Cierto, ¿según las noticias de ayer por la mañana? ¿Falso, según la negación difundida directamente por los magos informáticos de Sogei ayer por la tarde? El presunto ataque hacker a la Agencia Tributaria, con el ritual habitual de amenazas de difundir datos sustraídos a falta de un rescate sustancial, es un cerrojo más a la seguridad de los grandes sistemas informáticos que hoy poseen la esencia de nuestras vidas. Sucede, no hace falta negarlo. Incluso los grandes inclinan la cabeza y pagan, dicen los expertos. ¿Cómo puede suceder esto? ¿Puede ser vulnerable incluso un sistema teóricamente sobreprotegido como el de la torre de control fiscal italiana, creada y administrada por Sogei, un estimado gigante público de TI? Corrado Giustozzi, uno de los principales expertos italianos en ciberseguridad, periodista, escritor, divulgador, pionero de las primeras soluciones integradas en el mundo de la web, responde a FIRSTonline.
¿Hay algún sistema informático expuesto o alguien puede considerarse seguro?
Lo cierto es que todos los sistemas informáticos están expuestos a un ataque. Su nivel de seguridad solo puede ser relativo. Si tengo que defenderme de un compañero de trabajo, las barreras pueden ser relativamente bajas, si nos ataca un servicio secreto, las barreras deben ser mucho más altas. Aquí también está la eterna lucha entre tecnologías de ataque y defensa cada vez más sofisticadas. Nada es seguro, también porque hay un factor al acecho que no es fácilmente controlable: el error humano. El problema muchas veces está en las personas, en los comportamientos, en el descuido que abre las brechas. No me refiero al problema específico del ataque a la Agencia Tributaria, real o presunta. Los que se defienden siempre están en desventaja.
¿Cómo está la Agencia Tributaria?
Es cierto lo que dije. El coche es sofisticado. Se gestiona a los mejores niveles. Pero eso no es suficiente para mantenerlo a salvo de cualquier posible ataque.
¿Hay ejemplos a seguir para elevar los niveles de seguridad de todos modos?
Difícil de responder. Pensemos en las grandes instituciones que se ocupan de la seguridad y descubrimos que incluso estos temas considerados inexpugnables en realidad no saben. ¿Un ejemplo? Hace unos años una organización criminal, porque de eso se trata y considero impropio llamarlos hackers, violó el sitio de la CIA robando datos y aplicaciones que luego incluso fueron utilizadas para desarrollar nuevo malware.
¿Qué más se puede o se debe hacer para defenderse, para al menos contener el riesgo?
Se trata de encontrar el mejor compromiso entre necesidades y elecciones también muy diferentes entre sí. Pensemos en lo que ha pasado y está pasando en las administraciones locales y en sus relaciones con la administración pública: se teme que los pequeños municipios no sean capaces de gestionar sus sistemas informáticos y hay planes para centralizar la gestión de sus recursos en unos pocos nacionales centros para controlarlos y protegerlos mejor. Pero aquí está la otra cara: todos los datos están centralizados en unos pocos lugares. En resumen, todos los huevos en una canasta. Con el resultado de crear un carril preferencial para aquellos que quieren atacar estos sistemas, que pueden concentrarse en unos pocos núcleos grandes aunque teóricamente estén mejor protegidos.
¿Es mejor volver a parcelar los recursos de TI?
No. Este es precisamente el ejemplo del mejor compromiso, en todo caso no decisivo: centralizar es el mal menor, aunque no sea la solución perfecta.
Nunca pagues, recomiendan las autoridades. Pero en caso de ataque, muchos ceden, tal vez negando haberlo hecho. ¿Cómo podemos estar seguros de que las víctimas no pagan el rescate, tal vez disfrazándolo como un consejo para limpiar los sistemas de la piratería?
Problema gigantesco, que tiene obvias analogías con el de los secuestros. Con la diferencia de que aquí es realmente difícil comprobar si se ha pagado o no el rescate de los datos sustraídos. Hay monederos bitcoin, triangulaciones, precisamente el enmascaramiento con consultoría de desinfección. En los días calurosos de los secuestros, se aprobó una ley de congelamiento de bienes como elemento disuasorio del gran negocio de los secuestros. Algunos piden un estándar similar para el sector de datos informáticos. Me temo que es difícil de implementar. ¿Cómo bloquear los fondos de una gran empresa sin inmovilizarla? Plantearía el problema de otra manera: pagar el rescate es el último recurso y, en cualquier caso, no hay que estar desprevenido para esta eventualidad. Una eventualidad que, sin embargo, debe tenerse en cuenta. Un poco como lo que ocurre, por ejemplo, para la prevención de incendios. Porque muchas veces las prácticas se limitan a la prevención y no a la preparación y planificación de las conductas a adoptar en caso de un ataque exitoso. Y aquí se conocen las pautas pero no todos las aplican con el debido cuidado, comenzando por una estrategia de respaldo de datos efectiva y continua. Lo que permite restaurarlo en cualquier momento y en cualquier lugar. De este modo, los datos se guardan, aunque sean seguros. Eso sí, queda el problema de la difusión por parte de quien los robó, que es la técnica utilizada por los delincuentes en los últimos casos de hurto.
Precisamente. ¿Qué hacer?
La única medida de seguridad factible es el uso de la criptografía, una operación que no es simple y que muchos invocan apresuradamente como una panacea. Aquí también, la seguridad está lejos de estar garantizada. Si el disco duro es robado en ese momento, si está bien encriptado es prácticamente inviolable. Pero si roban datos que están encriptados en su fase operativa junto con su clave de encriptación, que es muy frecuente, la seguridad no está garantizada en absoluto.
