Considerado de alta criticidad en virtud de la Directiva NIS2, el sector de la administración pública desempeña un papel clave en la prestación de servicios esenciales a los ciudadanos europeos.
Dado que garantiza una gobernanza eficaz y la prestación de servicios importantes a la sociedad civil, como la educación, la sanidad, el transporte público, etc., la administración pública es un sector fundamental de la economía.
Sin embargo, al estar regulado recientemente por la Directiva NIS2, el sector aún está desarrollando su resiliencia en ciberseguridad, ya que se encuentra en las primeras etapas de adaptación a los requisitos. Por consiguiente, la administración pública fue clasificada como perteneciente a la «zona de riesgo» en el estudio publicado en el informe ENISA NIS360
. Con el 38 % de todos los incidentes registrados en el último informe de ENISA sobre el panorama de las ciberamenazas, la administración pública es, según se informa, el sector más atacado de la UE.
El nuevo análisis ofrece una visión general de 586 incidentes cibernéticos reportados públicamente que ocurrieron en el transcurso de 2024.
Debido a que gestionan grandes volúmenes de datos sensibles y prestan servicios importantes en un contexto de creciente digitalización, las administraciones públicas pueden verse gravemente afectadas por ciberataques. Estos incidentes también pueden contribuir a minar la confianza pública.
Dichas amenazas incluyen ataques de denegación de servicio distribuido (DDoS), filtraciones de datos, ransomware e incidentes relacionados con ingeniería social.
El nuevo informe sectorial de ENISA ofrece una visión general de dichas amenazas con el objetivo de apoyar la evaluación de riesgos, las medidas de mitigación y la formulación de políticas pertinentes.
Hallazgos clave
Los gobiernos centrales fueron los más atacados , representando el 69% de los incidentes. La mayoría de los incidentes se dirigieron a los sitios web de parlamentos, ministerios y autoridades/agencias nacionales, principalmente ataques DDoS.
Los ataques de denegación de servicio distribuido (DDoS) representaron el 60% de todos los incidentes.
Estos ataques solían ser de corta duración y rara vez tenían un impacto significativo. Las filtraciones de datos y el ransomware, aunque menos frecuentes, resultaban más perjudiciales.
Las amenazas contra los datos incluyen filtraciones de datos (17,4%) o exposiciones de datos (1%). Los incidentes relacionados con los datos representan el segundo tipo de amenaza más frecuente registrado contra las entidades de la administración pública en la UE en 2024. Entre los objetivos destacan los servicios de empleo, las plataformas de los gobiernos locales, los portales de las fuerzas del orden y los sistemas educativos.
La administración pública constituye un objetivo de alto valor para los grupos de intrusión vinculados al Estado, principalmente debido al valor estratégico de la recopilación de datos con fines económicos o de defensa. Las campañas de ciberespionaje en 2024 representaron solo el 2,5 % del total de incidentes. Si bien su número es limitado, su impacto en la seguridad nacional de los Estados miembros de la UE puede ser significativo.
Sin embargo, las actividades de los hacktivistas siguen siendo las más frecuentes en términos de volumen. En 2024, los hacktivistas fueron responsables de casi el 63% de los incidentes, mientras que los operadores de ciberdelincuencia y los grupos de intrusión vinculados al Estado representaron aproximadamente el 16% y el 2,5%, respectivamente.
Los grupos de hacktivistas con motivación ideológica buscan principalmente llamar la atención y causar disturbios. Entre sus objetivos destacan los sitios web municipales y los portales ministeriales.
A pesar de observarse en menos incidentes, el phishing sigue siendo un vector de acceso inicial común.
Las tendencias identificadas en el informe muestran que es probable que las administraciones públicas de la UE sigan siendo el sector más atacado a corto y medio plazo.
Además, es probable que el auge y la mayor capacidad de las herramientas de IA incrementen la ingeniería social impulsada por IA para actividades maliciosas posteriores.
Las campañas de extorsión múltiple pueden tener efectos adversos aún mayores en la interrupción del servicio de portales tributarios, sistemas de identificación electrónica y programación judicial, lo que socava la confianza en los servicios digitales. Además, los incidentes que involucran sistemas o proveedores de servicios compartidos demuestran cómo una sola vulneración puede repercutir en múltiples entidades públicas.
Dado que el sector de la administración pública está cubierto por la Directiva NIS2, y reconociendo la importancia crítica del sector, ENISA establece prioridades estratégicas para mejorar su capacidad de abordar esos desafíos.
Recomendaciones
Las medidas que deban adoptarse dependen en gran medida de las amenazas a las que se enfrenta la administración pública y que desea mitigar, como ataques DDoS, incidentes relacionados con datos, ransomware o campañas de injerencia estatal, etc.
-
Ataques DDoS
ENISA sugiere controles que mejoren la resiliencia arquitectónica y la preparación operativa, como proteger los portales críticos con una red de distribución de contenido (CDN) o un firewall de aplicaciones web (WAF) con protección permanente a nivel de red y aplicación. Otra medida consiste en publicar sitios web de respaldo estáticos con conmutación por error del Sistema de Nombres de Dominio (DNS), etc.
-
Amenazas relacionadas con los datos
Los incidentes relacionados con los datos pueden causar importantes interrupciones en las operaciones de una organización. Entre las medidas recomendadas se incluyen, por ejemplo, la implementación generalizada de la autenticación multifactor (MFA) con acceso condicional y la gestión de acceso privilegiado (PAM).
-
Ransomware
Se pueden establecer controles específicos, como el despliegue de detección y respuesta de endpoints (EDR) con reglas de comportamiento y segmentación de redes, etc.
Así mismo, en el informe ENISA NIS360 se incluyen otras recomendaciones , como por ejemplo:
- Desarrollar capacidades de remediación efectivas mediante modelos de servicios compartidos;
- Utilizar la Reserva de Ciberseguridad según lo previsto en la Ley de Cibersolidaridad de la UE;
- Mayor preparación y capacidad de respuesta.
Al adoptar de forma proactiva estas prioridades estratégicas y fomentar una colaboración más estrecha entre los Estados miembros, los organismos de la administración pública de la UE estarán mejor posicionados para salvaguardar los servicios críticos y mantener la confianza de los ciudadanos en un panorama de ciberamenazas cada vez más volátil.
