A lo largo de los últimos meses hemos sido testigos de noticias que han puesto en entredicho los sistemas de seguridad de la administración pública. Los ciberataques al SEPE, al Área Metropolitana de Barcelona o a la Agencia Europea del Medicamento son ejemplos de ello. En el caso del sector sanitario hemos sabido incluso que las pérdidas económicas se cuentan por millones.
Empresas, organizaciones en general y usuarios sentimos los efectos de la pandemia también en el ámbito de la ciberseguridad. En lo que respecta a “lo público” la preocupación crece por las nefastas consecuencias que una vulneración puede llegar a tener en la sociedad. Tanto, que fueron las propias instituciones públicas las que recurrieron en 2020 al procedimiento de emergencia para adjudicar contratos a conocidas compañías de ciberseguridad como respuesta a la terrible ola de amenazas que se estaban registrando en plena crisis sanitaria.
Hace unos días, además, conocíamos el “Plan de choque de ciberseguridad” que el gobierno ha puesto en marcha ante las exigencias de un entorno digital en constante cambio y presa fácil de acciones delictivas. ¿Está nuestra administración pública tan “desvalida” en cuestiones de seguridad digital como puede parecer desde fuera? ¿En qué puede mejorar para que toda la información que maneja esté perfectamente blindada?
Hemos tratado de analizar la situación de este sector esencial con la colaboración de dos expertos en materia de ciberseguridad. Algunas conclusiones nos llevan a pensar que no estamos tan mal, aunque el margen de mejora sigue siendo amplio.
Así de protegidos están los servicios públicos en nuestro país
La primera duda que asalta nuestras cabezas cuando somos conocedores de algún ataque es si los sistemas de prevención son todo lo eficaces que deberían. Eusebio Nieva, director Técnico de Check Point para España y Portugal, se muestra contundente: “debido a los acontecimientos recientes en los que diferentes organizaciones públicas como el SEPE, el Tribunal de Cuentas y numerosos ayuntamientos han sido atacados, queda en evidencia el hecho de que no cuentan con las herramientas de protección necesarias”.
El recelo está más que justificado, pero por otra parte España no parece nueva en esto de la ciberseguridad. Ramiro Céspedes, Responsable de Ingeniería para Inteligencia ante Amenazas de ThreatQuotient España, expone que nuestro país “cuenta con una Estrategia Nacional de Ciberseguridad aprobada en el año 2019. España es pionera en la región europea y cuenta con múltiples organismos e instituciones dedicadas a la protección del ciberespacio y la sociedad digital”. INCIBE, CNPIC y el CCN-CERT son algunas a las que se refiere. El plan de choque promovido por el gobierno central que comentábamos al principio ha venido a completar una serie de herramientas que, como vemos, no escaseaban.
Las nefastas consecuencias de los ataques en el sector público
Sin embargo, la tendencia al alza en cuestión de amenazas de diversa índole es una evidencia. Y es que el sector público está especialmente expuesto por una razón: el enorme valor de la información que maneja. “Tanto el nombre, los DNI, los correos electrónicos, así como las credenciales bancarias, se encuentran en la red del engranaje público español debido a las gestiones burocráticas que realizamos de forma online. El hecho de que las instituciones públicas tengan una base de información más grande que la de muchas empresas las convierte en una mina de oro para los cibercriminales. Infectándolas acceden a un ‘gran premio’ en forma de datos que, además les aportará seguramente un gran beneficio económico”, advierte Nieva.
Céspedes completa la reflexión argumentando que “los daños en general pueden estar relacionados con el robo de información personal identificable de los ciudadanos, la caída de disponibilidad de servicios digitales a los que acceden estos ciudadanos o con el aprovisionamiento de servicios básicos como pueden ser la energía eléctrica o el agua. Realmente, un ciberataque puede ocasionar directa o indirectamente daños muy graves tanto en las empresas como en los ciudadanos”.
El portavoz de ThreatQuotient España cita el que sufrió el proveedor de casi la mitad de los hidrocarburos en la costa este de Estados Unidos, Colonial Pipeline, y alerta: “casos como este hay muchos y nos permiten ver que un ‘ciberataque’ hoy ya tiene consecuencias fuera del ámbito del ciberespacio que pueden poner en peligro la integridad de cualquier persona”.
Pero entonces, ¿puede la administración pública frenar las nuevas generaciones de ciberataques?
Una pregunta directa con una respuesta realista: no hay organización en el mundo que esté completamente exenta de sufrir un ciberataque. “De todas formas, pienso que el problema más serio no pasa por las herramientas y plataformas de ciberseguridad desplegadas o por los procesos establecidos. Tampoco el problema es cuánto de novedosos o de nueva generación sean los ataques. Seguimos viendo ataques de «toda la vida» y de una complejidad sencilla que tienen un alto impacto en el desarrollo de las actividades o el desarrollo empresarial. El problema real es que el atacante siempre estará a un paso del éxito mientras que el que defiende estará siempre a un paso del fracaso. Es una lucha asimétrica en la que los esfuerzos requeridos de un lado y del otro deben evolucionar constantemente”, contesta Ramiro Céspedes.
Por su parte, Eusebio Nieva enumera algunas ideas que podrían ayudar al sector público a reforzar su seguridad desde el punto de vista técnico. “La primera es instalar un software de protección adecuado que implante medidas de escalabilidad y proteja todos los endpoints de la red, incluidos todos los dispositivos móviles. Otra de las cosas que es importante establecer es una red privada VPN que proteja el tráfico de datos. En tercer lugar, la seguridad del entorno cloud es una de las principales preocupaciones que deberían estar presentes en las organizaciones públicas ahora que muchos de los funcionarios están realizando sus quehaceres desde sus casas”.
La lista de tareas pendientes no acaba aquí, y el portavoz de Check Point aboga por realizar copias de seguridad de forma periódica para restablecer los datos ante cualquier incidente, y por último apostar por la formación de los empleados para que sepan reconocer cualquier intento de ataque. En el aspecto humano es en el que precisamente Ramiro Céspedes incide. “En mi opinión, donde vamos a marcar realmente la diferencia es en la educación a los usuarios, es decir, a la población en general. Hay una necesidad de formar a los ciudadanos en las tecnologías de información pero también en entender cuáles son los riesgos asociados a las nuevas tecnologías y cómo podemos hacer para protegernos de los mismos”.
Admite, sin embargo, que en ese aspecto España está en una fase muy inicial, estudiando la creación de una asignatura o la oferta de cursos de ciberseguridad en colegios. “Formar y preparar a las generaciones que vienen resultará fundamental para mantener la seguridad y la vida del mundo digital en el que ya vivimos, hacia el que vamos pero también en el que interactuamos con un mundo físico donde, como hemos visto, las consecuencias de un ciberataque pueden tener un impacto directo en la integridad física de los ciudadanos”.
