El Poder Judicial instala un blindaje ocho meses después de sufrir un ciberataque grave

El Poder Judicial utiliza desde hace unas semanas la autenticación por doble factor para proteger el acceso a su web. Lo ha hecho más de un año después de que el Esquema Nacional de Seguridad (ENS) fuese aprobado y publicado en el Boletín Oficial del Estado (B.O.E.), imponiendo determinados requisitos de ciberseguridad que deben cumplir antes de 2024 la Administración General del Estado, las Administraciones de las Comunidades Autónomas y los organismos integrados en la Administración local y entidades vinculadas, como hospitales o universidades.

Se da la circunstancia de que meses después de aprobarse el Esquema Nacional de Seguridad el Consejo General del Poder Judicial detectó un ciberataque a las redes de las Administraciones Públicas españolas.

El incidente afectó al Punto Neutro Judicial (PNJ), la red de telecomunicaciones que conecta a los órganos judiciales con otras instituciones del Estado, y que es gestionado desde el órgano de gobierno de los jueces. 

En la recta final del plazo límite para instalar las soluciones de seguridad reflejadas en el Esquema Nacional de Seguridad (como decimos, 2024), el Poder Judicial, órgano de los Jueces que gobierna y administra los juzgados y tribunales, ha instaurado la autenticación de doble factor.

La autenticación de doble factor es un sistema que añade una capa de seguridad adicional al proceso de inicio de sesión de una cuenta en internet. Es considerado como un "básico" por empresas de ciberseguridad consultadas por Vozpópuli, que apuntan que es algo que debería estar ya activado por la naturaleza del Poder Judicial.

Este sistema solicita autentificar la titularidad de la cuenta con dos factores distintos. Se centra en que el usuario, para iniciar sesión, debe "saber algo" y "poseer algo". En el primer caso, hay que incluir una contraseña, mientras en el segundo se ha de facilitar un código enviado al teléfono móvil de quien está tratando de iniciar sesión. Si no se tienen esas dos cosas, no se podrá acceder al servicio.

Este es el sistema actual para entrar al portal del Poder Judicial. Fuentes cercanas a este organismo explican que "la web de Poder Judicial tiene una parte abierta para todos los ciudadanos y otra reservada que únicamente puede ser consultada por jueces o magistrados". De ahí la importancia de asegurar que solo accedan a este servicio quienes realmente deben acceder.

Ciberataque al PNJ del Poder Judicial

El llamado Punto Neutro Judicial es un sistema de comunicación que permite a los funcionarios del Estado centralizar y mover peticiones de información entre los órganos judiciales y organismos o instituciones como la Agencia Estatal de Administración Tributaria, la Dirección General de la Policía, el Servicio Público de Empleo o el Instituto Nacional de la Seguridad Social. Estos organismos solo tienen acceso al PNJ desde sus propias redes. 

Las investigaciones iniciales del Poder Judicial en torno al ciberataque reflejaron que el PNJ fue "utilizado por los atacantes para acceder a otras instituciones públicas", añadiendo que "en el ataque no se han visto comprometidos datos relativos a procedimientos judiciales u otra información en poder de los Juzgados y Tribunales". 

Los ciberatacantes consiguieron datos bancarios de casi 600.000 contribuyentes. Estos fueron utilizados posteriormente para realizar delitos varios, entre ellos estafas bancarias

Sin embargo, en las pasadas semanas se detuvo a dos personas como responsables de estos ciberataques. La investigación sacó a flote que hubo robo de datos. Los ciberatacantes consiguieron información bancaria de casi 600.000 contribuyentes. Los datos fueron utilizados posteriormente para realizar delitos varios, entre ellos estafas bancarias.