La societat s'està acostumant als ciberatacs reiterats. L'objectiu es basa a atacar grans companyies i extreure, a partir d'aquí, milers de dades i informació útil per a després dur a terme un negoci fraudulent. La tecnologia i els seus avenços també porta una obertura de les dades personals que, malgrat les bones intencions d'organismes com la Unió Europea, no aconsegueixen posar-hi fre. Després de l'escàndol d'Hisenda, un altre ciberatac conegut aquest mes de febrer al portal web del Consell d’Habitatge de Barcelona ha posat en perill les dades dels seus usuaris inscrits. A partir d'aquí, la ciutadania és conscient què implica ser víctima d'un ciberatac i formar part d'una llista totalment piratejada?
Sancho Lerena, CEO de Pandora FMS i expert en gestió IT i seguretat, subratlla en declaracions a ON ECONOMIA, el dany real per a les persones afectades: "No és un problema de privacitat, és un problema d'indefensió. Quan les teves dades surten d'una entitat passen a ser un producte. El teu DNI, la teva direcció o el teu historial no caduquen. Això acaba en fòrums i es fa servir per a suplantació i enginyeria social dirigida: estafes que funcionen perquè l'atacant sap de tu més que molts controls habituals. El dany real és que el ciutadà perd el control de la seva identitat, mentre l'entitat afectada gira full quan baixa el soroll". Així doncs, és important subratllar que, tenint en compte que la identitat d'una persona sempre és la mateixa, l'ús d'aquesta és indestructible.
Ningú paga la responsabilitat
Però Lerena també lamenta que les repercussions mai vagin més enllà de la notícia mediàtica del moment i marcar de qui és la responsabilitat de l'errada queda en paper mullat. "És bastant difícil que es depurin responsabilitats en l'àmbit de direcció. La responsabilitat es dilueix i el relat converteix l'atac en una cosa inevitable. Moltes vegades no ho és. És el resultat de decisions d'arquitectura i de retallades operatives. Mentre la seguretat segueixi com una casella en un informe i no com una responsabilitat directa amb conseqüències, el ciutadà encara pagarà el cost. Mira l'apagada: un incident gravíssim, impacte real, i el país va continuar endavant sense responsables clars. Si això no es depura, què creus que passarà per una fuga de dades a l'agència més temuda d'Espanya? Res. Com a molt, un comunicat i una altra ronda de promeses".
Si entrem en l'exemple concret, com pot ser que organismes tan grans, amb tanta inversió com la mateixa Hisenda espanyola hagin caigut de quatre grapes? Lerena ho atribueix al concepte de centralització de la sobirania tècnica: "És el risc principal. Si concentres dades de tot un país crees un objectiu perfecte. I si a més l'operació queda lluny de qui decideix, el control es dilueix. Les auditories poden dir que 'compleixes', però el dia a dia necessita visibilitat real, alertes útils i capacitat de resposta. Sense això, el risc deixa de ser una hipòtesi i esdevé estadística".
La conclusió és evident. En els darrers temps, s'ha confós digitalització amb migrar a núvol sense redissenyar la seguretat. Es despleguen serveis crítics amb molta exposició i poc aïllament real. La seguretat es tracta com a compliment i no com a operació diària. S'inverteix en l'embolcall i es descuida el bàsic: accessos, segmentació, registres, detecció i manteniment. El que no es veu no es prioritza, i aquí entren els criminals.