Un día cualquiera, acude usted a renovar el DNI pero un virus informático ha atacado los sistemas de la Policía Nacional y ha bloqueado todos los datos. Podría parecer ciencia ficción, pero lo sucedido el viernes 12 de mayo, con un ciberataque sin precedentes a nivel mundial, ha demostrado que es absolutamente posible.
En perspectiva, en nuestro país, los efectos no han sido tantos como la virulencia del ataque podía hacer prever. En particular, las administraciones públicas han salido bien paradas. En el recuento de daños nos encontramos con que, a pesar de que el fin de semana los especialistas trabajaron intensamente, el lunes las órdenes de cortar el acceso a internet y a los correos electrónicos fueron la tónica habitual en muchos casos. Esta situación pone de relieve distintas vulnerabilidades de especial gravedad cuando los datos objeto de ataque son públicos.
La primera, la más evidente, la paralización de los servicios públicos. En un sector público, plenamente digital desde octubre de 2015, la imposibilidad de acceder a los equipos y a internet supondría la suspensión de la actividad pública, o, en el mejor de los casos, muchas dificultades. Es el caso, por ejemplo, de la Administración de Justicia que, además de volver al formato papel, también suspendía vistas y videoconferencias programadas con muchos meses de antelación.
En segundo lugar, la imposibilidad de los ciudadanos de ejercer sus derechos. El bloqueo de los equipos impedía la tramitación electrónica en multitud de procedimientos, el ejercicio de derechos, pero también el cumplimiento de precisas obligaciones legales. En este caso, por ejemplo, ante la finalización de plazos de convocatorias públicas abiertas, fue necesario establecer las correspondientes prórrogas para evitar mayores perjuicios.
Y, en último lugar, el peor de los supuestos, el comercio de nuestros datos. Las Administraciones disponen de un gran un número de datos sobre nosotros, prácticamente toda nuestra vida. Las nuevas tecnologías han introducido nuevas técnicas y han abierto diferentes posibilidades, derivadas, en muchos casos, del Big Data, que convierten toda esta información, esos datos, en el oro del S XXI y en objeto de deseo para su utilización, legal e ilegal. La obligación de la administración es proteger esos datos.
Apliquemos estos riesgos al caso más ejemplificativo, el de los hospitales británicos. Hasta dieciséis centros se vieron afectados por el ciberataque y, aunque según la información ofrecida por las autoridades apunta a que los datos de los pacientes no se vieron comprometidos, las consecuencias reales, en términos de daños, son imprevisibles e incalculables. Pensemos por un instante en el diseño de nuestra administración, interconectada a través de una red, la red SARA, que implica el peligro latente de que la infección de cualquier equipo se propagaría por esa red. Pagar el rescate no es una opción, y aún pagándolo, nada ni nadie garantiza su recuperación, ni siquiera su integridad.
Por tanto, la pregunta es ¿Se está haciendo todo lo posible para evitar estos riesgos? La respuesta es no. A pesar de la existencia de numerosos estudios advirtiendo de los peligros y la existencia de un claro marco legal, el nivel de cumplimiento no es todo lo deseable que podría y debería ser, dada la gravedad del tema. Las administraciones están expuestas a vulnerabilidades que comprometen la seguridad de datos personales y ponen en riesgo información sensible de todos los ciudadanos. Tan sólo un mes antes, se conocía un ataque de similares características pero menores proporciones, de un cibersecuestro, esa vez con éxito, el del Ayuntamiento de Rialp.
Wanna Cry ha sido sólo un aviso. Porque el problema no es únicamente el secuestro de los datos. El auténtico peligro es la pérdida de estos datos, es más, el simple acceso ilegítimo a los mismos. Análisis basados en el Big Data y las infinitas aplicaciones de la inteligencia artificial exigen que nos tomemos muy en serio este aviso. La seguridad de los datos es la seguridad de los ciudadanos y una garantía en la prestación de los servicios públicos. Si no se adoptan medidas, la próxima vez, y seguro que habrá una próxima vez, puede ser mucho peor.
Artículo de opinión publicado en Cinco días el 29/05/2015
Más información en concepcioncampos.org
