El Ministerio de Defensa, dirigido por Margarita Robles, dio a conocer en agosto de 2021, tres meses después de que fuese espiado a través del programa de 'software' Pegasus el presidente del Gobierno, Pedro Sánchez, y ella misma, los pliegos de un megacontrato de 170 millones de euros para blindar y renovar las telecomunicaciones de su departamento. Entre los objetos de este pliego, negociado con publicidad y tramitado de urgencia, que contemplaba ocho lotes y que ha sido formalizado hace apenas dos semanas, estaba poner los medios para detectar y corregir la vulnerabilidad de 20.000 líneas de móviles y otras 6.500 de datos de Defensa y el reemplazo total de los terminales para responder a las ciberamenazas de forma eficaz. Robles y Sánchez fueron espiados entre mayo y junio en un contexto de crisis diplomática con Marruecos y en paralelo a la decisión de indultar a los soberanistas del 'procès' condenados.
El contrato, que fue adjudicado el pasado febrero, se lo repartieron Telefónica -cuatro lotes-, Vodafone -líneas móviles-, Hisdesat Servicios Estratégicos -infraestructuras de comunicaciones satelitales-, Grupalia -videoconferencias- y Zelenza Sistemas de Información -soportes y atención al usuario-. El Acuerdo Marco, recogido en un pliego de prescripciones técnicas de 442 páginas, tenía como objeto la prestación de los servicios e infraestructuras de telecomunicaciones para la Defensa en España y en el exterior. Así, según recoge la Plataforma de Contratación del Estado, la provisión y gestión de los servicios de voz y datos necesarios para todos los emplazamientos del Ministerio, el lote con más presupuesto, 71 millones, recayó en Telefónica de España.
Mientras, el lote 2, valorado en 21,4 millones de euros y que tenía como objeto la prestación de los servicios de comunicaciones móviles: voz, datos y mensajería, se lo llevó Vodafone España, con el compromiso de renovar de forma gradual todos los terminales y protegerlos frente amenazas. El Ministerio señalaba en una amplia exposición que el servicio del adjudicatario debía basarse en la 'ciberresiliencia', "entendida como la capacidad de anticipar, resistir, recuperarse y evolucionar frente a condiciones adversas, debidas al aumento de los ciberataques que se producen a nivel mundial". El departamento de Robles apuntaba además algunos problemas en la protección de terminales de su departamento, para justificar la licitación, y reconocía las limitaciones que afrontaba en ese momento, ya que no se podían localizar vulnerabilidades -fallos y desprotección en teléfonos y sistemas- y tampoco algunos ataques y se contaba con escasa capacidad para detectar y hacer frente a las amenazas avanzadas.
En 2021, según consta en un informe forense de Amnistía Internacional, el acceso del programa espía Pegasus a los móviles se sofisticó, se intensificaron los ataques y ya no era necesario pichar el mensaje recibido para recibir el ataque y cada vez era más complicado encontrar el rastro del 'software' y su procedencia. El programa, capaz de infectar millones de dispositivos Android e iOS y es conocido desde hace más de una década, fue diseñado para combatir el terrorismo y la delincuencia, por ha terminado siendo utilizado para espiar a periodistas y defensores de derechos humanos, pero también representantes políticos, empresarios y personas relevantes.
Las herramientas de seguridad móvil tradicionales no son suficientes para prevenir y conocer las amenazas móviles avanzadas, alegaba Defensa en el pliego
El adjudicador destacaba que las herramientas de seguridad móvil tradicionales, basadas en firmas, no eran suficientes para prevenir y conocer las amenazas móviles avanzadas y los nuevos vectores de ataque, por lo que abogaba por integrar nuevas soluciones en el servicio de gestión de dispositivos móviles (EMM), para conseguir la seguridad integral de las telecomunicaciones del Ministerio. En la exposición, el departamento alegaba que en ese momento era necesario un sistema de defensa contra amenazas móviles MTD (Mobile Threat Defense) en el que se integrasen herramientas proactivas de defensa contra ataques móviles y que permitiese obtener visibilidad de lo que estaba pasando en los terminales para detectar riesgos (físicos, 'malware', red y vulnerabilidades), analizar las respuestas de los dispositivos y tomar las medidas oportunas, entre otras los bloqueos para evitar robos de información.
El ministerio requería al adjudicatario los mecanismos para descubrir anomalías de comportamiento de los dispositivos mediante el seguimiento de los patrones de uso esperado y aceptable, evaluaciones de vulnerabilidad y localización de ejecuciones de 'malware' y aplicaciones con 'fugas', aquellas que pueden poner en riesgo los datos corporativos, personales y confidenciales. Esta estrategia hubiera sido posiblemente suficiente para anticiparse a los espionajes que tuvieron lugar en mayo y junio de 2021, en los que los responsables sustrajeron un importante volumen de información.
Entre las soluciones que se exigían a las empresas que optasen al contrato estaba la detección de 'Malware ZeroDay' -ataque de día cero-, un 'software' similar a Pegasus, que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas para los usuarios y para el fabricante del producto. "No sólo tiene que proteger ante las amenazas conocidas, sino también ante las que aún están por descubrirse. Cada día hay nuevas formas de 'malware' que tienen que ser prevenidas mediante la solución sin llegar a caer en falsos positivos que puedan dar lugar a desatender las alertas por falta de confianza en ellas", insistía.
El contrato demandaba una protección 'antiphising' vía SMS, una de las puertas habituales de entrada del 'software' Pegasus de la empresa israelí NSO
Otra de las amenazas a la que debería anticiparse era el 'Man in the Middle' -ataque de intermediario-, destinado a interceptar, sin autorización, la comunicación entre dos dispositivos. Este método permite escuchar la comunicación y obtener información sensible, así como credenciales de acceso, información financiera y es capaz de suplantar identidades. Por último, demandaba una protección 'antiphising' vía SMS, una puerta de entrada del 'software' Pegasus, con el objetivo de localizar de forma inmediata direcciones webs maliciosas incluidas en los mensajes de texto, y ante los 'bluetooth', a través de los que se puede conseguir un control completo de los dispositivos.
La solución encargada a Vodafone tendrá que estar diseñada para soportar cualquier modelo de IPhone o IPad de Apple que esté ejecutando desde IOS 8.0 hasta la última versión, y Android desde 4.0 hasta la última versión sobre cualquier fabricante o modelo. Además, debe poder ser descargada desde Apple Store o Google Play y no afectar negativamente la experiencia móvil o la duración de la batería. Se apunta que necesidades del Ministerio son 35.000 licencias de este sistema para anticiparse a la ciberamenazas y programas como Pegasus.
El adjudicatario se ha comprometido además a presentar informes de las vulnerabilidades de seguridad -una palabra que se cita más de 400 veces en el pliego- que afecten a los dispositivos proporcionados, con un plazo máximo de 12 horas desde su aparición en los medios. El análisis deberá ir acompañado de un Plan de Actuación que ofrezca soluciones, aunque sea provisional y hasta que aparezca una definitiva. En el caso de detectarse una vulnerabilidad de seguridad que no pueda corregirse o que la solución reduzca las prestaciones del dispositivo, todos los dispositivos afectados por dicha vulnerabilidad deberán ser sustituidos sin coste adicional.
Comentarios