La preocupación por la seguridad es tan antigua como la humanidad, pero los avances tecnológicos plantean cada día nuevos retos. En la década de 1990, los Estados Unidos (o algunos de los especialistas en asuntos informáticos de la época) estaban preocupados por los aspectos de ciberseguridad relacionados con algunas infraestructuras especialmente delicadas, como eran las armas nucleares. Por este motivo diseñaron los ejercicios Chaperon 1 y 2, para tratar de determinar si se podían diseñar aplicaciones seguras. 

Uno de sus objetivos era saber si era posible que alguien insertase código malicioso en una aplicación sin que los defensores pudieran detectarlo. Nos cuentan cómo se diseñaron dos equipos (atacantes y defensores); la misión de los segundos era encontrar algún fragmento de código malicioso instrumentado por los primeros. En el primer experimento, uno de los atacantes implantó dos fragmentos de código malicioso que nadie encontró. No solo eso, la tarea de mostrar los fallos y explicarlos llevó un buen número de horas. La segunda parte del experimento se diseñó con más limitaciones (692 líneas de lenguaje máquina): aún así, solo uno de los defensores pudo encontrar el código malicioso. Dado que se trataba de programadores excelentes, la conclusión fue que garantizar la seguridad de los sistemas informáticos iba a ser, realmente, un problema difícil.

Desde entonces se ha avanzado mucho en los lenguajes de programación, y algunos tienen buenas propiedades desde el punto de vista de la seguridad. Pero seguimos enfrentándonos a dos limitaciones: la primera, todavía hay programas y sistemas antiguos que necesitamos utilizar y mantener; la segunda, la mayoría de los sistemas que se diseñan no se desarrollan desde cero: utilizan una infraestructura que no siempre es controlable, y también recurren a las bibliotecas (las piezas básicas del puzle) que han sido diseñadas por otros y que se integran en los proyectos sin el adecuado control ni verificación. 

Además, la seguridad de los sistemas depende también de los proveedores, dando lugar a los denominados problemas de la cadena de suministro. Un ejemplo es el que muchos consideran el mayor ciberataque habido hasta la fecha y en el que, mediante una herramienta desarrollada por Solar Winds, fueron atacados los sistemas de unas 18.000 empresas y agencias gubernamentales que la utilizaban.

Te puede interesar

"La seguridad al 100% no existe ni en informática ni a nivel físico en el mundo real"

Interior neutralizó el año pasado más de 10.000 ciberataques sobre estructuras críticas

La lucha es desigual: para atacar basta con encontrar un fallo, mientras que para defender un sistema hay que tener en cuenta todos los posibles elementos que son susceptibles de fallar. También es desigual en la motivación. Para que los desarrolladores se ocupen de la ciberseguridad, esta preocupación tiene que tener algún tipo de recompensa. Sin embargo, por lo general, se priorizan otros factores, como la rapidez a la hora de lanzar nuevas versiones o el precio. Y, aunque sería muy osado afirmar que la seguridad no preocupa a las empresas, hay que reconocer que tampoco la perciben como una prioridad para los compradores.

Por otra parte, no podemos dejar nuestra ciberseguridad solo en manos de las empresas especializadas, sino que todos debemos implicarnos. En primer lugar, las organizaciones, públicas y privadas, cada una en proporción a su complejidad y tamaño, deben disponer de planes que establezcan cómo desarrollar y operar los sistemas para prevenir los riesgos y amenazas, así como de procedimientos que permitan responder a los incidentes de seguridad. Los sistemas de gestión de la seguridad de la información (SGSI), que se desarrollan siguiendo normas como la serie ISO 27000, son el principal instrumento. El más alto nivel directivo de la organización debe impulsar estos sistemas y todos los miembros tienen que conocer la parte que les afecta, darles la importancia que merecen y cumplir con lo que en ellos se dispone.

Aun en los contextos más tecnológicos, el factor humano sigue siendo decisivo y, por ello, es preciso promover la cultura de la ciberseguridad. Como ocurre en el tráfico, la tecnología pone su parte para que podamos circular seguros, pero no serviría de nada si no le acompaña un comportamiento adecuado de las personas. Y este solo se consigue mediante un esfuerzo continuado, en el que se utilizan tanto la concienciación como, cuando son precisas, las leyes.

Con la suma de todos estos elementos, en los últimos años se ha progresado mucho en la ciberseguridad. Ha bastado con el compromiso e interés por parte de la sociedad y los organismos reguladores para que la madurez en estos aspectos haya avanzado de forma significativa en una industria que tiene alrededor de un siglo. Así, cabe esperar que llegará el momento en que la preocupación por los aspectos de ciberseguridad no se limite a los titulares en los medios cuando ocurre algún incidente.

Consejos de ciberseguridad para pequeñas organizaciones

Constantemente se publican datos sobre ciberataques, fraudes en línea y también información diversa sobre los riesgos a los que nos enfrentamos en la red. Un informe reciente de Arkose Lab (una las innumerables consultoras de ciberseguridad) afirmaba que el 80% de los ataques de intento de acceso a sistemas empresariales utilizaban credenciales que habían sido robadas en algún ataque previo. Esto es, los atacantes habían conseguido contraseñas a través de algún servicio o sistema sobre el que no tenemos control e intentaban utilizarlas en nuestros sistemas. Una amplia mayoría son ataques automatizados donde no hay intervención humana; esto tiene dos consecuencias: primero, el objetivo no está seleccionado a priori, sino que los atacantes tratan de obtener resultados donde sea posible, y segundo, casi nunca se trata de ataques muy sofisticados. En nuestro entorno, durante los últimos años los ataques de los que más oímos hablar son los intentos de secuestro de información (‘ransomware’).

La conclusión es que cualquiera puede verse afectado por uno de estos ataques y que podríamos protegernos con un poco de esfuerzo.

En todo caso, este no pretende ser un mensaje para asustar a nadie, sino un recordatorio para que nos pongamos (o continuemos) con la tarea de proteger nuestros recursos digitales. La mayoría de los ataques informáticos se basan en tratar de sacar provecho de vulnerabilidades que son conocidas y tienen solución. Nunca hay que perder de vista que la misión fundamental de las empresas es cumplir los objetivos para los que fueron creadas (fabricar, distribuir, vender, prestar servicios…), pero tampoco podemos obviar que si un ciberataque dejara sin funcionar los sistemas informáticos necesarios para realizar estas tareas, no podríamos cumplirlos.

Entre las acciones que deberíamos realizar, probablemente sería una buena idea realizar un inventario de nuestros activos digitales y analizar su estado desde el punto de vista de la seguridad informática: cómo se conectan unos con otros, estudiar la visibilidad que un atacante (externo ¿e interno?) podría tener de nuestra información y qué consecuencias tendría para nuestro negocio la falta de disponibilidad de un recurso…; sin olvidar revisar nuestra política de copias de seguridad, para asegurarnos de que podríamos volver a poner todo en funcionamiento tras un incidente (y en cuánto tiempo; no hay nada más desagradable que descubrir que nuestras copias de seguridad no sirven o que no podemos restaurarlas suficientemente rápido).

En otro informe reciente, esta vez de Accenture, se nos recordaba la actitud correcta para enfrentarse al problema. No se trata de tener tanto miedo que nos impida realizar nuestro trabajo por culpa de las medidas de seguridad (‘obstaculizadores del negocio’), ni tampoco despreocuparnos tanto que cualquier ataque pueda terminar afectándonos de manera grave (‘los vulnerables’). Los ‘ciberdefensores’, nos dicen, tratan de lograr un equilibrio entre ciberresiliencia y objetivos empresariales.

Por lo tanto, debemos reconsiderar nuestra estrategia de protección. Siempre en línea con los objetivos de nuestra organización (no hay una solución única para todos), con un análisis de riesgos y de la propia situación: no se puede pasar de 0 a 100 en un instante. Y sin olvidar que la seguridad es un proceso y depende de cuál sea nuestro lugar en el camino deberemos realizar unas acciones u otras.

Derechos fundamentales y ciberseguridad

La Estrategia Nacional de Ciberseguridad (2019) afirma que la nueva ciberseguridad se extiende más allá de la protección del patrimonio tecnológico para adentrarse en las esferas política, económica y social. En consecuencia, se asume que es parte de la ciberseguridad la defensa de los valores democráticos, de los principios constitucionales y de los derechos fundamentales de los ciudadanos, especialmente de la privacidad, la libertad de expresión y el acceso a una información veraz y de calidad.

Desde esta perspectiva, las amenazas que provienen del ciberespacio se amplían en gran medida. Pueden afectar al propio funcionamiento del sistema democrático, con la utilización de forma ilícita de información personal para condicionar el voto de la ciudadanía, como ocurrió en 2018 con el célebre caso de Cambridge Analytica. También con la propagación de bulos y noticias falsas (‘fake news’) que, combinada con la utilización masiva de agentes (‘boots’) que alimentan perfiles falsos en las redes sociales, pueden servir a los ciberdelincuentes para promover estados de opinión.

Te puede interesar

Las consecuencias de un 'Me gusta' en Facebook

Dime a quién votas y te diré qué 'fake news' te crees

Por su parte, la inteligencia artificial también plantea nuevos retos, como la presencia de sesgos que pueden conducir a la discriminación de determinados grupos. Como respuesta, los derechos humanos desde el diseño constituyen un nuevo paradigma según el cual, los valores democráticos y las leyes en que estos se plasman han de tenerse en cuenta como requerimientos de diseño desde la primera etapa del desarrollo de los sistemas y, luego, durante toda la vida de estos. La ciberseguridad es también poner a las personas y sus derechos en el centro del ciberespacio y aportar transparencia sobre la forma en que este funciona.

La protección de infraestructuras críticas

España dispone de un doble marco legal para la protección de los sistemas informáticos y redes de carácter vital para la sociedad. El primero, que protege los servicios esenciales, está encabezado por la Directiva NIS (2016) y el segundo, que protege las infraestructuras críticas, por la Ley 8/2011. Aunque la lista de estas infraestructuras tiene carácter secreto, se sabe que en 2021 había registrados 250 operadores esenciales y 637 infraestructuras críticas. Un elemento clave son los equipos de respuesta, conocidos como CERT (Computer Emergency Response Team). El CCN-CERT, del Centro Criptológico Nacional, se encarga de los incidentes de seguridad que afectan a las Administraciones públicas, el INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, de los que afectan a las entidades privadas y a la ciudadanía y el ESPDEF-CERT, del Ministerio de Defensa, participa en los incidentes que afectan a la defensa nacional.

En los últimos tiempos, los ataques de ‘ransomware’, en los que la información es ‘secuestrada’, cifrándola, se han convertido en la principal amenaza para los servicios esenciales. Algunos casos son el ataque en mayo de 2021 al oleoducto Colonial, que transporta más de 2,5 millones de barriles al día de norte a sur de EE. UU. y, en nuestro país, el sufrido por el Servicio Público de Empleo Estatal (SEPE) en marzo del mismo año y que tardó más de un mes en darse por resuelto o el más reciente, que paralizó la actividad de 179 entidades de la Comunidad Foral de Navarra.

Fernando Tricas García responsable del programa formativo en ciberseguridad de la Universidad de Zaragoza

José Félix Muñoz Soro investigador de la Fundación Aragonesa para la Investigación y el Desarrollo (ARAID). Laboratorio Jurídico-Empresarial de la Universidad de Zaragoza

-Ir al suplemento Tercer Milenio

Apúntate y recibe cada semana en tu correo la newsletter de ciencia