A vueltas con Pegasus: el dilema de la ciberseguridad

Artículo "A vueltas con Pegasus: el dilema de la ciberseguridad" de Victor Almonacid en la Sección "La Nueva Administración" de la Revista Tecnología y Sentido Común #TYSC

Nadie se toma en serio la ciberseguridad. La tristemente famosa aplicación Pegasus, no es más que un spyware (eso sí, muy eficaz) que se instala en teléfonos móviles aprovechando alguna vulnerabilidad del sistema. Una vez infecta el dispositivo, lo convierte en una herramienta de acceso total y espionaje remoto. La principal virtud de este programa de vigilancia es que puede utilizar “tecnología de cero clic”, es decir, no necesita que la víctima realice ninguna acción consciente o inconsciente para dejarse infectar. Pero esto no significa que dicha “víctima” no sea responsable de haber contribuido a crear, directa o indirectamente, la aludida brecha de vulnerabilidad.

El caso es que, casi simultáneamente a la aparición de las noticias en las que se pone tranquilamente de manifiesto que ha estado comprometida la seguridad de España (un año antes, por cierto), se aprueba el nuevo Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo), ya completamente integrado con disposiciones de ámbito europeo, como el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y la Directiva NIS (Security of Network and Information Systems); y también con las de ámbito nacional, como la Ley Orgánica de Protección de datos y las famosas leyes 39 y 40 de 2015. Además, las normativa ENS debe interpretarse conjuntamente con las diversas Estrategias Nacionales de Seguridad (la vigente es de 2021), el Plan Nacional de Ciberseguridad (2022), el Plan de Digitalización de las Administraciones Públicas 2021-2025 y la agenda España Digital 2025. Este es el marco normativo de la seguridad y la ciberseguridad en España.

¿Cumpliendo todas estas normas estamos a salvo? No. Lo cierto es que, siendo realistas, ninguna organización puede garantizar al 100% que sus sistemas de información se encuentren protegidos frente a cualquier amenaza, pero sí se pueden medidas dirigidas a prevenir los posibles ataques, reaccionar tempranamente ante los mismos y recuperarse en el menor tiempo posible. Recordemos que los principios básicos por los que se rige el ENS son: seguridad integral; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua y reevaluación periódica; y sistema de responsabilidades. De entre todas las medidas de seguridad, las que más nos agradan son las de carácter preventivo: análisis de riesgos, configuración segura “por defecto”, efectividad de los cortafuegos, formación y concienciación del personal, o habilitación de canales de comunicación de incidencias de seguridad, entre otras.

Y si tuviera que quedarme con una, apostaría sin duda por la concienciación. Una manera de trabajar (y de actuar) más responsable es el mejor cortafuegos. En definitiva, como dijo Bruce Schneier, «el hardware es fácil de proteger: encerrarlo en una habitación, encadenarlo a un escritorio o comprar uno de repuesto. La información plantea más un problema. Puede existir en más de un lugar; ser transportado a la mitad del planeta en segundos; y ser robado sin su conocimiento».

Victor Almonacid Lamelas colaborador en la Sección "La Nueva Administración" de la Revista Mensual Tecnología y Sentido Común

Victor Almonacid

Secretario de la Administración Local, categoría superior. Director de Prevención, Formación y Documentación en la Agencia de Prevención y Lucha contra el Fraude y la Corrupción de la Comunitat Valenciana. Directivo Público. Máster en Nuevas Tecnologías aplicadas a la Administración Pública. Máster en Planificación estratégica. Tiene o ha tenido presencia activa en las siguientes asociaciones: ADPP, COSITAL, RECI, UDITE, ADPP, AENOR y equipo técnico de la FEMP. Autor de numerosas publicaciones, especialmente en el ámbito de la administración electrónica práctica (procesos, organización, planificación, procedimiento…). Responsable de la implantación de diversos proyectos reales en dicho ámbito, dentro de varias Administraciones Públicas. Entre otros reconocimientos: Medalla de la Vila del municipio de Picanya, Premio CNIS al innovador público del año 2015, Premio NovaGob Excelencia 2015 al mejor Blog, Premio internacional al mejor innovador en las Administraciones Públicas en el año 2020.

Escuela de Gobierno eGob®

Cursos Doble Certificación

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad