La ciberseguridad se está convirtiendo cada vez más en un tema central para la acción de gobierno. Según el Centro Criptológico Nacional, en 2018 se registraron más de 34.000 incidentes relacionados con ataques cibernéticos en entidades públicas en España. En los últimos años, muchos incidentes de seguridad informática en el sector público han saltado a la palestra. Sin ir más lejos, el ransomware (software malicioso que encripta el contenido de un disco duro y pide un rescate para recuperarlo) “WannaCry”, atacó con efectos devastadores al National Health Service de Reino Unido, entre muchas otras instituciones públicas y privadas del mundo. En España, mi amigo Rafa Camacho tuiteaba el otro día un interesante artículo donde se veía cómo varias cuentas de Twitter de ayuntamientos españoles habían sido robadas. Más recientemente, nuestros compañeros de TransparenteGob sufrían un ataque de similares características.

Mapa de ciber-amenazas capturado el día 26 de agosto a las 16:45 horas (horario peninsular español). Es mantenido por la empresa Kapersky. Puede consultarse en tiempo real desde este enlace.

Hay un factor clave en muchos de los ataques que he mencionado hasta ahora. Muchos han tenido como colaborador (obviamente involuntario) a las personas que trabajan en esas organizaciones. En esta entrada, me gustaría tratar un tema que, a pesar de llevar muchos años en el frente de la ciberseguridad, se olvida con frecuencia. Y que, en mi opinión, debería formar parte de forma repetitiva de la educación de cualquier empleado público: el papel que, cómo usuarios de equipos informáticos, podemos llegar a tener en que una determinada acción cibercriminal llegue o no a buen puerto.

La ciberseguridad en las administraciones públicas

Técnicamente, y a pesar de que los expertos insisten en que la seguridad perfecta no existe, se realiza un buen trabajo para proteger nuestras administraciones. Por ejemplo, en febrero de este año conocimos que el Gobierno aprobaba la creación del Centro de Operaciones de Ciberseguridad para la AGE, un servicio cuya puesta en marcha se realizará en un máximo de 24 meses, y cuyo objetivo es brindar servicios de apoyo horizontal para minimizar el riesgo de ataques. En 2013, por poner otro ejemplo, se lanzaba un documento estratégico titulado “Estrategia de ciberseguridad nacional”, con el ánimo de servir como base y toma de conciencia para acciones futuras, fundamentalmente en la acción sobre los siguientes ámbitos:

  • Incrementar las capacidades de prevención, defensa, detección, análisis, respuesta, recuperación y coordinación ante las ciberamenazas, haciendo énfasis en las administraciones públicas, las infraestructuras críticas, las capacidades militares y de Defensa y otros sistemas de interés nacional.
  • Garantizar la implantación del Esquema Nacional de Seguridad, reforzar las capacidades de detección y mejorar la defensa de los sistemas clasificados.
  • Impulsar la implantación de la normativa sobre Protección de Infraestructuras Críticas y de las capacidades necesarias para la protección de los servicios esenciales.
  • Potenciar las capacidades para detectar, investigar y perseguir las actividades terroristas y delictivas en el ciberespacio, sobre la base de un marco jurídico y operativo eficaz.
  • Impulsar la seguridad y la resiliencia de las infraestructuras, redes, productos y servicios empleando instrumentos de cooperación público-privada.
  • Promover la capacitación de profesionales, impulsar el desarrollo industrial y reforzar el sistema de I+D+i en materia de ciberseguridad.
  • Concienciar a los ciudadanos, profesionales y empresas de la importancia de la ciberseguridad y del uso responsable de las nuevas tecnologías y de los servicios de la sociedad de la información.
  • Promover un ciberespacio internacional seguro y confiable, en apoyo a los intereses nacionales.

Es frecuente que las administraciones estén protegidas por cortafuegos, que aíslan el tráfico del exterior, y sistema de antivirus de detección en tiempo real, tanto en correos electrónicos como en los propios equipos de empleados públicos. Cada vez es también más frecuente que la inversión en ciberseguridad en distintos organismos aumente. Por otro lado, la ciberseguridad cuenta con la propia ayuda de expertos en sistemas y seguridad informática, que anualmente se reúnen en conferencias como la DEFCON y la BlackHat (ambas celebradas recientemente, en agosto de este año). Habitualmente, las compañías de software pagan el descubrimiento de vulnerabilidades de forma que los sistemas se vayan haciendo cada vez más seguros.

Las personas somos “hackeables”

Probablemente hayan oído hablar del virus “I love you”. En el año 2000, provocó pérdidas de más de 5.500 millones de dólares en entidades públicas y privadas. Su forma de propagarse era sencilla: una carta de amor recibida por correo electrónico, que el usuario del pc debía abrir para que comenzase la ejecución del gusano. A eso me refiero cuando digo que las personas “somos hackeables”.

El famoso hacker Kevin Mitnick ha asegurado que es mucho más sencillo forzar socialmente a que una persona dé su contraseña, que entrar en el sistema informático por la fuerza. A este tipo de técnicas se las suele conocer como “técnicas de ingeniería social”, y se basan en el principio de que la vulnerabilidad más grande del sistema es cualquier usuario que no esté educado en unos principios básicos de seguridad. Dejadme que os ponga un ejemplo ficticio:

Jorge es un profesor titular de universidad. Su universidad ha activado un tamaño máximo de buzón de entrada de correo institucional a 1GB. Jorge utiliza mucho el correo para enviar y recibir mensajes adjuntos, por lo que a menudo se queda sin espacio. Un día Jorge recibe un correo electrónico. El correo le llega a la carpeta “SPAM”, porque la seguridad de la universidad ha hecho bien su trabajo y ha catalogado ese correo como potencialmente no deseado. Jorge lee el asunto “subida de capacidad de correo electrónico”. En él, un supuesto técnico de la universidad le pide rellenar un formulario para ampliar su bandeja de correo institucional. Jorge, contento, da sus datos, incluyendo su contraseña de correo institucional, que es la misma para otros servicios de la universidad. 

El supuesto atacante malicioso no ha atacado realmente a la universidad. Se ha centrado en explotar a nuestro ficticio profesor  “Jorge”. En concreto, el atacante ha empleado la técnica del phishing, tratando de buscar el engaño de hacerse pasar por una entidad oficial, mostrando un formulario de datos verosímil. Como el lector habrá entendido ya, dan igual los esfuerzos que la universidad haya puesto en sistemas de seguridad si finalmente uno de sus integrantes da libremente su contraseña.

Jorge, sin embargo, podía haberse dado cuenta de esta sencilla trampa si hubiese prestado algo más de atención a lo que hacía con su ordenador. Por ejemplo, podría haber sospechado directamente de que el correo le llegase a spam. Al abrir el correo, podría haberse cerciorado de que la dirección de correo del remitente era, realmente, una dirección institucional de su universidad. Finalmente, al entrar en el enlace al formulario de solicitud de ampliación de bandeja de entrada, podría haberse dado cuenta de que la dirección apuntaba a un sitio externo de la universidad.

Algunas recomendaciones

Con independencia de la inversión técnica en seguridad, hay que invertir en las personas. En crear una cultura de ciberseguridad en el contexto humano de la organización pública. De nada sirve que las administraciones cuenten con software avanzado en ciberseguridad, si cualquier usuario ejecuta software de forma arbitraria, sin tener en cuenta las consecuencias. Que, en el caso de las administraciones, pueden suponer un acceso directo a datos ciudadanos sensibles.

En mi opinión, hay dos formas de abordar esta cuestión. A la primera estrategia, me gusta denominarla “seguridad por ofuscación”. En ella, el sector público invierte cada vez más en sistemas restrictivos, que inhabilitan a los usuarios para emplear los ordenadores de forma libre y natural. O en normativas que evitan que cualquier ordenador no autorizado entre en una red de la administración pública, impidiendo el uso de ordenadores personales en el trabajo. Incluso bajo esta premisa, los riesgos por ingeniería social siguen siendo elevados, ya que se crea una sensación de falsa seguridad. Y además, se limita notablemente la libertad de elección.

La otra estrategia, me gusta denominarla como “cultura de la seguridad”. En ella, y a pesar de que los sistemas informáticos cuenten con diferentes contextos y permisos de seguridad, el usuario es mucho más libre porque también se le exige ser responsable. El empleado público que maneja ordenadores en su día a día toma conciencia de que cada acción telemática puede tener unas consecuencias. Aunque no es infalible (ni ningún sistema lo es), está educado en efectuar ciertas comprobaciones de seguridad y en cuestionar la veracidad de los mensajes que cualquier pantalla le muestra.

Para ello, es imprescindible que dentro del sector público se desarrollen programas formativos en ciberseguridad para todos sus empleados (desde el directivo público al empleado de ventanilla), que cada vez más insistan en la importancia de tomar conciencia sobre esta cuestión. Aunque puedes empezar desde ya, haciendo que formen parte de tu día a día en el trabajo los siguientes hábitos:

  • Antes de nada, ve al sitio web de “have I been pwned?”, y comprueba si alguna de tus direcciones de correo ha sido comprometida. Este sitio revisará si tu dirección está en algunas de las bases de datos que circulan por internet con relaciones entre correos y contraseñas, extraídas tras ataques informáticos a servidores. En caso afirmativo, cambia tu contraseña. Cambia también posteriormente la contraseña de todos los servicios asociados a esa cuenta.
  • Evita tener servicios asociados a tu cuenta institucional. Tu cuenta institucional de la administración debería servir únicamente para enviar correos, no para asociar, por ejemplo, una cuenta de Facebook o de cualquier otro servicio.
  • Trata de cambiar de contraseña con regularidad. Te recomiendo que emplees un gestor de contraseñas, que, además, te ofrezca la posibilidad de crear contraseñas seguras con combinaciones difícilmente descifrables por ataques con diccionarios. Al respecto, recomiendo la lectura de este artículo en Xataka.
  • Cuando recibas un correo, desconfía de cualquier correo que llegue fuera de tu institución. Extrema las precauciones con ficheros como .pdf, ficheros de office o libreoffice con macros, etc. Pueden contener código malicioso. Podría ser conveniente pasar un antivirus o subirlos a Virus Total (comprobador de archivos en base a los motores de diferentes antivirus). 
  • Si un programa de tu ordenador te pide permisos para realizar ciertas tareas, piensa bien antes de darlos. ¿De verdad crees que un documento de office necesita acceder a tu cámara o micrófono? Yo diría que no.
  • Cuando conectes a una red wifi de tu institución, cerciórate que es la red de tu administración, y no un punto de acceso con nombre similar. Podría haber sido creado para filtrar los paquetes que envíes desde tu conexión.
  • En la medida de lo posible, trata de navegar siempre a través de sitios web que tenga el certificado SSL habilitado.
  • Si te encuentras un pendrive u otro dispositivo USB en la calle, mejor no lo pongas en tu pc de la administración. Mejor, tampoco lo enchufes en el de tu casa. Podría contener código malicioso, o algo peor

Si tienes más consejos, ¡no dudes en compartirlos en tus comentarios o a través de redes sociales!

Nos vamos leyendo 😉

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .