Hace tiempo fue la Agencia Tributaria. Esta semana ha sido Endesa. ¿Quién será mañana? Como reveló Endesa Energía, este lunes la empresa sufrió un ciberataque del que se han obtenido nombres, DNI y, en algunos casos —no especifican cuántos— hasta números de cuentas bancarias. Lo poco que se sabe es lo que han hecho público, así que no se conoce el verdadero alcance.
Cabe recordar que la legislación española y europea les obliga a ofrecer una explicación en menos de 48 horas. ¿Por qué no ha sido capaz de proteger la privacidad de sus clientes? El experto Sancho Lerena, CEO de Pandora FMS, cree que, a menos que haya una filtración, jamás se sabrá. Esto es, no se conocerá nunca cómo ha entrado «el malo». «Es posible que ni Endesa lo sepa», apunta. Pero sí se pueden dar varias hipótesis.
Lerena expone que, al producirse el robo de los números de cuentas bancarias, es probable que los atacantes hayan accedido a la base de datos de clientes. Esa información no se localiza en cualquier registrador. Endesa gasta millones en ciberseguridad pero, al parecer, incurre en el mismo riesgo que otras grandes empresas. «Han debido entrar en una de las decenas de empresas subcontratadas con las que trabajan, ubicadas en otros países, y donde tienen bases para quejarte de que te han cobrado mal la factura», supone.
Uno de los problemas de subcontratar de forma masiva es la pérdida de control. «Puede que me esté aventurando, pero tiene todo el sentido. O han entrado hasta la cocina, a la central, o desde una subcontrata».
La excesiva confianza en la subcontratación
Según Lerena, cada vez es posible encontrar más fallas en la tecnología de seguridad —a su vez, es más complicada de llevar a cabo— y a eso se suma la excesiva confianza en los terceros. Pone un ejemplo sencillo: las ciudades antiguas tenían dos murallas, la exterior y la interior. Fuera lo que menos importara; dentro, el pueblo y, ya en el centro, lo vital. Pero Endesa no es una ciudad medieval.
«Si gestionas por separado suministro, soporte, legal, cliente… es más complicado y más costoso protegerse. Y si encima subcontratas la seguridad a terceros… pasa lo que pasa», considera Lerena. Subcontratas, tecnología «complicada», mayor exposición a datos propios en Internet. Es el cóctel perfecto para un malo. Y va a ir a más.
Según el INCIBE, los ciberataques a empresas tan sensibles como Endesa se están multiplicando: aumentaron en un 43 % el último año. Un dato un tanto exagerado para Lerena, pero admite: «Me lo creo, ojo, hay cada vez más vulnerabilidad. También es cierto que se ha incrementado la persecución hacia empresas que no informaban. Años atrás existía menos concienciación y el aumento de auditorías y leyes ha hecho que ya no sea tan fácil esconder estos ataques», explica.
La solución para el experto es clara: educación a la población y mayor inversión en formación y personal propio. «Para el gerente de gestión o el CEO es mucho más fácil que, si ocurre algo, se ocupe otro; que la culpa no recaiga en ellos. Hay que dejar de subcontratar todo», asegura.
Un problema público
Pero si Endesa no es una ciudad medieval, ¿cuántas murallas deberían tener? «Múltiples. El caso de las grandes corporaciones es complicado, ya que la arquitectura de sistema suele ser única. Sin embargo, hay otro problema. En ayuntamientos, la ley exige que tengan seguridad para sus datos, pero muchos no pueden por falta de presupuestos».
Este problema que se replica en lo público vuelve al mismo camino: la subcontratación. Sobre el papel pueden pasar la prueba —al final, la ley obliga—. Pero siempre irán a contratar al más barato y que les pongan el sello, comprometiendo al ciudadano.
«Endesa es hoy el paradigma, pero mañana será otro. Es un problema de madurez tecnológica y ocurre en todo el mundo». De todos modos, el CEO de Pandora FMS confía. «En los 70 no se pensaba en la seguridad de los coches, excepto las marcas de gama alta. Hoy, hasta el vehículo más barato se preocupa de ello. Es cuestión de tiempo y de concienciación».
Las consecuencias para los afectados
Y es que la filtración de datos personales —ni hablar de números de cuentas bancarias— no es pasar la bola o que pongan un sello que aprueba que todo está securizado. Casi todos los servicios se están digitalización. Es más rápido y sencillo… Aunque hay consecuencias.
«Toda nuestra información está en Internet. Cuanto más nivel de detalle, es más probable que alguien nos intente timar. Te puede llamar un tipo que dice que es de Endesa, con todas tus claves, tus números y tu DNI y ¿cómo no te lo vas a creer? Ese es el verdadero problema de las filtraciones como las de Endesa», analiza sobre dichas consecuencias.
En definitiva, Lerena advierte: «Estoy casi seguro de que si unes todas las bases de los servicios que solemos utilizar por Internet, la gran mayoría de los españoles tiene, como mínimo, su nombre y su DNI a merced de los ‘malos’. No hay concienciación, ni en empresas ni en la administración ni en la población».
Y estas filtraciones son las que se conocen. Los nombres y los DNI no cambian, por lo que ocurre un efecto acumulativo. De ahí que hace tiempo fuera la Agencia Tributaria y tantos otros y esta semana Endesa. ¿Quién será mañana?
«Inversión, información, concienciación, educación. Ese es el camino», sentencia Lerena.
