«En el caso de las administraciones, a veces hay un componente político en estos ataques»

Cada día se conocen más casos de ciberataques tanto a instituciones públicas como organizaciones y empresas, pero «solo se ve una pequeña parte». Porque una situación así provoco un importante «daño económico, pero también de reputación y credibilidad», por lo que hay quien prefiere silenciarlo. Lo explica José Manuel Redondo, profesor de la Universidad de Oviedo, experto en ciberseguridad, cuestión sobre la que ha ofrecido formación a toda la comunidad universitaria. Porque cada uno de nosotros podemos ser la puerta de entrada de un ciberataque. El «fallo humano», explica Redondo, es una de la manera de llegar a nuestros equipos. El exceso de confianza al acceder a páginas web, abrir enlace o documentos adjuntos. Aunque también tiene mucho que ver la denominada «deuda técnica», esto es, trabajar con sistemas anticuados, no actualizados.

Y así es como el 'ransomware' entra en el sistema. En la mayoría de los casos, con un claro objetivo de extorsión detrás, esto es, pedir dinero a cambio de un descifrador o de devolver los datos, bajo amenaza de venderlos o publicarlos. Pero Redondo apunta que «en el caso de las Administraciones Públicas a veces hay un componente político, la voluntad de desprestigiar, de atacar la credibilidad, y no solo un puro motivo económico». Recuerda este profesor el caso del ataque al Servicio Público de Empleo Estatal, el Sepe, en un momento de tramitación de millones de expedientes. «Nunca sabremos si se pidió dinero, pero el daño fue evidente: se cabreó a un sector de la población».

¿Qué hacer entonces antes estas situaciones? Por un lado, «minimizar el fallo humano». Es decir, ofrecer una mayor formación a todos los empleados, tanto del sector público como privado, para que conozcan realmente la forma en que los ataques pueden llegar y la complejidad que supone solucionar un problema así.

Después está la parte técnica, trabajar con sistemas lo más actualizados posibles, así como implementar medidas de seguridad efectivas. Y Redondo aún apunta una última cuestión: trabajar con segmentación, esto es, poner 'barreras' entre las diferentes áreas del sistema, para que sea difícil que el ataque pase de uno a otro. Así se hubiera evitado, por ejemplo, que si el ataque ha entrado en el sistema de vigilancia de evolución de la covid, hubiera llegado al servicio de radioterapia.

En cualquier caso, José Manuel Redondo alerta sobre una última cuestión: cuando el problema 'estalla', el ataque puede llevar meses de trabajo. «Cuando eres consciente, pueden haber estado robando datos un mes o diez».