AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataque obliga al Ministerio de Ciencia a cerrar servicios digitales clave en España**

admin

### Introducción

El Ministerio de Ciencia e Innovación de España ha confirmado la interrupción parcial de sus sistemas informáticos tras detectar un incidente de ciberseguridad. Esta situación ha impactado de lleno en varios de sus servicios telemáticos dirigidos tanto a ciudadanos como a empresas, dificultando la gestión de trámites y el acceso a aplicaciones críticas. La decisión de proceder con el cierre temporal responde a la necesidad de contener la amenaza y evitar su escalada, en línea con los protocolos de respuesta ante incidentes establecidos para organismos públicos en la Unión Europea.

### Contexto del Incidente

El incidente, detectado a finales de junio de 2024, se produce en un contexto de creciente presión sobre las infraestructuras digitales de la Administración española, donde el sector público se ha convertido en objetivo prioritario para cibercriminales y grupos patrocinados por Estados. En los últimos meses, diferentes organismos estatales y autonómicos han sido objeto de campañas de ransomware, exfiltración de datos y ataques de denegación de servicio (DDoS).

El Ministerio de Ciencia gestiona plataformas esenciales como la Sede Electrónica, el Portal de Empleo Científico y los sistemas de ayudas y subvenciones a la I+D+i. El impacto de este incidente, por tanto, no solo afecta al funcionamiento interno, sino que dificulta la interacción digital de miles de investigadores, empresas tecnológicas y ciudadanos.

### Detalles Técnicos

Aunque, por motivos de seguridad, el Ministerio no ha divulgado la naturaleza exacta del ataque ni el alcance completo del mismo, fuentes próximas al incidente han apuntado a la posible explotación de una vulnerabilidad crítica en sistemas Windows Server 2016 y 2019, con sospechas de abuso de la vulnerabilidad CVE-2023-23397 (relacionada con Microsoft Outlook) y CVE-2024-21412, ambas catalogadas con una puntuación CVSS superior a 8.5.

El vector de ataque podría estar vinculado al envío de correos electrónicos maliciosos (phishing) con archivos adjuntos o enlaces que aprovechan fallos de ejecución remota de código (RCE). Los atacantes habrían empleado técnicas de spear-phishing (MITRE ATT&CK: T1566.001) y explotación de vulnerabilidades conocidas (T1190), obteniendo así acceso inicial a la red interna.

Herramientas como Cobalt Strike y Metasploit han sido detectadas en campañas similares previas contra organismos públicos, permitiendo la persistencia y el movimiento lateral (T1071, T1021) dentro de la infraestructura comprometida. Los Indicadores de Compromiso (IoC) incluyen la presencia de scripts Powershell sospechosos, conexiones inusuales a través de RDP y la creación de cuentas administrativas no autorizadas.

### Impacto y Riesgos

El cierre parcial de sistemas afecta a un porcentaje relevante de los servicios digitales del Ministerio, con índices de inoperatividad de hasta el 70% en algunas plataformas clave. Las consecuencias inmediatas incluyen la imposibilidad de presentar solicitudes, acceder a expedientes o consultar resoluciones administrativas.

El mayor riesgo reside en la posible exfiltración de datos sensibles relativos a proyectos de investigación, información personal de investigadores y empresas, y documentos de financiación. La exposición de estos datos podría incurrir en sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la inminente directiva NIS2, que endurece los requisitos de notificación de incidentes y la gestión de riesgos en infraestructuras críticas.

En términos económicos, se estima que la paralización de servicios podría generar pérdidas indirectas superiores a los 500.000 euros diarios, considerando retrasos en la tramitación de ayudas y la afectación a proyectos europeos cofinanciados.

### Medidas de Mitigación y Recomendaciones

El Ministerio ha activado su Plan de Respuesta a Incidentes, en colaboración con el Centro Criptológico Nacional (CCN-CERT) y el Instituto Nacional de Ciberseguridad (INCIBE). Entre las acciones adoptadas destacan:

– Desconexión de sistemas críticos de la red para impedir la propagación lateral.
– Refuerzo de las medidas de autenticación multifactor (MFA) y revisión de privilegios administrativos.
– Aplicación urgente de parches de seguridad en sistemas afectados (especialmente CVE-2023-23397 y CVE-2024-21412).
– Análisis forense en endpoints y servidores comprometidos, monitorización de logs y búsqueda activa de IoC.
– Comunicación y asesoramiento a los usuarios afectados sobre medidas de autoprotección y phishing.

Se recomienda a otras entidades públicas revisar sus políticas de segmentación de red, realizar simulacros de respuesta a incidentes y reforzar la concienciación del personal frente al phishing.

### Opinión de Expertos

Expertos en ciberseguridad como Raúl Siles (ElevenPaths) y Josep Albors (ESET) coinciden en que “la sofisticación de los ataques dirigidos a la Administración exige una evolución continua de las defensas, especialmente en sectores como la ciencia y la innovación, donde la información es de alto valor estratégico”. Destacan la importancia de la colaboración público-privada y la necesidad de compartir información sobre TTPs y amenazas emergentes.

### Implicaciones para Empresas y Usuarios

Para las empresas tecnológicas y centros de investigación, el incidente subraya la importancia de proteger los canales de comunicación con la Administración y asegurar la integridad de los datos compartidos. Los usuarios deben extremar las precauciones ante posibles campañas de phishing que simulen comunicaciones oficiales durante el periodo de recuperación.

La situación refuerza la tendencia a la ciber-resiliencia y la necesidad de cumplir con los requisitos de seguridad de NIS2, especialmente en lo relativo a la notificación de incidentes graves en menos de 24 horas.

### Conclusiones

El ciberataque al Ministerio de Ciencia evidencia la vulnerabilidad de las infraestructuras públicas frente a amenazas avanzadas y la necesidad de una estrategia integral de ciberseguridad. La pronta identificación y respuesta han evitado, hasta la fecha, consecuencias más graves, pero el incidente sirve como recordatorio de los desafíos que enfrentan los organismos públicos en la protección de activos críticos y datos sensibles.

(Fuente: www.bleepingcomputer.com)