Ciberguerra y ciberespionaje: una nueva frontera de conflicto

(Para Nicola Cristadoro)
07/11/24

Los Estados contemporáneos dependen ahora en gran medida de la red informática. Esto es cierto tanto para las vidas de los ciudadanos individuales como para las instituciones de un país. Ahora se ha vuelto indispensable para su funcionamiento y, si por un lado constituye un enorme facilitador que permite una disponibilidad y una capacidad casi inmediatas para intercambiar información, por otro presenta una fragilidad intrínseca del sistema.

A pesar de todas las precauciones tomadas para protegerlo, puede ser vulnerado en cualquier momento y dañado incluso en los puntos más vitales, generando daños mayores que los ataques físico-cinéticos realizados con armas y técnicas convencionales, con costos y riesgos significativamente menores. . De hecho, todos los sistemas físicos y las denominadas infraestructuras críticas, como centrales eléctricas, hospitales, sistemas de control del tráfico ferroviario o aéreo, están conectados y controlados a través de sistemas informáticos interconectados.

Esta metodología de guerra, definida guerra cibernética, ha cambiado el espectro de los conflictos, hasta el punto de inducir a la OTAN a elevar el ciberespacio (el ciberespacio) a “quinto dominio” después de la tierra, el mar, el cielo y el espacio1 y, a su vez, se define:

"Conjunto de infraestructuras de TI interconectadas, que incluyen hardware, software, datos y usuarios, así como las relaciones lógicas, comoquiera que se establezcan, entre ellos."2

Existen muchas metodologías de ataque en la guerra cibernética, entre las cuales las más importantes son:

  • ataque a infraestructuras críticas: ataque dirigido a servicios esenciales para un país, incluidos los servicios de energía, agua, combustible, comunicaciones, comerciales, de transporte y militares;

  • vandalismo web: ataques dirigidos a modificar páginas web sin tener autorización, llamado en la jerga desfigurar, o para hacerme servidor (ataques denegación de servicio);

  • desarticulación de equipos (interrupción del equipo): ataques contra unidades militares que utilizan computadoras y satélites para coordinarse con el fin de interceptar, modificar o reemplazar órdenes y comunicaciones para comprometer operaciones;

  • recopilación de datos: acciones encaminadas a interceptar o modificar información clasificada que no esté adecuadamente protegida. En este contexto, dos técnicas bastante sofisticadas merecen mención: lo olfateando deseando spoofing.

Lo olfateando è “… una vigilancia e interceptación básicamente pasiva de datos en tránsito en una red informática, de esta manera es posible apropiarse de datos, quizás cifrados, que pueden ser descifrados posteriormente, para obtener la información contenida en ellos. En concreto, estas actividades de interceptación se llevan a cabo mediante analizadores de red (los llamados sniffers), tanto en forma física como en forma de programa de información, y que a menudo están equipados tanto con capacidades de filtrado de datos (para interceptar únicamente los datos considerados de interés) y la capacidad de almacenar los datos interceptados."3

Lo spoofing es: “…la suplantación por parte de un usuario malintencionado de un dispositivo o de otro usuario, con el fin de robar datos, difundir malware o, en cualquier caso, burlar los controles de acceso al sistema. El carácter polifacético de esta técnica es inherente al hecho de que la falsificación puede tener como objeto una gran variedad de componentes de una comunicación. Por ejemplo, es posible falsificar la parte inicial de un tren de impulsos para que la red lo reconozca como autorizado para el acceso (falsificación de IP). Pero también es posible desviar la comunicación a un atacante, que se hace pasar por el verdadero remitente o destinatario (DNS spoofing). También es posible combinar esta técnica con el phishing para simular que el correo electrónico cebo proviene de una dirección que el usuario puede reconocer como real”.4

  • propaganda: mensajes enviados o puestos a disposición en línea con el objetivo de influir en la opinión pública (guerra psicológica y noticias falsas).

Entre las armas utilizadas por ellos guerreros cibernéticos los mas comunes soy yo el malware o software que comprometan o dañen el normal funcionamiento de un sistema o de la información que gestiona o procesa. Dentro de esta familia encontramos los virus informáticos (el malware que, aprovechando las vulnerabilidades de un sistema operativo, provocan daños en el propio sistema, ralentizándolo o inutilizándolo) y troyano (el malware ocultos dentro de otros programas que, una vez activados, a menudo por el mismo operador legítimo pero engañado, permiten el control remoto del ordenador por parte de terceros).

Estos ataques suelen ser perpetrados por los llamados pirata informático informáticos, pero cuando la amenaza se vuelve más compleja tanto en términos de las metodologías y tecnologías utilizadas como de los objetivos contra los cuales se lleva a cabo, hablamos de Amenazas persistentes avanzadas (APTO),5 Definición acuñada por la Fuerza Aérea de Estados Unidos en 2006.

Analizando esta sigla entendemos que:

  • Avanzado: el adversario está equipado con altas habilidades técnicas y considerables recursos tecnológicos y económicos. Esto significa que puede usar más que solo ataques. software disponible públicamente, pero también creado ad-hoc, más versátil y complejo de detectar. Además, para recopilar información sobre sus objetivos, el grupo podría utilizar herramientas extremadamente sofisticadas y, potencialmente, también recurrir a los servicios de inteligencia del país de origen;

  • Persistente: el adversario no se deja llevar por una mentalidad depredadora y oportunista encaminada a lograr objetivos inmediatos. El enfoque es persistente y mantener el acceso a los sistemas durante el mayor tiempo posible es un factor clave de toda APT. Cuanto más tiempo se pase dentro de la infraestructura objetivo sin ser identificado, mayor será la información recopilada, mayor será la ganancia para el atacante y mayor el daño para la víctima;

  • Interna: es una amenaza organizada, con objetivos, una voluntad muy concreta y una visión estratégica que no realiza ataques "de arrastre" con la esperanza de obtener algo.

Una estructura así constituida implica un enorme uso de recursos tecnológicos y financieros, así como tiempos muy largos de preparación y ejecución del ataque; Por estas razones, el alcance de los objetivos de la APT suele ser de gran importancia.

En la actualidad hay más de 300 APT funcionando en el el ciberespacio. Queremos centrar nuestra atención en APT28, como una amenaza particularmente emblemática de la variedad de objetivos de este tipo de inteligencia extremadamente agresivo y omnipresente.

Nadie está a salvo: algunos ejemplos de ataques del APT 28

Durante los últimos 10 años, los expertos han atribuido numerosos ataques a la APT 28, que a menudo han resultado en la pérdida de información sensible y su uso para desacreditar o deslegitimar a actores estatales u organizaciones internacionales.

Tras la evolución política de la década de 28, en la que se produjo la caída del Muro de Berlín, que contribuyó significativamente a la posterior desintegración de la Unión Soviética, muchas ex repúblicas soviéticas recién creadas unieron posteriormente sus fuerzas a la Unión Europea o a la OTAN, a pesar de que El gobierno ruso ha demostrado repetidamente que todavía tiene intereses económicos, políticos y militares en aquellas áreas definidas como satélites. Son precisamente estos gobiernos los que a menudo son objeto de ataques por parte del APT XNUMX.

Un ejemplo sobre todo es el representado por los ataques, con al menos dos intentos concretos, contra Georgia, un país donde muchos ciudadanos expresan un fuerte sentimiento proeuropeo. El primer ataque de 2013 fue como dirigidos el Ministerio del Interior: utilizando un correo electrónico considerado legítimo por el destinatario, APT 28 indujo a la víctima a abrir un archivos de excel con una lista de permisos de conducir, a través de la cual un llamado puerta trasera para la exfiltración de datos y el compromiso de los sistemas informáticos del gobierno local. Ese mismo año se produjo un segundo ataque con un cebo consistente en un documento aparentemente atribuible al sistema operativo. Windows di Microsoft, pero con un interior especial el malware destinado a socavar la seguridad de la red informática y permitir su penetración. Además, en el mismo período se detectaron intentos de ataque a la red del Ministerio de Defensa, con especial atención a todos los datos relativos a los entrenamientos realizados por contratistas Estadounidenses a las fuerzas armadas del país caucásico.

En un contexto similar, también deben considerarse los registros de dominios del APT 28. web similares a los de los gobiernos y sitios de noticias legítimos de Europa del Este, como estándarnevvs(.)com muy similar al sitio de noticias búlgaro en línea cuya verdadera dirección es standartnews.como qov(.)hu(.)com similar a la extensión de dominio del gobierno húngaro gov.hu y otra vez, falso dominio correo(.)q0v(.)pl, que de manera engañosa y deliberada conduce a la verdad servidor de correo polacco correo.gov.pl. Estos y otros registros de dominios utilizados para llevar a cabo ataques no sólo sugieren que APT 28 está interesado en los asuntos políticos de Europa del Este, sino también que el grupo está apuntando directamente a los gobiernos de esa parte del continente. Además, APT 28 registró un dominio similar al utilizado para planificar y realizar sesiones (baltichost [.] Organización) tras los ejercicios militares conjuntos de planificación logística entre los Estados bálticos en rotación y el partner de la OTAN, llevados a cabo desde 2009.

Este evento sugiere que APT 28 intentó robar información sensible de naturaleza militar tanto a nivel táctico como estratégico de los objetivos. Lo mismo ocurrió con la OTAN, cuando se crearon otros dominios falsos, también pertenecientes a APT 28, para engañar a los usuarios. Específicamente, cuando se descubrió el dominio nacido.nshq(.)en, extraordinariamente similar al sitio real web del Cuartel General de Operaciones Especiales de la OTAN nshq.nato.in, o como en el caso del engaño hacia los usuarios de la Organización para la Cooperación y el Desarrollo Económico (OCDE) en perjuicio del cual se creó el dominio falso iniciar sesión-osce(.)org, paralelo al real osce.org. Posteriormente, a partir de 2014, con el fin de robar información sobre nuevas plataformas y sistemas de armas destinados a uso militar desarrollados por países europeos, APT 28 logró crear dominios falsos destinados a engañar a los soldados que participaban en diversos eventos exposiciones como, por ejemplo, elEspectáculo aéreo de Farnborough (Gran Bretaña) en 2014 y años posteriores. Otro ejemplo de capacidad refinada para obtener información se produjo durante la creación y el registro del dominio falso. smigroup-online.co(.)es, atribuible al grupo Grupo SMi, una empresa de planificación de eventos para las industrias de defensa, seguridad, energía, servicios públicos, finanzas y farmacéutica.

Hasta la fecha, entre los ataques perpetrados por la APT 28, uno de los que ha recibido mayor impacto mediático es el caso de la violación y compromiso de la base de datos por la AMA (Agencia Mundial Antidopaje), la agencia internacional antidopaje, con motivo de los Juegos Olímpicos de Río 2016. Este ataque es un ejemplo paradigmático de la eficacia del enfoque híbrido. ciber guerra, si comparamos la facilidad y recursos utilizados para llevar a cabo el ataque y los efectos de deslegitimación moral y profesional que han sufrido los deportistas, las federaciones y en consecuencia los estados afectados. Estos hechos se produjeron tras la exclusión de muchos atletas rusos de los Juegos Olímpicos, tras la publicación de un grave informe de una comisión de la AMA y el consiguiente escándalo. dopaje. En agosto de 2016, la APT 28 logró acceder a la base de datos del Sistema de Gestión y Administración Antidopaje de la AMA (Sistema de Administración y Gestión Antidopaje de la AMA (ADAMS)) mediante una acción de spear phishing y robo de credenciales contra la atleta rusa Yuliya Stepanova. Utilizando estas credenciales el APT 28 logró ingresar a las bases de datos y tomar posesión de los datos médicos de todos los atletas participantes en los Juegos Olímpicos, incluidas las exenciones para el uso terapéutico de algunas sustancias consideradas dopaje, otorgadas por federaciones deportivas internacionales y organismos nacionales. antidopaje. APT 28 divulgó entonces una lista de deportistas, en su mayoría estadounidenses, alemanes y británicos (incluidas las tenistas Serena y Venus Williams y la gimnasta Simone Biles) que, aunque dieron positivo en las pruebas antidopaje, no fueron sancionadas debido a las exenciones concedidas. a ellos. Estos documentos, afirman pirata informático, representaría una prueba de que algunos deportistas, debido a su nacionalidad, reciben un trato preferencial y contrarrestaría la infundada e ilegitimidad de las sanciones contra los deportistas rusos. APT 28, por tanto, aprovechó la combinación entre la simplicidad de los sistemas tecnológicos modernos, la subestimación de las medidas de seguridad digital y las capacidades de su personal especializado para llevar a cabo una nueva forma de operaciones de información a nivel estratégico, utilizando también áreas inusuales como la luciendo uno oantidopaje.

Nadie está a salvo: el "expediente" de la empresa de seguridad privada Igualar

Los acontecimientos “cibernéticos” que sacudieron a nuestro país en el otoño de 2024 no son menos susceptibles de ser tratados en un artículo como este. Se refiere al caso del "dossiership" implementado a nivel nacional por la agencia de inteligencia privada. Igualar, con todas las implicaciones que tuvo a nivel internacional. Ciertamente, el fenómeno del "dossierage" como herramienta para la consecución de objetivos privados en un contexto institucional no es en sí nuevo, ni es una prerrogativa exquisitamente nacional: bastaría leer una de las muchas novelas de James Ellroy, en con el que se narran con gran detalle los procedimientos del FBI y otras agencias gubernamentales y privadas estadounidenses durante los años de la "caza de brujas", diseñada oficialmente para identificar y reprimir la infiltración del comunismo en territorio estadounidense. Para ofrecer una imagen imaginativa de lo que ocurrió en Italia en el largo otoño de 1924, parece eficaz un extracto de un monólogo interior de un personaje ficticio, Maurizio Ferri, un agente del SISDE que trabaja encubierto, creado por la pluma de Mauro Marcialis, el autor. Para nosotros, un hombre local que cuenta con una larga carrera como suboficial en la Guardia di Finanza:

“Cuarenta y tres años, veinticuatro años de servicio. ¡Lo he visto todo! He visto huellas obvias convertirse en quemaduras inexplicables, he visto quemaduras inexplicables convertirse en huellas obvias. He visto listas de sinvergüenzas transformarse en listas electorales, he visto a potenciales parlamentarios transformarse en carne de cañón. He visto archivadores enteros pulverizados, he visto polvo recomponerse para crear archivos oficiales”.6

Es evidente la inspiración del monólogo pronunciado en su lecho de muerte por el replicante Roy Batty en la película de ciencia ficción Blade Runner, pero la actividad de espionaje cibernético hecho en Italia por Igualar transpone la dimensión distópica de la película de Ridley Scott a una realidad con tonos ciertamente menos épicos.

Entre 2022 y 2024, aproximadamente ochocientas mil personas y empresas fueron objeto de una recopilación de información realizada mediante métodos ilegítimos, mediante la intrusión en ordenador personal y teléfonos móviles, para crear dioses informe para uso privado a disposición de la empresa de seguridad Igualar:

“Ciertamente, los espías eran a menudo los mantenedores y responsables de la seguridad informática de los sistemas informáticos de los sujetos o empresas, a menudo institucionales, espiadas. Alrededor de la empresa de seguridad Equalize se movía un mundo por encima de toda sospecha hacia directivos y policías, personas con un tejido relacional y un cúmulo de contactos que permitían a la empresa y a sus apoderados moverse con soltura, confianza y agilidad. …Ciertamente, sólo los dieciséis investigados por asociación delictuosa para acceder ilegalmente a bases de datos, corrupción, extorsión y muchos otros delitos pueden hoy explicar por qué recogieron millones de datos privados y confidenciales sobre las más altas oficinas del Estado, sobre empresas. , políticos y particulares y qué uso querían darle”.7

En la investigación surgieron figuras destacadas que inmediatamente se refieren a un clima como el descrito por Marcialis: Enrico Pazzali, presidente de la Fundación Fiera Milano y miembro principal de la Igualar; el ex "superpolicía" antimafia Carmine Gallo, director general de la empresa; los ingenieros Samuele Calamucci y Gabriele Pegoraro, expertos pirata informático; Giuliano Schiano, mariscal de la Policía Financiera de la Dirección de Investigación Antimafia de Lecce. El sistema disponía que la empresa igualar srl, junto con empresas ficticias como Desarrollar y ir Srls (Trozo de cuero) propiedad de Giulio Cornelli y con sede en Reggio Emilia y la Asesor de mercurio - que, junto con una empresa de investigación de Reggio Emilia, constituyen las dos únicas empresas a las que Dag Srls ofrece oficialmente servicios -8 pusieron a disposición sus recursos en términos de hombres, medios, habilidades y contactos para investigaciones encargadas por particulares con fines comerciales, privados y políticos.

Las bases de datos vulneradas son las más importantes y estratégicas del sistema país: el Sistema Cambiario (Sdi) y el Serpico de la Agencia Tributaria, utilizados respectivamente para la gestión de facturas electrónicas y para el control de declaraciones de impuestos; el sistema de información monetaria (Siva), a través del cual pasan todos los informes de transacciones sospechosas; el INPS y las bases de datos del registro nacional (Anpr). Con estos datos disponibles puedes continuar con las actividades. ingeniería social con los que reconstruir la vida de las personas, vulnerando sus política de privacidad y caminos de vida. La organización investigada tiene "una estructura de clúster", en la que cada miembro y colaborador tiene a su vez contactos en la policía y en las distintas ramas de la administración pública, con los que recopilar datos de forma ilegal.

En una intercepción, Calamucci afirma:

“Tenemos la suerte de tener clientes importantes en Italia... nuestros clientes importantes... tenemos contactos entre los servicios desviados y los servicios secretos serios, se puede confiar un poco menos en ellos, sin embargo, los escuchamos, charlan "Es todo una serie de información pero debe convertirse en evidencia, ya que cuando creces creas envidia, sobre todo".9.

Pero no es suficiente. Según los magistrados encargados de la investigación, el director general Gallo (foto) tenía relaciones con el crimen organizado y, como prueba de la peligrosidad del grupo, hubo también 128 accesos no autorizados al archivo de Aisi (el servicio secreto interno). El grupo se jacta de "estar dentro del Ministerio del Interior" y de haber "clonado una cuenta de correo electrónico de la Presidencia de la República".

En cuanto a las actividades relatadas en las noticias, sin embargo, parecería que la conducta fue menos sofisticada de lo que uno podría imaginar, ya que en la mayoría de los casos fue simple ingeniería social, con robo de credenciales de acceso remoto: en un caso mediante robo de la tarjeta electrónica y uso de la la contraseña escrito debajo del teclado; en un segundo caso, la persona que autenticaba fue filmada desde atrás y así se reconstruyó la escena. la contraseña; en otro caso actuaron a través de la suplantación de identidad en correo electrónico El personal de la víctima obtuvo acceso al cual luego reconstruyeron el archivo de registro completo.

Sin embargo, entre las víctimas del "expediente" no sólo se encuentran personalidades italianas. Entre los interesados ​​también encontramos a dos oligarcas ruso-kazajos muy cercanos a Putin y con negocios en Italia. Se trata de Andrey Toporov, activo en Italia en el sector turístico, propietario de hoteles de lujo entre Cortina d'Ampezzo y la costa de Jesolo y Victor Kharitonin, magnate del sector farmacéutico, amigo y socio de Roman Abramovich y ya incluido en la revista Forbes entre los los hombres más ricos del mundo:

"La banda de espías milaneses supuestamente realizó investigaciones sobre inversores extranjeros, especialmente rusos. Y habría intentado construir una red de servidores en el extranjero con la que eludir los controles, quizás incluso para proporcionar información a "agencias extranjeras". Lo mismo ocurre con la investigación de la DDA de Milán, coordinada por el fiscal Francesco De Tommasi, que también condujo a la incautación de servidores en Lituania utilizados para penetrar en las bases de datos de Viminale. Fue Nunzio Samuele Calamucci, el hacker del grupo, quien reveló que la "plataforma Beyond", el software agregador de información creado por la banda, "está conectada a dos servidores centrales, uno ubicado en Londres y otro en Lituania". Se habría creado en Londres una empresa espejo de la milanesa, Equalize Ltd, en la que habría operado un grupo de "muchachos" que se habrían ocupado del "acceso directo" al archivo Sdi de la policía. Por ello, los investigadores también evalúan la posibilidad de una carta rogatoria a las autoridades inglesas. En este contexto, salieron a la luz contactos con "servicios secretos, incluidos los extranjeros" y informes sobre algunos empresarios rusos."10

Y precisamente esta última parte del "dossier" abre perspectivas complejas y muy interesantes sobre escenarios dignos de las mejores intrigas de las novelas de John Le Carrè, con tramas oscuras que involucrarían al Mossad y al Vaticano. Sea cierto o no, no se puede negar que toda la historia tiene cierto encanto:

"La reunión con el 007 israelí tendrá lugar el 8 de febrero de 2023. El gancho es un ex carabinero de ROS con cargos en el Sismi llamado Vincenzo De Marzio. Lo acompañan dos hombres no identificados "que representan una rama de inteligencia del Estado de Israel". Quieren un seguimiento de los ataques de los piratas informáticos rusos y la interceptación de los movimientos bancarios del grupo Wagner. Porque quieren detener la financiación de la banda de Prigozhin por parte de los oligarcas. A cambio prometen información sobre el tráfico ilícito de gas iraní en Italia. Y un millón de euros de indemnización.

Luego está el informe solicitado por el Vaticano. «Necesito los datos para ir en contra del oligarca, la mano derecha de Putin. ¿Ayudamos a la Iglesia contra Rusia o no?”, dice Calamucci. «Si nos pagan…», responde Gallo. «¿Pro bono para el Papa?», dicen en broma."11

Hay que decir que el caso deIgualar, aunque el más sensacionalista, fue sólo el último de una serie de acontecimientos similares:

"La investigación sobre el expediente que estalló en Milán y que involucra a nombres del mundo de las finanzas no sólo no es un caso aislado, sino el último de una serie de episodios similares que se han producido desde principios de año. …

Comenzamos con lo que se ha definido como el "Caso Striano", del nombre del teniente de la policía financiera que acabó en la maxi investigación de la Fiscalía de Perugia capaz de sacar a la luz una actividad ilícita real vinculada a miles y miles. de accesos ilícitos a diversas bases de datos para crear verdaderos "expedientes" sobre personalidades y políticos. La investigación se inició con la denuncia del ministro de Defensa, Guido Crosetto, uno de los principales objetivos de la actividad de Pasquale Striano, pero no el único. …

El segundo es mucho más reciente. Hace unas semanas, la justicia romana arrestó a un joven, Carmelo Miano, que estaba fuera de toda sospecha y no tenía antecedentes penales. Las escuchas telefónicas ambientales y una extensa actividad investigativa y técnica sacaron a la luz la incursión del joven de 50 años en las bases de datos del Ministerio de Justicia y de varios tribunales del país. Se descubrió que Miano tenía a su disposición los correos electrónicos de cientos de jueces y magistrados repartidos por toda Italia, así como las contraseñas de acceso a los ordenadores de casi XNUMX jueces de instrucción. …

Unos días más tarde se descubrió en Bari la actividad ilícita de un empleado de una sucursal de Intesa Sanpaolo, Vincenzo Coviello. El banquero comprobó, por lo que él mismo definió ante los magistrados como "simple curiosidad personal", los movimientos de las cuentas corrientes de varios políticos, en primer lugar las del presidente de la República, Mattarella, y la primera ministra, Giorgia Meloni. Pero no faltan deportistas, personalidades del mundo de la televisión y el espectáculo. 3500 en total cuentas revisadas."12

Llegados a este punto, veamos qué organización de seguridad nacional se ha creado para contrarrestar este tipo de amenaza sutil y de gran alcance.

La evolución del sistema nacional de ciberseguridad

Antes de continuar, conviene dar una definición de lo que se define como "crisis cibernética nacional”, según los dictados del organismo nacional de seguridad:

"Situación en la que un ciberincidente adquiere dimensiones, intensidad o naturaleza tal que afecta a la seguridad nacional o no puede ser afrontado por las distintas Administraciones competentes de forma ordinaria, sino mediante la toma de decisiones coordinadas a nivel interministerial. En caso de una cibercrisis nacional, el Núcleo de seguridad cibernética (NSC)."13

El Estado italiano, para afrontar eficazmente las amenazas ciber, ha iniciado hace tiempo una reforma del sistema de ciberdefensa, en el marco de un sistema integrado a nivel europeo.

Para ello, en mayo de 2018 el Parlamento implementó la directiva europea NIS (Red y seguridad de la información),14 introducirlo en la legislación italiana. Esta directiva aborda por primera vez a nivel europeo, de forma orgánica y transversal, la cuestión de la seguridad cibernética, contribuyendo a incrementar el nivel común de seguridad en los países miembros.

Como exige esta disposición, las autoridades italianas competentes han identificado los Operadores de Servicios Esenciales (OSE) y los Proveedores de Servicios Digitales (FSD) para cada uno de los sectores cubiertos por la directiva: energía, transporte, banca, infraestructuras de los mercados financieros, asistencia sanitaria, suministro. y distribución de agua potable e infraestructuras digitales, para un total de 465 entidades públicas y privadas. La ley obligó a estos operadores a adoptar mejores practicas para la gestión de riesgos. Además, la normativa ha identificado las formas de evaluar el cumplimiento real de las mismas: un aspecto, el del cumplimiento de la normativa, que realmente hace que la cultura de la ciberseguridad dé un salto de calidad.

Tras la publicación en el Diario Oficial en noviembre de 2019, mediante Decreto del Presidente del Consejo de Ministros el Equipo de respuesta a incidentes de seguridad informática (CSIRT)15 Italiano, es decir, un equipo preparado para intervenir en caso de un ciberataque. Semejante equipo depende directamente del Departamento de Seguridad de la Información (DIS) con la tarea de prevenir y gestionar incidentes o ciberataques comunicándose en tiempo real con los Estados miembros de la Unión Europea posiblemente involucrados en la situación crítica, obteniendo así una mayor eficacia en la acción defensiva. .

En el CSIRT se implementará el trabajo realizado hasta ahora por la Unidad de Ciberseguridad (NSC) y se implementará la activación del perímetro nacional de ciberseguridad aprobado en septiembre de 2019 por el Gobierno. Posteriormente, el DIS, el Ministerio de Desarrollo Económico y la Agencia para la Italia Digital (AGID) firmarán acuerdos para garantizar la transferencia de las funciones de la Equipo de respuesta de emergencia informática (CERT) nacional y de Equipo de respuesta de emergencia informática de la Administración Pública (CERT-PA) al CSIRT italiano que, para el desempeño de sus funciones, explotará la AGID según lo previsto por el decreto legislativo NIS. El decreto que crea el CSIRT requerirá 180 días para que sus disposiciones entren en vigor; por lo tanto, este nuevo organismo dedicado a la defensa del ciberespacio italiano sólo estará operativo a partir de mayo de 2020.

A la espera de esta evolución estructural y regulatoria, el CERT-PA ha iniciado recientemente las pruebas operativas de la plataforma nacional de lucha contra los ciberataques.16 Esta plataforma tendrá como finalidad transmitir indicadores de compromiso, notificar y representar eventos de riesgo cibernético en diferentes escenarios.

Las administraciones públicas y los usuarios que utilicen el servicio podrán confiar en la plataforma para el reconocimiento automático de posibles ciberamenazas. Gracias a ello los datos de ciberataques, recopilados y notificados automáticamente, se analizarán inmediatamente para activar rápidamente una respuesta defensiva integrada.

La plataforma, que ya había sido activada en los primeros meses de 2019 en fase experimental y está compuesta por varios elementos, entre ellos el Cliente Por tanto, los Indicadores Nacionales de Compromiso de Transmisión (CNTI) han entrado en su fase piloto, tras la cual se mejorará el proyecto ampliando también la audiencia de usuarios. También se garantizará una mayor facilidad de uso del servicio, que podrá incluirse en los procesos tecnológicos dedicados a la gestión de la seguridad corporativa.

Gracias a este sistema, Italia también podrá tener una respuesta rápida a los ciberataques, ya provengan de individuos, organizaciones locales o nacionales, amenazas convencionales o no lineales.

2Glosario de inteligencia. El lenguaje de los cuerpos de información., P. 40.

3 La Piscopia S., Setti S., Ciberespionaje: perfiles del derecho internacional, Eurilink University Press, Roma, 2021, p. 210.

4 Ibíd.

5Amenaza APT: qué son las amenazas persistentes avanzadas, cómo funcionan y cómo defenderse de ellas, Ciberseguridad360, https://www.cybersecurity360.it

6 Marcialis M., Las calles de la violencia, Colorado Noir, Mondadori, 2006, pág. 51.

7 Fusani C., Igualan, ochocientos mil espiados, los servidores en Lituania y la pista que lleva a Rusia, Noticias Tiscali, 2910/2024. https://notizie.tiscali.it/politica/articoli/equalize-ottocentomila-spia....

8Dag, la empresa de Cornelli facturó 224 mil euros en un año y medio, Reggio Tarde, 27/10/2024. https://www.reggiosera.it/2024/10/dag-la-societa-di-cornelli-ha-fatturat...

9 La Venia G., Dossierage, los papeles de la investigación de Milán: la cuenta de Sergio Mattarella también hackeada, Noticias Rai, 27/10/2024.https://www.rainews.it/video/2024/10/dossieraggio-le-carte-dell-inchiest....

10Surgen dossiers sobre los oligarcas rusos: también está el hombre que compró los bienes de Fusillo, La Gazzetta del Mezzogiorno,

29 / 10 / 2024.  https://www.lagazzettadelmezzogiorno.it/news/primo-piano/1571949/spuntan....

11 D´Amato A., El Mossad, el Vaticano, dinero para espiar a los empleados: los acuerdos de Equalize con empresas y servicios secretos, Abierto, 30/10/2024. https://www.open.online/2024/10/30/equalize-eni-mossad-vaticano-soldi-az....

12 Soglio A., De Striano a la investigación de Milán: 2024 es el año de los expedientes, Asuntos italianos, 28/10/2024. https://www.affaritaliani.it/cronache/dossier-inchiesta-milano-dati-stri....

13 Glosario de inteligencia. El lenguaje de los órganos de información, PCM-SISR, 2019, p. A.7

14 Con el Decreto Legislativo 18 de mayo de 2018, n.65, publicado en el Diario Oficial n. 132 de 9 de junio de 2018, Italia ha implementado, transponiéndola a la legislación nacional, la Directiva (UE) 2016/1148, denominada. Directiva NIS.