Tristemente es bastante habitual encontrarnos con noticias de ataques cibernéticos a tal o cual empresa o administración, en la que sus datos han quedado expuestos o les han “secuestrado” las aplicaciones y la información. Pero, ¿qué quiere decir esto exactamente? y lo que más nos interesa, ¿podemos estar totalmente protegidos? Vamos a ver unas breves nociones de las consecuencias de estos ataques y si podemos hacer algo para estar más protegidos actuando en los distintos puntos de entrada de nuestra organización.
La Ciberseguridad es un concepto amplísimo y que va a seguir creciendo con la mayor conectividad entre sistemas, el IoT y el aumento del uso de Internet o sistemas informáticos. Pero vamos a dar unas pequeñas bases y a centrar el tiro en lo que afectaría a Administración Pública donde lo que queremos básicamente son dos cosas: tener disponibles nuestras aplicaciones para dar servicio a los ciudadanos, y que nuestra información no se vea expuesta. En el entorno privado aumenta el número de puntos a tener en cuenta, ya que añadiremos espionaje industrial, sabotaje de sistemas, suplantación de proveedores, extorsión, campañas de desinformación, ciberterrorismo,… Así que en comparación el riesgo en administración pública podría parecer inferior al privado, pero no lo es dado el impacto que tendría una caída generalizada en los sistemas sanitarios o de emergencias, por ejemplo. O que los datos de todos los ciudadanos de una localidad o una autonomía se vean expuestos. Por supuesto, hay multitud de casuísticas además de las comentadas como el phishing, por ejemplo, en el que simulan suplantarnos, o el man in the middle, de robo de datos, pero no vamos a bajar a tanto detalle.
Así que en comparación el riesgo en administración pública podría parecer inferior al privado, pero no lo es dado el impacto que tendría una caída generalizada en los sistemas sanitarios o de emergencias, por ejemplo.
Si después de leer este artículo queremos saber más sobre este tema, Internet está lleno de recursos, pero hablando de Administración Pública española, nuestro punto de referencia es el Centro Criptográfico Nacional que ofrece informes, documentación, herramientas, y además certifica los esquemas de seguridad que puede tener nuestra organización o las herramientas que usamos, que veremos que son una de los dos patas principales de defensa que tenemos para evitar problemas.
Como hemos dicho, nos pueden ocurrir principalmente, dos perjuicios: imposibilidad de uso de nuestros sistemas y robo de información.
En el primer caso hay varias formas de impedir usar nuestros sistemas. La más “clásica” es un ataque DoS o DDoS, de denegación de servicio. Que es tan fácil como saturar a llamadas o peticiones una web o servicio hasta que deja de funcionar. Sería como estar haciendo clic en el botón de refrescar miles de veces por segundo. Aquí, igual que es fácil provocarlo, también es fácil solventarlo poniendo otra vez activos nuestros servicios. La cuestión es que si solo ponemos una tirita, en lugar de tomar medidas, volveremos a tener otra caída.
Estos ataques DDoS no suelen afectar tanto como los producidos por ramsonware, ya que en este caso, se cifran o restringe el acceso a nuestros propios sistemas y somos incapaces de utilizar nuestra propia información. Ya que se ha ejecutado un programa dentro de nuestros sistemas que han provocado esta situación cifrando o incluso borrando nuestros datos. A diferencia del anterior, este caso es difícil de arreglar y además también es difícil de identificar el origen que lo causó. Ya que puede ser por un fallo técnico o humano (luego los veremos).
Y el segundo gran problema que podemos tener es que nuestra información queda expuesta. Sabemos lo importante que son los datos que manejamos, y que además su tratamiento y posible exposición están regulados por el GPDR, pero hay ocasiones en que podemos sufrir un ataque para obtener nuestros datos (sean de ciudadanos o internos a nuestra entidad). En estos casos, el origen puede ser múltiple. Desde aplicaciones poco securizadas, a configuraciones de red incorrectas, hasta el factor humano, que siempre está presente. El objetivo de estos robos suele ser la extorsión para no publicarlos, o la propia venta de la información. En la administración pública, de momento, no tenemos sabotajes o espionaje industrial, como si podríamos tener en el privado.
¿Y podemos evitar que nos ocurran estos problemas? Podemos intentarlo, pero es muy difícil, por no decir imposible, garantizar un 100% de cobertura, porque siempre hay un factor humano implicado y porque el mal siempre va más deprisa que el bien. Veamos que podemos hacer o donde podemos actuar.
Es muy difícil, por no decir imposible, garantizar un 100% de cobertura, porque siempre hay un factor humano implicado y porque el mal siempre va más deprisa que el bien
A nivel técnico, hay dos grandes actores: las aplicaciones y tecnologías que tenemos, y nuestro esquema de seguridad.
Lógicamente si tenemos una aplicación mal diseñada, puede ser un agujero de seguridad ante SQL Injection, robo de sesión,…. que pueda provocar tanto el robo de la información, como la introducción de software malicioso que afecte a nuestros sistemas. Por ello, debemos tener claras las características de nuestras aplicaciones, sean nuestras o de terceros, y garantizar que al menos esta parte la tenemos cubierta. Por supuesto, ya damos por hecho accesos con certificado digital para ciertas zonas, doble o triple factor de autenticación, renovación periódica de contraseñas,…
Pero no solo debemos pensar en las aplicaciones finalistas, como pueda ser el registro o la contabilidad. También hay vulnerabilidades en los sistemas operativos, las aplicaciones de firewall,… que suelen aplicar parches periódicamente ante nuevas amenazas.
Y el segundo punto es nuestro esquema de seguridad, es decir, como tenemos configurados nuestros equipos, nuestras redes, quién puede acceder a cada sitio,… para evitar las menos puertas posibles que nos pongan en riesgo. Y en la tendencia actual de ir hacia la nube debemos exigir estas mismas garantías a nuestros proveedores.
Pero hay un gran problema…. Por mucho empeño que pongamos en securizar y garantizar redes, aplicaciones, sistemas,… al final, detrás de cada pantalla, hay una persona, para bien y para mal. Muchas de las técnicas más efectivas de ataque se basan en ingeniería social, en suplantación de identidades que “engañan” a nuestros usuarios y les abren las puertas a nuestros sistemas. Y estos últimos años con el teletrabajo, sumado al estrés de la pandemia y todo lo que hemos tenido han favorecido este tipo de errores humanos. Aquí la solución es la educación, educación y educación. Con las aplicaciones y el esquema de seguridad podemos minimizar los daños, pero educando a nuestros usuarios podremos minimizar los ataques.
Por mucho empeño que pongamos en securizar y garantizar redes, aplicaciones, sistemas,… al final, detrás de cada pantalla, hay una persona, para bien y para mal.
En definitiva, hay muchos factores que afectan a nuestra seguridad, y lo malo de este tema es que los ataques y sus consecuencias van a ir aumentando. No están todos los tipos de ataque, ni todas las formas de prevenirlo, es imposible recogerlo en un artículo, pero se quería recoger una pequeña introducción a la Ciberseguridad y sus enfoques, ya que no siempre es culpa de la “máquina” ni tampoco es culpa siempre de la persona.