Los ciberdelincuentes parecen mantener una ventaja sobre los sistemas de ciberseguridad que buscan proteger a los usuarios frente a campañas de phishing cada vez más sofisticadas, impulsadas por la IA generativa; robos de datos, estafas y otros ciberdelitos. Por ello, los especialistas en informática enfatizan la necesidad de concienciar a la población sobre el valor de sus datos personales y de formar a las personas para que sepan cómo protegerlos ante posibles ciberataques. Pero, ¿cómo resguardar la información que se comparte con terceros?
El ataque cibernético sufrido por el Consorcio Regional de Transportes de Madrid, con evidencias de la extracción de información de bases de datos de titulares de tarjetas de transporte público de la comunidad que contenían datos identificativos (nombre, apellidos, domicilio, correo electrónico, teléfono, localidad y provincia, código postal, entre otros) y de ventas de títulos de transporte, subraya la constante intención de los ciberdelincuentes de hallar una puerta de acceso a los datos de los usuarios y, por tanto, la necesidad de blindar cada punto de entrada.
“Es imprescindible reconocer el valor de nuestros datos y entender que ese valor puede convertirse en dinero si se comercializa, por ejemplo, en la Deep Web”, señala Fernando Suárez, presidente del Consejo General de Colegios Profesionales de Ingeniería Informática (CCII) y representante del colegio profesional gallego. Además del perfilado personal, advierte de que estos ataques permiten a los ciberdelincuentes acceder a contraseñas para servicios diversos (bancarios, redes sociales, etcétera), lo que podría derivar en chantaje para no exponer ciertos datos personales, como fotos o videos.
Según su punto de vista, el ataque evidencia la vulnerabilidad de particulares, empresas y organismos públicos ante los ciberdelincuentes, que han puesto a prueba incluso a gigantes como Google. En 2023, Google informó haber sufrido y sorteado el mayor ataque de denegación de servicio distribuido (DDoS) registrado hasta la fecha. Una década antes, Yahoo había sufrido un robo de datos que afectó a cientos de millones de cuentas y, en 2018, un fallo de seguridad en Facebook expuso datos de decenas de millones de perfiles.
“Casos como este deben impulsar medidas para evitar que se repitan”
Fernando Suárez insiste en que la responsabilidad no recae solo en las entidades públicas. “No hay motivo para demonizar a las instituciones; hoy están expuestas, o lo están tanto como otras organizaciones. Existen numerosas motivaciones para estos ataques y, dada la magnitud de la información o su impacto mediático, las administraciones resultan especialmente atractivas para los ciberdelincuentes”, afirma.
En cualquier caso, los ciberataques a organismos que manejan millones de datos de usuarios suscitan preguntas sin respuesta: ¿Qué persiguen los delincuentes con estos ataques? ¿Qué usos pueden darle a la información extraída? ¿Debe preocuparse la ciudadanía? ¿Es posible que se suplante la identidad para realizar transacciones en nombre de alguien? ¿Cómo proteger los datos que se comparten con comercios, bancos y entidades públicas? ¿Se pueden exigir responsabilidades?
Sobre la última cuestión, Suárez sostiene que podría haber responsabilidad en el robo de datos cuando no se toman las medidas oportunas o no se notifican dentro de los plazos legales. “Sin embargo, lo más importante es aprovechar casos como este para que todos—administraciones, profesionales y usuarios—adopten medidas preventivas y eviten que se repitan”, enfatiza.
La intrusión en una empresa o entidad ajena suele escapar al control de los titulares de los datos, aunque es posible disminuir los daños tomando medidas para reducir la cantidad de información cedida y priorizando a las compañías que demuestran fiabilidad en el manejo de datos. Aun así, reconoce Suárez, no hay garantías absolutas. “Los ciudadanos deben estar atentos y actuar con conciencia para proteger su información, incluso cuando la responsabilidad no sea enteramente de ellos. En casos como este, la protección de la información suele exceder a los usuarios afectados, y, a menudo, se ceden datos a sitios donde la seguridad ya no es la adecuada”, señala.
Motivaciones detrás de los ataques
En cuanto a lo que buscan los ciberdelincuentes con estas intrusiones, las motivaciones son diversas, igual que la tipología de los delitos. “Pueden ir desde el lucro económico, como la venta de datos personales para ataques de phishing o, en escenarios de ransomware, el rescate para restablecer el acceso a la información y la continuidad del negocio; la pérdida de reputación de la entidad atacada; la venganza de empleados descontentos; hasta movimientos de hacktivismo…”, explica Suárez.
Suárez admite que el alcance de las consecuencias de un ciberataque que afecta a millones de usuarios es difícil de calcular. Por ello, ante este tipo de incidentes, recomienda actualizar contraseñas en los distintos servicios y optar por medidas como la autenticación en dos pasos, eligiendo dos de tres elementos: algo que soy (biometría), algo que tengo (token) y algo que sé (contraseña). “También es importante que la normativa obligue a notificar a los posibles afectados ante filtraciones; si se está en esa situación, conviene aumentar las precauciones”, añade el especialista gallego.
En resumen, la protección de datos personales requiere una responsabilidad compartida entre usuarios, empresas y administraciones. Aunque la responsabilidad de proteger la información no siempre recaiga directamente en el individuo, la educación digital y las prácticas de seguridad deben ser prioritarias para reducir el impacto de futuros ciberataques.