Delegada de Protección de Datos de la Universidad Miguel Hernández de Elche desde 2018, funcionaria de carrera, jurista especializada en Tecnologías de la Información y las Comunicaciones desde hace más de 25 años, Esther Botella es, además, conferenciante y docente en la materia en numerosas universidades. Cuenta con el certificado oficial de Delegada de Protección de Datos bajo el esquema de la Agencia Española de Protección de Datos (AEPD).
Conversamos con ella en el marco del ciberataque sufrido por el Ayuntamiento de Elche, que ha puesto de nuevo sobre la mesa los riesgos crecientes en materia de ciberseguridad y la necesidad de que tanto instituciones como ciudadanos sean más conscientes de lo vulnerables que son nuestros datos en la era digital.
Esther Botella lleva 25 años como jurista en materia de protección de datos y tecnologías de la información / INFORMACIÓN
¿Es cierto la tan repetida advertencia de que nadie está libre de un ciberataque?
Sí, absolutamente. Tal como está el mundo, existen dos tipos de organizaciones: las que ya han sido atacadas y las que lo van a ser. Como hemos visto ahora con el Ayuntamiento de Elche, nadie puede decir que está libre de sufrir un incidente de este tipo. Yo siempre utilizo un ejemplo muy gráfico: igual que un banco siempre va a estar en el punto de mira de los ladrones, las instituciones y empresas van a estar en el punto de mira de los ciberdelincuentes. Un banco puede poner guardias de seguridad, reforzar las puertas, instalar cámaras, pero el riesgo nunca desaparece. Con los sistemas informáticos sucede lo mismo. Aunque inviertas en monitorización constante o en programas avanzados de seguridad, siempre existe la posibilidad de que te entren. Si atacan a la Nasa, ¿cómo no van a atacar a un ayuntamiento, a una universidad o a una empresa privada?
¿Eso significa que es imposible garantizar la seguridad total?
Exacto. El 100% en seguridad no existe. Es imposible blindarse por completo, por muchas medidas que pongas. Ahora bien, que no sea posible alcanzar esa seguridad absoluta no significa que no debamos poner todos los medios a nuestro alcance. Hay que evaluar qué información manejas —no solo la de carácter personal, sino también datos económicos, estratégicos o internos—, hacer un análisis de riesgos y, en función de eso, establecer medidas adaptadas a tu organización. Pero incluso con esas medidas en marcha, seguirás siendo susceptible de ser atacado. Lo que diferencia a una organización preparada de otra que no lo está es su capacidad de resiliencia: cómo reacciona, cómo recupera sus sistemas, cuánto tarda en volver a ser operativa y en qué medida protege los derechos de sus usuarios o ciudadanos.
La delegada de Protección de Datos de la Universidad Miguel Hernández de Elche asegura que todas las organizaciones son susceptibles de sufrir ciberataques y que estos prosperen / Matías Segarra
Es imposible blindarse por completo, pero eso no significa que no debamos poner todos los medios a nuestro alcance
Hay un dicho un tanto manido sobre que los atacantes siempre van un paso por delante, ¿es cierto?
Más que ir por delante, yo diría que cada vez están más formados y más coordinados. Ese es el verdadero problema. Los ciberdelincuentes ya no son individuos aislados que actúan desde una habitación oscura; en muchos casos son auténticas redes organizadas que cuentan con herramientas avanzadas, muchas de ellas accesibles gracias a la propia evolución de la tecnología. Es una lucha constante. Por eso no basta con desplegar tecnología: hay que implicar a las personas que trabajan dentro de la organización. Formarlas, enseñarlas a identificar correos sospechosos, a comprobar remitentes, a no pinchar en enlaces sin verificar. Muchas brechas de seguridad se producen por un error humano, así que la formación interna es una medida de seguridad tan importante como cualquier cortafuegos o antivirus.
El Ayuntamiento de Elche ha sido atacado recientemente. ¿Qué se debería hacer en casos así?
Lo primero es reaccionar con rapidez. En cualquier organización debe existir un plan de respuesta ante incidentes. Ese plan debe contemplar desde el aislamiento de los sistemas hasta la comunicación con los afectados. Además, cuando una institución observa que otra similar ha sido atacada, lo lógico es revisar inmediatamente su propio sistema para detectar si ese mismo agujero de seguridad puede estar presente y, en su caso, corregirlo cuanto antes. Es lo que llamamos aprendizaje preventivo. Los ciberataques no son estáticos; lo que hoy ocurre en Elche puede ocurrir mañana en otra ciudad si no se toman medidas a tiempo.
La clave está en no pensar que “a nosotros no nos va a pasar”, porque esa falsa confianza es un error gravísimo
¿Y qué ocurre en la Universidad Miguel Hernández? ¿También reciben ataques?
Todos los días. Literalmente. Tenemos intentos de intrusión constantes. Por suerte, hasta ahora hemos conseguido detenerlos gracias a la inversión en seguridad y a los protocolos que hemos establecido. Pero eso no significa que mañana no podamos ser víctimas. Nadie puede relajarse en este terreno. En la universidad contamos con copias de seguridad, planes de contingencia y ubicaciones alternativas que nos permitirían reanudar la actividad si un ataque derribara nuestros sistemas principales. La clave está en no pensar que “a nosotros no nos va a pasar”, porque esa falsa confianza es un error gravísimo.
Los bancos, los más expuestos
¿Qué sectores son los más expuestos a los ciberataques?
Los bancos, desde luego, porque manejan dinero directamente y son objetivos muy atractivos. Pero no son los únicos. Hoy cualquier organización, grande o pequeña, pública o privada, puede ser víctima. Incluso las pymes o los autónomos. A veces hablamos de ataques dirigidos, planificados contra una entidad concreta. Pero en otros casos basta con que una campaña masiva de correos maliciosos llegue a tu bandeja de entrada: si alguien pincha en un enlace, ya tienes la brecha abierta. Es casi como una lotería. Y por eso es tan importante que todos, incluso los más pequeños, adopten medidas básicas de ciberseguridad.
La delegada de Protección de Datos de la UMH, Esther Botella / INFORMACIÓN
¿La inteligencia artificial complica todavía más este panorama?
Muchísimo. La inteligencia artificial ha multiplicado las capacidades de los ciberdelincuentes. Permite elaborar correos falsos que parecen mucho más reales, falsificar voces o imágenes, automatizar ataques a gran escala… La amenaza se sofistica día a día. Y lo preocupante es que esas herramientas están al alcance de cualquiera. Por eso insisto: la única estrategia posible es invertir en seguridad de forma continua y no bajar la guardia.
La IA ha multiplicado las capacidades de los ciberdelincuentes para crear correos falsos mucho más reales, falsificar voces o imágenes, automatizar ataques a gran escala…
¿Está cambiando la conciencia social sobre los ciberataques?
Sin duda. Antes, un atraco a un banco era noticia de portada. Hoy, la mayoría de ataques ya no se producen de forma física, sino virtual. Y eso no los hace menos peligrosos, al contrario. Los delincuentes han trasladado sus métodos a un terreno donde se sienten más cómodos y donde tienen menos riesgo de ser atrapados. La sociedad empieza a darse cuenta de que los ciberataques afectan directamente a nuestra vida cotidiana, porque todos utilizamos tarjetas bancarias, plataformas digitales o trámites electrónicos con la administración.
Informar al ciudadano del ciberataque
¿Qué ocurre con los ciudadanos cuyos datos se ven comprometidos en un ataque?
Las organizaciones tienen la obligación legal de informarles. Cuando hay una brecha de seguridad que puede afectar a los derechos y libertades de las personas, hay que comunicarlo, explicar qué ha ocurrido y dar pautas sobre qué medidas pueden tomar. A veces hablamos de suplantación de identidad, de robos de dinero, de uso fraudulento de datos personales. El ciudadano debe estar protegido, y parte de esa protección es estar informado con transparencia. Esa obligación viene marcada por el Reglamento General de Protección de Datos europeo.
En definitiva, ¿podemos afirmar que la seguridad total es una quimera?
Sí, en mi opinión personal, el 100% de seguridad no existe. Lo que sí existe es la capacidad de mejorar continuamente, de invertir todos los días en reforzar los sistemas, de monitorizar y de formar al personal. La verdadera seguridad está en las medidas de seguridad preventivas, la formación y en la capacidad de resilencia: en la rapidez para recuperarte tras un ataque, en la capacidad de mantener la confianza de los ciudadanos y en no caer nunca en la complacencia. Porque lo único seguro es que los intentos de ataque seguirán existiendo.
Suscríbete para seguir leyendo
