La sociedad se está acostumbrando a los ciberataques reiterados. El objetivo se basa en atacar grandes compañías y extraer, a partir de aquí, miles de datos e información útil para después llevar a cabo un negocio fraudulento. La tecnología y sus avances también trae una apertura de los datos personales que, a pesar de las buenas intenciones de organismos como la Unión Europea, no consiguen ponerle freno. Después del escándalo de Hacienda, otro ciberataque conocido este mes de febrero en el portal web del Consell d’Habitatge de Barcelona ha puesto en peligro los datos de sus usuarios inscritos. A partir de aquí, ¿es la ciudadanía consciente de qué implica ser víctima de un ciberataque y formar parte de una lista totalmente pirateada?
Sancho Lerena, CEO de Pandora FMS y experto en gestión IT y seguridad, subraya en declaraciones a ON ECONOMIA, el daño real para las personas afectadas: "No es un problema de privacidad, es un problema de indefensión. Cuando tus datos salen de una entidad, pasan a ser un producto. Tu DNI, tu dirección o tu historial no caducan. Esto acaba en foros y se usa para suplantación e ingeniería social dirigida: estafas que funcionan porque el atacante sabe de ti más que muchos controles habituales. El daño real es que el ciudadano pierde el control de su identidad, mientras la entidad afectada pasa página cuando baja el ruido". Así pues, es importante subrayar que, teniendo en cuenta que la identidad de una persona siempre es la misma, el uso de esta es indestructible.
Nadie paga la responsabilidad
Pero Lerena también lamenta que las repercusiones nunca vayan más allá de la noticia mediática del momento y marcar de quién es la responsabilidad del error queda en papel mojado. "Es bastante difícil que se depuren responsabilidades en el ámbito de dirección. La responsabilidad se diluye y el relato convierte el ataque en algo inevitable. Muchas veces no lo es. Es el resultado de decisiones de arquitectura y de recortes operativos. Mientras la seguridad siga como una casilla en un informe y no como una responsabilidad directa con consecuencias, el ciudadano todavía pagará el coste. Mira el apagón: un incidente gravísimo, impacto real, y el país continuó adelante sin responsables claros. Si esto no se depura, ¿qué crees que pasará por una fuga de datos en la agencia más temida de España? Nada. Como mucho, un comunicado y otra ronda de promesas".
Si entramos en el ejemplo concreto, ¿cómo puede ser que organismos tan grandes, con tanta inversión como la misma Hacienda española hayan caído de cuatro patas? Lerena lo atribuye al concepto de centralización de la soberanía técnica: "Es el riesgo principal. Si concentras datos de todo un país creas un objetivo perfecto. Y si además la operación queda lejos de quien decide, el control se diluye. Las auditorías pueden decir que 'cumples', pero el día a día necesita visibilidad real, alertas útiles y capacidad de respuesta. Sin esto, el riesgo deja de ser una hipótesis y deviene estadística".
La conclusión es evidente. En los últimos tiempos, se ha confundido digitalización con migrar a la nube sin rediseñar la seguridad. Se despliegan servicios críticos con mucha exposición y poco aislamiento real. La seguridad se trata como cumplimiento y no como operación diaria. Se invierte en el envoltorio y se descuida lo básico: accesos, segmentación, registros, detección y mantenimiento. Lo que no se ve no se prioriza, y aquí entran los criminales.