¿Estamos preparados para los riesgos del mundo conectado?

El viernes 12 de mayo por la mañana saltaban las primeras alarmas: Telefónica había sufrido un ciberataque. Un virus informático había infectado los equipos de varios empleados de la sede central de la compañía, en Madrid. El Instituto Nacional de Ciberseguridad confirmaba poco después que había otras compañías españolas afectadas. Era solo la punta del iceberg.

A lo largo del día se descubría que el hackeo a las empresas en nuestro país era parte de un ciberataque global con el software malicioso WannaCry. Este es un malware de tipo ransomware que funciona aprovechando una vulnerabilidad del sistema operativo para secuestrar el equipo, encriptando los archivos y exigiendo un pago en bitcoins para poder desbloquearlo. El INCIBE cifraba en más de 230.000 los equipos infectados entre el viernes y el lunes, con casos en 179 países distintos. Eso sin contar el breve repunte del mismo lunes, cuando se registraba otra oleada de ataques, principalmente en Asia.

Entre los afectados hay algunos de tanto renombre como la propia Telefónica. Están, por ejemplo, el servicio de mensajería FedEx, la aerolínea LATAM Airlines, las automovilísticas Renault y Nissan o la petrolera PetroChina, además de varias universidades y otras organizaciones. De los casos más destacados, el del Servicio Nacional de Salud de Inglaterra: el ataque provocaba que varios hospitales de la red pública sufriesen retrasos en la atención y el tratamiento a pacientes, obligando incluso a cancelar sesiones de quimioterapia.

Este último ejemplo pone el foco en una cuestión importante: las consecuencias que puede tener un ciberataque de estas características para el ciudadano de a pie, que tantas veces pasan desapercibidas al hablar de estas amenazas. Que te retrasen una cita en el médico, que dejes de recibir un tratamiento de tanta importancia como una tanda de quimio, refleja mucho mejor la relevancia que la digitalización de los servicios y su consecuente exposición a los riesgos de la red tienen en el día a día que cualquier noticia o informe.

Volviendo al funcionamiento del WannaCry, la vulnerabilidad aprovechada estaba en equipos con sistema operativo Windows. Se trata de un exploit desarrollado por la NSA que un grupo de hackers habían filtrado hace un mes y para el que Microsoft había lanzado un parche de seguridad, que muchos equipos que no tienen automatizadas las actualizaciones del sistema no habían aún instalado. Una muestra de que, tanto a nivel individual como corporativo, hay cierta tendencia a olvidar que la prevención es tan importante como la detección al hablar de ciberseguridad, si no más.

Una llamada de atención urgente

La evolución hacia una sociedad conectada, que confía aspectos básicos de su mantenimiento a tecnología en red, la vuelve susceptible a riesgos hasta ahora desconocidos. El hackeo de cámaras de videovigilancia permite acceder al interior de las viviendas. Los altavoces inteligentes que recogen nuestras voces pueden hacer que nos escuchen oídos externos. Solo un vehículo conectado en las manos equivocadas (manos digitales, se entiende) podría causar daños potencial y físicamente graves. Por no hablar de qué puede pasar si se accede a elementos en infraestructuras básicas.

Entonces, ¿cómo enfrentarse a estos riesgos? El presidente de Microsoft, Brad Smith, advertía al hilo del WannaCry que los gobiernos deberían tomarse este ataque como “una llamada de atención”. Smith hablaba de la necesidad de una acción colectiva urgente entre el sector tecnológico, usuarios y gobiernos, una necesidad que se vuelve tanto más acuciante con la implantación del Internet de las Cosas.

Es cierto que, como tantas veces cuando se habla de la tecnología, la situación cambia continuamente y a una velocidad muy rápida. Las amenazas que hoy proliferan las redes mañana están obsoletas. Ante eso, parece acertada la propuesta de Smith de una acción colectiva. Empresas que trabajen con gobiernos y ciudadanos, desarrollando herramientas y parches pero también implantando entre todos una cultura de ciberseguridad que fomente la transparencia por parte del gobierno y una estrategia preventiva por los usuarios. En resumen, un mayor grado de concienciación y trabajo, que sirva para minimizar los peligros y disfrutar de los beneficios que la sociedad conectada tiene por ofrecer.