión proactiva de tecnologías emergentes: Incorporar inteligencia artificial y blockchain con un enfoque de seguridad desde el diseño, para mitigar riesgos asociados a su adopción.
Liderazgo necesario en la era digital
En un contexto de creciente digitalización, el sector público debe liderar en la implementación del ENS, no solo para cumplir con la normativa, sino también para proteger la confianza ciudadana en los servicios públicos. Según Logicalis, avanzar en la ciberseguridad no es solo una obligación legal, sino una necesidad estratégica para garantizar la continuidad operativa y la seguridad de los datos críticos.
Este desafío exige inversiones en recursos, planificación tecnológica y formación, junto con un compromiso firme para cerrar la brecha con el sector privado en la adopción de estándares de ciberseguridad.
