Levante-EMV

Levante-EMV

Contenido exclusivo para suscriptores digitales

Encuentro

Vacuna al 'cibertimo' en la Generalitat

La jornada para evitar estafas como la de la EMT en el sector público evidencia que las personas son el eslabón débil de la seguridad

Vacuna al 'cibertimo' en la Generalitat

No es el timo de la estampita, ni el del tocomocho, pero en su esencia (apelan a los instintos más bajos del ser humano) hay paralelismos con las ciberestafas a las que están expuestas todos los días las empresas, incluidas las de titularidad pública. Y es que el «fallo humano» es la clave de la vulnerabilidad: «Es más fácil engañar a alguien que a cualquier sistema de seguridad», aseguraba ayer Carmen Serrano, jefa del servicio de Seguridad de la Dirección General de Tecnologías de la Información y de la Comunicación durante la jornada sobre la prevención del delito en el Sector Público Instrumental celebrada en el complejo administrativo 9 d'Octubre.

El encuentro, organizado por la Dirección General del Sector Público, fue una suerte de curso intensivo para concienciar al personal directivo de las 64 entidades de la Generalitat sobre los riesgos actuales y para fijar un protocolo de actuación que prevengan los cibertimos.

Motivos hay para la alarma porque, como apuntaba la experta, el 93 % del origen de una ciberestafa tiene que ver con la ingeniería social, maniobras para atacar el eslabón más débil de la cadena de seguridad (la persona) para conseguir información o acceso al sistema informático. Tocar la vanidad, la avaricia, el altruismo o sencillamente apelar al respeto a la autoridad de esa persona puede acabar con una estafa del calibre de la perpetrada hace meses en la Empresa Municipal de Transporte (EMT), la conocida como estafa CEO, con cuatro millones de euros del erario público volatizados.

No ha sido la única consumada (Ferrocarrils denunció una ciberestafa de 7.500 euros) o frustrada, como la de la Agencia Valenciana de Turismo cuando un pirata informático intentó suplantar la identidad de una empresa proveedora para cobrar 500.000 euros. En la pasada legislatura, cuentan fuentes de la Generalitat, incluso se abortó otra: la víctima, una empleada de una fundación sanitaria a la que le llegó una carta (supuestamente de la consellera) para que hiciera un ingreso de dos millones de euros.

El sector sanitario, por cierto, es uno de los más vulnerables. Piratas informáticos que jaquean los ordenadores y requisan los expedientes clínicos, que luego venden en el mercado negro. La terminología y variedad de delitos en el ciberespacio es variopinto, aunque ahora está en boga el rausomware, el secuestro de datos que impide a los usuarios acceder a su sistema o a archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. A veces, hasta la Policía aconseja pagar.

Y es que como concluía Carmen Serrano en su ponencia, los ciberataques tienen un coste económico, pero también un coste reputacional y político. En el área del sector Sector Público de la Conselleria de Hacienda han tomado nota y, tras esta jornada, el objetivo es aplicar las herramientas que reduzcan el riesgo de sufrir nuevas estafas. Una de las herramientas claves es la formación.

Plan para empresas

Así, el conseller de Hacienda, que clausuró las jornadas, anunció un plan de ciberseguridad específico para empresas, entre las que se encuentran las del sector público instrumental, para ayudarlas a mejorar su nivel de ciberseguridad y su confianza en el uso de la tecnología. Los cursos van dirigidos tanto al funcionariado como a altos cargos.

Otra de las medidas es la autoevaluación. La Generalitat medirá los niveles de seguridad de las empresas públicas con el uso de un test con cien preguntas, un autoevaluación con la que se intentará detectar las malas prácticas más habituales y con mayor riesgo, como es compartir contraseñas.

Por otro lado, desde la Dirección General de Sector Público, que pilota Isabel Castelló, se indicó que el objetivo es que este año el sector público tenga implantado los programas Compliance y de integridad, protocolos de actuación para prevenir las malas prácticas y la prevención del delito mediante programas de cumplimiento de normas y de códigos de conducta. Estos planes, obligatorios para las mercantiles y fundaciones, son inexistentes, tal como contó este diario. La encuesta al sector público evidenció que el grueso del sector carece de protocolos formales.

El Compliance es una herramienta que, además, puede librar a un gestor de posibles responsabilidades penales. Más de cien personas (en su mayoría responsables de entidades) se inscribieron en el curso. Prueba de que tras el escándalo de la EMT, todo el mundo pide vacunarse.

Compartir el artículo

stats