En 2018, la ciudad de Atlanta sufrió un ataque de malware de rescate (ransomware). Fue desarrollado por hackers iraníes. Varios servicios públicos estuvieron fuera de servicio cinco días (parking público, domiciliaciones del agua, etc.). La ciudad de Baltimore, tanto en 2018 como en 2019, sufrió el mismo ataque. Este tipo de acciones impiden a los usuarios acceder a su sistema o a sus archivos personales, además de exigir el pago de un rescate para poder recuperar los documentos secuestrados. En el caso de la ciudad norteamericana, uno de los sistemas atacados fue el de emergencias (911). En Europa, la ciudad de Dublin vio su sistema de tren público comprometido en otro ataque y a Estocolmo, le afectó el sistema de compra de tiques para el tren. En Johannesburgo, fue aún peor: el objetivo fue el sistema eléctrico.

En la gran mayoría de los casos, el pago por rescatar los archivos se realizó en bitcóins. Muchas pequeñas ciudades también atacadas, ni siquiera supieron cómo poder pagar. El desconocimiento de una criptodivisa como la citada aún es alto.

En EEUU, el 70% de este tipo de ataques se ha realizado a administraciones locales. Muchos de ellos provienen de esa parte de la web que no está visible en los motores de búsqueda tradicionales (la también llamada deep web) y son automáticos. Es decir, no duermen ni se cansan de atacar. Pueden ocurrir en cualquier momento del día. El Centro de Estudios de Riesgo de Lloyds estima que solo en 2020, a la ciudad de New York, los rescates le podrían suponer 2.300 millones de dólares.

Pueden percibir un patrón claro en los ataques anteriores: servicios demandados y de criticidad relevante gestionados por organizaciones que no han vivido la transformación digital como algo nuclear en su día a día. Y quizás sea normal; ciudades que cambian de gestores cada pocos años tendrán otras prioridades. El problema es que en un mundo cada vez más conectado y digitalizado, naturalmente, los riesgos de la seguridad en Internet no serán sino un mayor problema cada vez. Muchas tecnologías subyacentes a las comunicaciones en sistemas públicos están obsoletas. Y tampoco tienen cerca el talento tecnológico que sí suelen tener las empresas privadas. Como suelen decir los economistas: “You get what you paid”. En otras palabras: el talento tecnológico prefiere ir a trabajar a la empresa privada, donde sus salarios no hacen más que crecer ante la escasez de perfiles. Es claramente un mercado muy asimétrico.

Este tipo de sucesos siempre me hacen acordarme de tecnologías punteras que se pueden ver en vídeos de YouTube: alumbrados inteligentes, carreteras que cargan coches eléctricos, vehículos autónomos, etc. Es decir, tecnologías realmente innovadoras y llamativas, pero que harán aumentar aún más estos ciberriesgos. Si estamos teniendo estos problemas en el mundo tecnológica y económicamente desarrollado, pensemos en los riesgos que estarán asumiendo los que están en vías de desarrollo.

La preocupación de una entidad pública puede medirse a través de los presupuestos. Es difícil encontrar ese nivel de detalle, pero sería muy interesante ver el porcentaje dedicado a la ciberseguridad. Un riesgo que muchos consideran sistémico para las organizaciones (al mismo nivel que otras preocupaciones de seguridad como la salud pública, el cambio climático o el agotamiento de los recursos naturales). Seguramente la partida sea baja. Sin embargo, la inversión en el despliegue de tecnología y software, será bastante más alta. Es decir, dotamos la infraestructura, pero no nos protegemos ante sus vulnerabilidades. Estamos afrontando con certeza y decisión los riesgos que tienen las ciudades en el medio plazo por la subida del nivel del mar, pero no frente a estas ciberamenazas.

Las concejalías, consejerías y ministerios de seguridad o interior, seguramente, vayan gradualmente incorporando mayor protección frente a estos riesgos. Pero es importante ser consciente que cuando hablemos de transformación digital, está bien hablar del valor aportado, pero debemos considerar también los riesgos asumidos. Un enfoque, incluso legislativo, de seguridad desde el diseño pudiera ser una forma de afrontar este futuro.