Si alguna vez has estado en una oficina gubernamental –por ejemplo las oficinas del SEPE, el ayuntamiento de tu ciudad o cualquier otra–, te habrás dado cuenta de que no disponen precisamente de la tecnología más avanzada. Se podría argumentar que en realidad no la necesitan para sus tareas de administración, y hasta cierto punto […]
Dirigentes Digital
| 26 abr 2023
Si alguna vez has estado en una oficina gubernamental –por ejemplo las oficinas del SEPE, el ayuntamiento de tu ciudad o cualquier otra–, te habrás dado cuenta de que no disponen precisamente de la tecnología más avanzada. Se podría argumentar que en realidad no la necesitan para sus tareas de administración, y hasta cierto punto esto puede ser cierto. Pero lo que resulta inexcusable es el sinfín de hackeos que están sufriendo durante los últimos años a causa de una pobre inversión en ciberseguridad y de la negligencia de su personal.
Uno de los ejemplos más claros de esto tuvo lugar precisamente en el SEPE, y, además, en un momento crítico. Durante los primeros meses de 2021, con la pandemia global todavía coleando y con millones de personas subsistiendo únicamente gracias a las ayudas proporcionadas por este organismo, un ataque de ransomware bloqueó los sistemas informáticos de todas las oficinas del servicio público de desempleo.
Hubo que esperar demasiado tiempo para recuperar el acceso a estos dispositivos y restablecer el flujo de las ayudas a las personas en situación de desamparo. Y, lo que es peor, probablemente la resolución de este ciberataque se produjo mediante el pago del rescate solicitado por los hackers, que podría haber ascendido a decenas de millones de euros. La alternativa era simplemente dejar sin sustento a millones de personas en un contexto en el que apenas era posible encontrar trabajo debido a la pandemia.
A ojos inexpertos, puede parecer que el hackeo se podría haber evitado mediante la instalación de antivirus más sofisticados en los ordenadores del SEPE. Y lo mismo con muchos otros hackeos que han afectado a oficinas administrativas como el Ministerio de Trabajo, la Universidad Pompeu Fabra o el Hospital Clínic de Barcelona. Sin embargo, con frecuencia estos hackeos tienen su origen en negligencias de otro tipo, y, en este sentido, son especialmente preocupantes las contraseñas tan pobres que se usan en la administración pública.
Utilizar contraseñas complejas y únicas es esencial para el buen mantenimiento de cualquier red informática y cualquier cuenta online, como las principales empresas de ciberseguridad nos han venido repitiendo durante los últimos años. Sin embargo, en las oficinas del SEPE era frecuente la reutilización de contraseñas, y, además, estas claves acostumbraban a ser muy sencillas para facilitar su uso entre el personal. En este tipo de oficinas no es raro encontrar combinaciones de usuarios y contraseñas como ‘Administrador’ y ‘Administrador’.
Y no solo eso. En muchas oficinas públicas existe la costumbre de imprimir las contraseñas y pegarlas en una columna o un corcho en cualquier pared para facilitar su consulta por parte de cualquier empleado o empleada de la institución. Cualquier persona con algo de vista podría inventar cualquier pretexto para situarse momentáneamente detrás de un escritorio y acceder a todas estas claves, cuando no se encuentran sencillamente expuestas a la vista de todo el mundo. Sí. Como lo lees. Esto se ha dado y se sigue dando en muchas oficinas de España.
Considerando el enorme precio que puede tener un ataque de ransomware, capaz de hacer que millones de euros de las arcas públicas terminen en las manos de los hackers con cada ciberataque, resulta incomprensible que todavía no se hayan adoptado medidas capaces de poner freno a esta sangría de hackeos. El coste de estos ciberataques se podría destinar al levantar defensas de ciberseguridad robustas en todas las oficinas del país.
Buena parte de estas medidas deberían consistir en cursos intensivos de formación del personal. Como veíamos al comienzo, muchos ciberataques ni siquiera necesitan valerse de una tecnología de última generación. A los hackers les basta con algo de ingeniería social para hacerse con las contraseñas que pretenden hackear, y, en algunos casos, ni siquiera eso. Probar con ‘Administrador’, ‘123456’ o ‘Contraseña’ puede ser más que suficiente para hackear todo un ministerio o una red de oficinas gubernamentales como la del SEPE.
No se puede pedir a los empleados de estas oficinas que se conviertan en especialistas de ciberseguridad de la noche a la mañana. Y no es necesario que estas oficinas tengan sistemas de seguridad digitales tan robustos y tan caros como los de Microsoft o Google. Pero sí que se hace necesario formar al personal y asegurarse de que los servicios informáticos que operan en estas oficinas se aseguren de implementar contraseñas robustas y protocolos de actuación seguros para garantizar la protección de los datos –y el dinero– de todos los españoles.
