La importancia de cumplir el Esquema Nacional de Seguridad en el sector público para evitar sobresaltos como el de la Agencia Tributaria
Noticias como el ataque de la semana pasada a la Agencia Tributaria ponen de relieve el peligro que supone no cumplir el Esquema Nacional de Seguridad en las Administraciones Públicas.
El pasado viernes, 29 de noviembre, la Agencia Tributaria experimentó un hackeo por parte del grupo de hackers Trinity. Este grupo afirmó que logró llevarse cerca de 600GB de datos de la Agencia Tributaria, que incluyen información fiscal y personal de miles de contribuyentes y empleados públicos. Los ciberdelincuentes pidieron un rescate de 38 millones de dólares para no publicarlos.
Desde la Agencia Tributaria afirmaron que no había constancia de que tal ataque se hubiera producido, ya que sus sistemas seguían funcionando con normalidad, pero expertos en ciberseguridad le dieron veracidad al anuncio de los hackers, que podrían haber encontrado una puerta trasera para acceder a los datos sin haber dejado rastro.
Al hilo de sucesos como este, Logicalis, proveedor de servicios de TI, advierte sobre los riesgos de incumplir el Esquema Nacional de Seguridad en el sector público español, lo que podría comprometer la protección de información crítica y la confianza ciudadana. Según los últimos datos, el 34% de los ciberataques registrados en España han tenido como objetivo alguna administración pública.
A pesar de que el ENS establece un marco normativo obligatorio para garantizar la ciberseguridad en las administraciones públicas y en las entidades que colaboran con ellas, el nivel de certificación en el sector público queda rezagado frente al privado.
“Según datos del Centro Criptológico Nacional hasta el 26 de noviembre de 2024, solo una fracción de las certificaciones bajo el ENS corresponde a entidades públicas, representando aproximadamente la mitad de las alcanzadas por las empresas privadas”, explica Juan Tárrega, CISO & GRC Head Manager en Áudea.
De esta forma, desde la compañía destacan que esta situación evidencia una falta de recursos, planificación estratégica y adaptación tecnológica en muchas instituciones públicas. En un contexto donde la ciberseguridad es crítica para la continuidad de los servicios esenciales, estas brechas pueden aumentar la vulnerabilidad frente a ciberataques y generar incumplimientos normativos con consecuencias graves. De hecho, solo en los primeros meses de 2024, el sector ya había sufrido 25.000 ciberataques.
“La diferencia en certificaciones refleja una realidad preocupante: mientras el sector privado avanza rápidamente en el cumplimiento del ENS, el sector público enfrenta desafíos estructurales y presupuestarios que dificultan su adecuación”, afirma Tárrega.
Para mitigar estas deficiencias, desde Áudea, unidad especializada en ciberseguridad de Logicalis, recomiendan priorizar la implementación de planes de gestión del ENS, reforzar los planes de continuidad de negocio y establecer auditorías periódicas. Estas acciones son fundamentales para alinear las políticas de ciberseguridad de las instituciones públicas con los estándares requeridos.
Asimismo, Áudea subraya que las tecnologías emergentes como la inteligencia artificial y el blockchain, aunque ofrecen oportunidades para modernizar sistemas, también introducen nuevos riesgos que requieren una gestión proactiva desde la etapa de diseño.
En un entorno digital en constante evolución, el sector público debe asumir un papel de liderazgo en la implementación del ENS, no solo para cumplir con la normativa, sino también para garantizar la seguridad y la confianza en los servicios ofrecidos a los ciudadanos.
