Ciberseguridad en el sector público: cómo proteger los datos de los ciudadanos

Los datos de ciberseguridad en el sector público confirman que se invirtieron 214,6 millones de euros en 2022 para proteger los intereses de los ciudadanos. Se repasan cuáles son las amenazas más peligrosas y las medidas más adecuadas para evitar los ciberataques a las instituciones del Estado.

Las principales amenazas de ciberseguridad en el sector público

Según el informe del INCIBE sobre el estado de la ciberseguridad en España, los problemas de seguridad más comunes son tres. La primera es el phishing o suplantación de identidad de la institución infectada. La segunda es el ransomware, un virus que exige un rescate económico para recuperar la información secuestrada. Y la tercera es el malware destinado al robo de la información personal del contribuyente.

Otra amenaza grave es la posibilidad de utilizar los datos para el ciberespionaje, la criptominería ilegal o el ataque a la cadena de suministro de los programas utilizados. Se completan las amenazas con otras como:

• La fuga de datos. Se estima que la fuga de datos se produce por el descuido de los funcionarios con dispositivos como tabletas, ordenadores portátiles o teléfonos inteligentes que facilitan el robo de información. Especialmente, si se conectan a Internet utilizando una red pública de wifi.
• La falta de corrección de las vulnerabilidades observadas. Según una encuesta realizada por la consultora Gartner, un 56 % de los organismos oficiales comentan que los procesos manuales lastran su adaptabilidad. Un 51 % asegura que afrontar la corrección de incidencias en tiempo real es una labor casi inasumible debido a la acumulación de casos.

Ambos ejemplos exigen la toma de medidas específicas que contribuyan a minimizar los riesgos y, sobre todo, a evitar que el usuario final se vea afectado. Al mismo tiempo, cada víctima podría demandar al Estado con el consiguiente gasto para las arcas públicas que conllevaría el pago de las indemnizaciones.

Medidas de ciberseguridad para proteger los datos de los ciudadanos

Una de las medidas necesarias para mejorar la ciberseguridad en el sector público es crear marcos eficaces para todo el país. Además, es importante contar con el desarrollo de una política de ciberseguridad con unas pautas estipuladas. La meta es crear un marco que aporte una visión más estratégica y mejor adaptada al alto nivel del ciclo de vida de la incidencia en ciberseguridad. Ello convierte en esencial factores como que:

• La organización entienda cuál es el riesgo real de ciberataque y de fraude. Independientemente de sus características, la obtención ilegal de datos personales puede terminar generando un daño irreparable.
• Se apliquen las prácticas más recomendables para evitar el problema. Por supuesto, la formación previa de los funcionarios es imprescindible para agilizar el proceso.
• El riesgo se pueda administrar de forma más recomendable para mejorar la seguridad de los servicios e infraestructuras más sensibles a un posible ataque.
• Esta medida está alineada con la Estrategia Nacional de Ciberseguridad, que contempla la creación de un Consejo Nacional de Ciberseguridad como órgano consultivo y asesor del Gobierno en esta materia. La política inicial ha de implementarse con nuevas investigaciones que faciliten la puesta en marcha de estrategias más recomendables. Protegerse ante posibles amenazas, y también ante las reales, es sinónimo de éxito.
• Se conciencie a los empleados de la importancia de la ciberseguridad. La mayoría de la filtración de datos se produce por un descuido del funcionario. La formación sobre los metadatos y su eliminación y también sobre las novedades del sector de la seguridad cibernética es de enorme utilidad.
• Los actos públicos deben contar con un ciberseguro. Un ciberseguro «es una póliza que cubre los daños económicos y legales derivados de un ciberataque, como la pérdida o el robo de datos, la interrupción del servicio o la responsabilidad civil frente a terceros». No siempre es posible mitigar totalmente el daño que produce un ataque. Por ello, es imprescindible firmar una póliza de seguro cibernético que proteja a los usuarios de los sitios web que pudieran ser atacados.
• La prevención sea el denominador común de todas las acciones. El proceso comienza con una copia de seguridad diaria y sigue con la actualización de los programas. Al mismo tiempo, hay que evaluar la vulnerabilidad de la red y diseñar una estrategia de respuesta adecuada para cada amenaza.

Según el informe del Centro Criptológico Nacional (CCN), en 2020 se registraron 73.184 ciberincidentes en España, un 70% más que en 2019. Además, se observó un aumento de la sofisticación y la diversificación de las técnicas empleadas por los ciberdelincuentes, como el ransomware, el phishing o los ataques dirigidos. La meta es ir siempre un paso por delante de los ciberdelincuentes para protegerse mejor ante sus posibles acciones.

Las medidas del Gobierno

No todos los ataques se centran en el robo de datos de los usuarios. También existe la posibilidad de sufrir un ataque a la estructura del Estado. Ante el aumento de las amenazas cibernéticas, el Gobierno ha adoptado varias medidas para mejorar la seguridad de sus sistemas informáticos y sensibilizar a sus empleados. Entre ellas, destacan las siguientes:

• En noviembre de 2020, el Gobierno adjudicó a NTT Data Spain un proyecto de divulgación y sensibilización de ciberseguridad por 6,75 millones de euros. El objetivo era formar e informar a los funcionarios públicos sobre los riesgos y las buenas prácticas en materia de ciberseguridad.
• En diciembre de 2020, el Gobierno abonó a SCC 4,6 millones de euros para que adquiriese software de Microsoft. El objetivo era mejorar la seguridad del Ministerio de Defensa, uno de los organismos más sensibles y expuestos a posibles ataques.

Sin duda, la contratación de un servicio de ciberseguridad externo es una excelente medida para controlar mejor cualquier ataque. Basta con repasar los datos oficiales para comprobar el aumento de los ataques recibidos por el Estado. Se repasan algunos datos importantes:

• El año 2022 fue el peor de la historia. Se produjeron 2489 ataques graves, un 21 % más que en 2021.
• La media de los ataques fue de 207 casos al mes.
• Un 37 % de los ataques fueron a través del uso de malware. Un 12 % tuvo como origen alguna vulnerabilidad en el sistema. Tanto el phishing como la ingeniería social lograron otro 12 % de los casos respectivamente.
• Un 12 % de los ataques se produjeron contra las instituciones sanitarias.
• Un 8 % se produjo contra instituciones educativas.

Los datos de posibles ataques al Ministerio de Defensa o a la propia presidencia del Gobierno no son una excepción. En 2022 los delincuentes consiguieron alterar el contenido de la página del Estado Mayor de la defensa. Todo quedó en una anécdota, pero el caso supuso un refuerzo de las políticas de seguridad que está dando sus frutos.

Así, la ciberseguridad en el sector público es tan imprescindible como en el sector privado. No en vano, en marzo de 2023 se produjeron dos ataques a la Agencia Tributaria mediante la técnica de phishing. Sucede lo mismo con Correos y con la Seguridad Social en una periodicidad que comienza a ser inasumible. Solo la toma de medidas eficaces provocará como resultado la protección total de las instituciones y la seguridad de los contribuyentes.