«Quizá sea por el nombre, algo feo; o porque no se trata de una cuestión tangible. Lo que parece claro es que, todavía, en muchos ámbitos de la sociedad la ciberseguridad no se toma con la debida cautela. Un ejemplo son los hospitales y centros sanitarios, que se han convertido en algo muy goloso para toda clase de delincuentes tecnológicos. Más, cuando algunos de ellos todavía usan Windows 95».
Este párrafo pertenece a un artículo publicado en SABEMOS hace un año. El texto contaba lo sucedido durante la presentación del estudio ‘Ciber-Pandemia’, elaborado por Panda. Durante la presentación del estudio, el director técnico de PandaLabs, Luis Corrons, comentó algunas situaciones sobre el estado arcaico, a nivel tecnológico y de seguridad, en algunos centros sanitarios.
Confesaba haber analizado máquinas para la toma de constantes vitales de los pacientes que estaban soportadas -posiblemente- por Windows 95. O, en el mejor de los casos, por Windows 2003. Y no fueron las únicas. Corrons, sin dar nombres concretos, habló de un centro sanitario que tenía infectado parte de su sistema informático con un virus, pero que al no ser muy dañino ni robarles datos, han decidido que prefieren no tocar nada y que siga en sus equipos.
¡Y ahora nos sorprendemos! Durante estos días hemos asistido al primer gran ataque masivo perpetrado por ciberdelicuentes a nivel global. Algunos han descubierto por primera vez ciertos términos, otros se han rasgado las vestiduras. Pero todo estaba escrito. Solo había que haberlo leído.
No hay protección que valga
También en este medio, hace casi dos años, el director de Seguridad de Entelgy, Félix Muñoz, era muy claro sobre la seguridad en una empresa. “Hay elementos que las empresas todavía no llegan a entender, y es que la seguridad al 100% no existe, todas las empresas son atacadas, lo importante es saber detectarlo, pero si un equipo de hackers quiere entrar en una organización solo es cuestión de tiempo”.
Por eso, al margen de los chascarrillos propios de estos días, lo importante, lo verdaderamente esencial, sería determinar hasta qué punto han sido expuestas las compañías atacadas. Nuestros datos. La información confidencial. Pero todo eso al final cae en el olvido a golpe de meme e información atropellada.
Además, cae en el olvido de manera injusta. Y quizá, lo que molesta, es que muchos medios llevamos predicando en el desierto sobre estas situaciones. ‘El ‘internet de las cosas’ es un quebradero de cabeza para la ciberseguridad‘ o ‘Un empleado despistado puede ser más dañino que un ciberdelicuente‘.
Lo que ahora parece una novedad, lógicamente, no lo es. Lo malo, como sucede con demasiadas situaciones, es que pasados una serie de días caerá en el olvido. Principalmente porque hay muchos intereses en juego. Tanto públicos como privados. ¿Sabemos qué datos han conseguido de las compañías atacadas? ¿Por qué no exigimos claridad en el asunto?
Esto solo es el inicio.