Los robos de datos no paran, esta vez le ha tocado a Iberdrola, empresa de la que soy cliente. Por supuesto no explican cómo ha pasado, se limitan como siempre a dar excusas vacías.
Ya lo anuncia toda la prensa, no parece nada del otro mundo porque está pasando todos los días, pero la situación es muy grave y nadie asume ni la más mínima responsabilidad.
Es más, envían un email con la notificación, tratando de hacerlo pasar por unos meros consejos de seguridad.
No tienen dignidad, deberían poner bien claro «Nos han robado tus datos personales», que es lo que ha pasado, pero en vez de eso, envían un email diciendo «Consejos y medidas de prevención de ciberseguridad», esto no son consejos, es desfachatez.
Al parecer se gastan mucho más en pagar a los responsables de comunicación y marketing que a los de seguridad informática.
Esto es una epidemia, las empresas no se toman la seguridad en serio porque es caro y no aporta nada de cara al público.
Queda muy bien decir que usas energías renovables o que tienes tarifas muy competitivas pero decir que mantienes los datos de tus clientes seguros no suena tan interesante, porque es lo que se espera de cualquier empresa.
Debería haber una ley que obligara a pagar seguros contra robo de identidad o estafa con el uso de los datos robados. En EEUU las empresas a las que han robado datos, han pagado esos seguros a sus usuarios durante varios años. Es lo mínimo que deberían hacer también en España en vez de enviar un email casposo con consejos baratos y eludiendo la responsabilidad.
Para colmo, según dice El Mundo, estaban avisados de que podían sufrir un ciberataque, lo que lo hace aun más grave. Lo mismo ocurrió cuando avisaron hace un mes, el 3 de marzo de 2022, de que el SEPE podía ser objeto de un nuevo ataque por parte de Rusia, los consejos fueron apagar los equipos, tener cuidado con los emails y cambiar las contraseñas.
¿En serio son estas las medidas que se toman?
En varios ataques graves de los últimos dos años los hackers encendieron los equipos usando Wake-on-NET, apagarlos no sirve si no desactivas el encendido por la red.
¿Cambiar las contraseñas? Hace tiempo que no debería haber contraseñas, los accesos deberían ser con clave pública y doble factor.
¿Tener cuidado con los emails?
Otro error dejar la responsabilidad en los usuarios. En pruebas de phishing se ha conseguido engañar a equipos de programadores que sabían que les iban a hacer esas pruebas y son programadores, pero pretendemos que un administrativo sea capaz de detectar los phishings como medida de seguridad.
Hace tiempo que se deberían haber metido los clientes de correo dentro de una jaula de chroot o un emulador como Qemu para evitar que un payload pueda acceder a los equipos.
El principal problema es que no queda personal asequible con conocimientos de seguridad para configurar los sistemas y los directivos de las empresas no aprueban las partidas necesarias.
Si no se empieza a tomar en serio la seguridad informática los delincuentes van a campar a sus anchas.
Con las administraciones públicas la cosa es mucho más complicada debido a la falta de voluntad política, si gastan dinero en seguridad y no hay ataques será muy difícil hacer ver a los votantes que ese dinero fue bien empleado, no hay un rédito político, por lo que no se asignan partidas presupuestarias para la prevención.
En el ciberataque al SEPE el 9 de marzo de 2021 con el ransomware ‘Ryuk’ sabemos que hubo retrasos durante semanas en las operaciones de este organismo, pero no sabemos si hubo robo de información porque no dijeron nada. Tres meses después, en junio, hubo otro ciberataque al Ministerio de Trabajo.
En ambos casos la excusa es que los sistemas están viejos, como si no fuera posible mantener la seguridad en sistemas antiguos, la solución, la misma que en el ciberataque al ayuntamiento de Jerez el 2 de octubre de 2019, el día 24 de ese mismo mes ya estaban instalando ordenadores nuevos tras una inversión de 192.000€.
Gastar dinero en nuevos equipos puede estar bien para mejorar la operativa pero no tiene nada que ver con la seguridad informática, no se si esto es ignorancia o que aprovechan que el Pisuerga pasa por Valladolid para aprobar una partida para comprar equipos, que sospechosamente siempre tienen un coste por encima del mercado.
Todo hoy en día funciona conectado a Internet y parece que ni empresas ni organismos se están dando cuenta de la importancia de mantener seguros los sistemas informáticos.
Deja una respuesta