Durante algo más de una semana el ayuntamiento de Gijón estuvo prácticamente paralizado. Los funcionarios no podían encender sus ordenadores, no se podía pagar a proveedores, aprobar licencias, presentar expedientes o cursar solicitudes. Los préstamos de las bibliotecas municipales se apuntan con bolígrafo en una libreta. Los datos fiscales y personales de miles de gijoneses en poder de no se sabe quién y no se sabe dónde. Se especuló con que el ciberataque, un ransomware que secuestra la información del equipo infectado y pide un rescate a cambio, podría provenir de Rusia. Pero los conocedores del sector no se fían: ya cualquier hacker de medio pelo es capaz de enmascarar su ubicación para que parezca que está en Moscú, cuando realmente opera en Langreo.
A finales de febrero, la Universidad de Oviedo tuvo que implementar de urgencia un sistema de protección para frenar un ciberataque, también supuestamente originado en Rusia, contra sus servidores. Las pasadas navidades, con los contagios de Covid disparados, otro ataque de tipo ransomware dirigido contra el Servicio de Salud del Principado de Asturias (SESPA) obligó a retrasar las citas de oncología y la tramitación de las pruebas diagnósticas. Según Yolanda Mínguez, subdirectora de Infraestructuras y Servicios Técnicos del SESPA, “No ha habido colapsos de equipos ni datos comprometidos”. Pero nada garantiza que sí pueda haberlos en el futuro.
“un ciberataque a EDP robó información sensible de la empresa”
No solo las instituciones públicas sufren ataques cibernéticos de esta magnitud. En abril de 2020, en pleno confinamiento, EDP reconoció que su sistema había sido infectado por un ransomware. Los ciberdelincuentes robaron más de 10 terabytes de información sensible de la compañía y encriptaron los sistemas de la firma, pidiendo a cambio un rescate de 10 millones de euros en criptomonedas para no publicar esa información en la red.
Malas prácticas y vulnerabilidades
“Tal y como está la situación, tenemos que ir acostumbrándonos a este tipo de ataques”, alerta Javier Rodríguez, el CEO de Obelisk, una empresa de ciberseguridad gijonesa. “Los ataques son algo continuo. Nosotros, que somos una empresa pequeñita, recibimos unos 20 ó 30 al día”. No se trata, por lo general, de ataques dirigidos contra una empresa o institución determinada, sino de “robots que buscan vulnerabilidades con un sistema automatizado”.
Pese a la frecuencia de los ataques, y la gravedad de las consecuencias que pueden acarrear, cree que “no se la da la importancia que puede tener. Los medios que se ponen son limitados, y se subestiman los daños que pueden hacer. La formación que reciben los programadores en ciberseguridad es en general bastante baja. He visto tantas malas prácticas en los últimos años…”.
Enumera algunas de ellas: “Por la información que tenemos, y que dan los propios portales, muchas veces se utilizan versiones que son vulnerables de por sí, que tienen errores conocidos. Ni siquiera hacer falta que venga un superhacker ruso, porque son vulnerabilidades conocidas y fácilmente explotables. Ellos mismos se están exponiendo”. Reconoce, sin embargo, que “por muchos medios que pongas es imposible estar seguro al 100%. Un ataque, si va totalmente dirigido, te va a entrar. Pero una cosa es eso y otra ponerlas las cosas muy fáciles”.
Su propuesta para reforzar la ciberseguridad de las instituciones, “aunque no es a corto plazo”, pasa por la formación de técnicos en ciberseguridad. “Y poner recursos, aunque muchas veces se ponen y luego no se comprueba si funciona”, lamenta, “se pone un antivirus, ¡y ala!, ya se piensa que está seguro. Pero no es así. Este mundo es extremadamente cambiante, y hay que estar muy atento y muy encima de ello”.
¿Un instituto de ciberseguridad en Asturias?
José Manuel Fernández y Agustín Orviz son dos de los impulsores de Nuberu, una cooperativa de servicios digitales ubicada en Sobrescobio y que sitúa la seguridad de sus usuarios en el centro de sus prioridades. Fernández empieza matizando el enfoque de este reportaje: “Me parece peligroso centrarlo solo en los ataques a los organismos públicos. Lo privado también lo atacan, pero suelen ocultarlo siempre que pueden”.
Para Fernández “el riesgo cero no existe y, hagas lo que hagas, siempre hay un sitio por donde se te pueden colar. La diferencia está en la forma en que eres capaz de reaccionar. También Orviz, ingeniero de telecomunicaciones con experiencia en el ámbito de la ciberseguridad, admite que estas precauciones “chocan con el día a día del usuario, que está acostumbrado a hacer lo que quiera y tiene mucha resistencia a cambiar”.
Y mucho más complicado en el caso de grandes organizaciones, “con un parque inmenso de equipos, y no es nada fácil tener una política de seguridad común. Cuando más equipos tienes, más difícil de gestionar”.
Fernández incide en algunas de las causas más profundas de este problema: “A veces tenemos tanta alegría con el tema de la digitalización y el internet de las cosas, que no tenemos en cuenta el consumo energético y la necesidad de inversión que conlleva. Es muy fácil digitalizar algo, pero si luego no sigues invirtiendo puede colapsar y quedarse obsoleto”.
Además de inversión, “es necesario concienciarnos, porque así vamos a hacerlo más difícil. Estamos ante una demostración que pasa desde hace años, a todos los niveles y en todos los sitios, y que es un problema económico y político grave. Necesitamos control público y leyes: la Unión Europea, de manera soterrada, lleva años de una lucha permanente contra los grandes, Elon Musk o Facebook, para regular estas cuestiones”.
Orviz y Fernández defienden que Asturias constituya su propio instituto de ciberseguridad, o al menos una sucursal del INCIBE (Instituto Nacional de Ciberseguridad) en la comunidad: “En Asturias tenemos varias empresas con miles de empleos en software. ¿Por qué no montamos un instituto de ciberseguridad?, ¿por qué no se invierten en eso los fondos europeos? Podría dar formación, asistencia y apoyo a todos los técnicos de empresas e instituciones públicas, porque la seguridad es cosa de todos”.
Ojalá que revienten todas las instituciones. Con toda su digitalización e infraestructura de control.