Ministerio del Interior, Dirección General de Tráfico, Ministerio de Defensa, RTVE, Ministerio de Justicia, SEPE, ¿AEAT?… la lista es infinita y algunos son repetidores habituales. Todos estos organismos públicos tienen en común haber sufrido un ciberataque exitoso en el último año. Nadie está exento de sufrir un ciberataque, pero una vez padecido, las empresas ponen los medios necesarios para que ese tipo de ataque no se vuelva a repetir. Algunos organismos públicos, sin embargo, parecen no dar importancia a esos ciberataques. El SEPE o el Ministerio de Trabajo son sospechosos habituales y parece no importarles tener que ir a Septiembre una y otra vez.
El último caso conocido de repetidor es el CSIC y demuestra la desidia con la que el Gobierno actúa en casos como este. El Confidencial publicaba hace unas semanas cómo los trabajadores del mayor organismo público de investigación agraria y alimentaria del país, el INIA, dependiente del CSIC, llevan semanas sin poder acceder a ningún documento. El desastre, según publica el medio, es tal que los empleados tienen que llevar su propio ordenador y conectarse a Internet a través de sus propios móviles. La magnitud del ataque de ransomware supone que varios millones de euros están en riesgo además de los datos de distintos proyectos de investigación a los que los cibercriminales han tenido acceso. Y se trata del segundo ataque de esta tipología. En Julio de 2022, el organismo ya sufrió un ciberataque de estas características por lo que se vio obligado a desconectar su acceso a internet durante dos semanas para contener el ataque y evitar su propagación.
Lo grave no es sufrir un ciberataque, sino no tomar las medidas para que no se vuelva a producir. Pero tal y como explica El Confidencial, tras el ataque de 2022, el CSIC parece que no hizo nada. Por ejemplo: “No existe un sistema de back-up centralizado. La normativa es de 2017 y dice que cada investigador es responsable de hacer sus propios back-ups a cargo del presupuesto de cada proyecto”. En un contexto digitalizado como el que vivimos no parece que los dirigentes gubernamentales se tomen en serio tener una política activa de ciberseguridad para proteger activos esenciales.
No es de extrañar si tenemos en cuenta la importancia que le da el Gobierno al Ministerio de Transformación Digital. En el tiempo que llevamos de legislatura al ministro no se le ha visto. Directamente no existe. Primero fue Escrivá del que se sabía que la intención de Sánchez era colocarlo al frente del Banco de España. Ahora toca Óscar López, un político que nada tiene que ver con el mundo tecnológico y que usará el altavoz del Ministerio para entrar en la batalla personal que Sánchez mantiene con la presidenta madrileña Díaz-Ayuso.
Un ejemplo de la importancia que tiene para el Gobierno todo lo relacionado con esta materia es la Directiva NIS2. Aprobada por la Unión Europea en noviembre de 2022 y con entrada en vigor en enero de 2023, establece medidas legales para impulsar el nivel general de ciberseguridad en la UE y la resiliencia de las infraestructuras críticas. Se trata de una norma de obligado cumplimiento y que debía ser traspuesta a la legislación nacional antes del 17 de octubre de 2024. España no sólo no ha cumplido con la obligación, sino que ni siquiera han empezado a realizarse las tramitaciones previas lo que deja un vacío legal. Un vacío similar al del Ministerio de Transformación Digital
