«Nas Administracións non se cumpren demasiado os criterios de ciberseguridade»

A ciberdelincuencia non só é un feito, senón que vai en aumento a un ritmo preocupante, unha cuestión que preocupa á cidadanía e tamén ás Administracións, que manexan un inxente volume de datos sensibles e que tamén están expostas aos riscos de internet se non se toman as medidas de seguridade axeitadas. Este campo é o ámbito de traballo de Domingo Guerra (Muros, 1964), economista especializado en ciberseguridade e auditor de sistemas da información. Nesta materia desenvolve o seu labor no Consello de Contas e forma parte dun grupo de traballo especializado integrado no Consejo General de Economistas de España.

—En que consiste o seu traballo?

—Son economista, pero dentro do consello de economistas hai un grupo de traballo ciberseguridade, un organismo que se dedica á transformación dixital, do que formo parte. En Galicia, dentro da área de Corporacións Locais do Consello de Contas o que se fixo foi tomar conciencia da necesidade de revisar cuestións básicas de seguridade porque se estaban dando moitos ataques ás Administracións. Así comezamos coas auditorías das catro deputacións provinciais e o vindeiro ano comezaremos a analizar os grandes concellos galegos.

—A seguridade na rede debe ser unha prioridade para as Administracións nestes momentos?

—É unha prioridade e debe selo. Entre outras razóns porque existe un Esquema Nacional de Seguridade que é de obrigado cumprimento. É un mecanismo que está regulado por lei e que busca que se garantan a confidencialidade, a trazabilidade da información... Unha serie de cuestións básicas de seguridade que deben ter as Administracións.

—Está adecuadamente implantado ese esquema de seguridade?

—De momento ten pouca implantación. En Galicia só a Deputación da Coruña ten o certificado, é a terceira de España, aínda estamos empezando con todo isto. O Consello de Contas considera prioritario establecer unha política se seguridade dos sistemas de información de acordo a uns principios básicos e requisitos mínimos para garantir a seguridade.

—Cales son as principais brechas de seguridade na Administración electrónica?

—Un dos problemas que hai é que as aplicacións ou programas que se descarguen nos ordenadores deben estar vixiadas polos informáticos, que non calquera persoa poida descargar aplicacións. É fundamental que os software utilizados estean revisados e autorizados. Tamén son importantes os privilexios administrativos, é dicir, que haxa restricións, de maneira que só determinado persoal autorizado poida acceder a información sensible como as nóminas, por poñer un exemplo. Ter un rexistro de usuarios como medida de control para saber quen entra onde é importante. Outra ameaza son os virus que entran por correo electrónico ou a través dunha páxina web e bloquean os sistemas informáticos. Hai que ter tamén moito coidado cando se utilizan portos USB, é outra das causas de contaminación máis frecuentes. En definitiva, hai que controlar que os dispositivos e aplicacións que se utilizan son seguros.

—Vostede traballa na elaboración de auditorías en materia de ciberseguridade nas deputacións, que conclusións se extraen desas análises?

—A principal é que non se cumpren demasiado os criterios de seguridade. As deputacións de Lugo e Ourense non teñen as medidas suficientes para preservar os seus sistemas de información. O obxectivo é conseguir un nivel no que se cumpran un 80 % dos criterios, e estes organismos non chegan, andan no 55 %. A conclusión é que teñen un índice de madurez insuficiente para preservar os sistemas de información.

—Se non cumpren as deputación con máis medios é fácil deducir que os concellos medianos e pequenos tampouco.

—Non se poden extrapolar os resultados, pero é unha consecuencia lóxica.

«A cuestión non é se se vai producir un ciberataque, senón cando»

Os ciberdelitos van en aumento e as Administracións non son alleas a esta cuestión. Sen ir máis lonxe, o Concello de Ribeira foi vítima dunha estafa, igual que o de Vilagarcía ou o de Carballo, e aínda que non sempre transcenden publicamente, estes feitos son máis frecuentes do que podería pensarse, como explica Domingo Guerra.

—Hai casos de ataques informáticos contra concellos e outros organismos públicos, que tipo de delitos son os máis habituais?

—Hai dous tipos de delincuentes informáticos: os hackers que actúan pola súa conta e as organizacións criminais. O que fan é buscar unha Administración ou unha empresa obxectivo e atacan buscando ou ben datos e información, ou ben bloqueando os sistemas informáticos para pedir un rescate. É moi frecuente o secuestro dos sistemas mediante ransomware e o roubo de información. Moitas veces non transcenden porque, ademais, causan un dano reputacional importante.

—Nese ámbito, no que se manexan datos moi sensibles, a información é máis valiosa ca o diñeiro?

—Por suposto, hai un mundo de posibilidades. Simplemente un padrón de vehículos ten moitísima información moi valiosa para as empresas á hora de ofrecer produtos; ou os datos do IBI, é unha ferramenta moi valiosa para determinados interesados. Por iso desde o Consello de Contas se está facendo este traballo de revisión do funcionamento interno. Somos pioneiros, empezaron en Valencia e nós somos os terceiros de España en fiscalizar este tipo de cuestións e é todo un reto. É un mundo moi novo e amplo, e a cuestión non é se se vai producir un ciberataque, senón cando se vai producir.

—Teñen os concellos medios para facer fronte a esta ameaza?

—Non teñen moitos mecanismos. A maioría teñen un informático que fai un labor de reforzo da seguridade das contrasinais, pero pouco máis, están en precario. O que poden facer é rastrear para ver se hai vulnerabilidades e van bloqueando e facendo limpeza dos sistemas.

---

---

---