Los aprendizajes que nos deja un terrible ciberataque en Colombia

Hace unos años pensar que el principal diario de Colombia abriera su edición dominical con la historia de un ciberataque era algo impensado.Pero hoy ocurrió: EL TIEMPO dedica su tema central, el que llamamos el Primer Plano, reservado al tópico más relevante, en la edición más importante de la semana, al incidente de seguridad digital ocurrido en IFX, un proveedor de servicios de internet, aplicaciones en la nube y seguridad digital (vaya ironía) que terminó afectando gravemente al sistema de salud y al judicial en nuestro país.

Sin embargo, de todo esto deben quedar aprendizajes. Aunque pasarán muchas semanas antes de que todo se normalice, hay cosas que debemos apropiar y entender como Estado y empresas:

1. Ojo con las puertas abiertas. Se dice que por donde entraron los ciberdelincuentes a los sistemas de IFX habría sido por una ‘puerta’ que se sabía abierta. Al parecer una plataforma de virtualización, vieja, que debía parcharse/cambiarse y que la empresa no lo hizo por la complejidad de bajar los servidores, afectar clientes unas horas, mientras hacía el update. Mantener los sistemas actualizados, los parches recientes y revisar constantemente que no haya puertas traseras abiertas es fundamental para el cuidado.

2. El respaldo. Otro error técnico, según ha trascendido, es que el servicio de backup, de respaldo, de IFX, habitaba en la misma plataforma atacada. Es decir, no existía el tal backup. Un respaldo debe estar ubicado físicamente en otros servidores, con redundancia y comunicación de doble canal, para garantizar su actualidad e integridad.(Le puede interesar:

3. Permitir la ayuda. Cerrarse y bloquear cualquier intento de ayuda externo no es lo mejor. Si bien debe existir un manejo sigiloso y cuidadoso, al parecer IFX ha optado por aislarse del apoyo de empresas expertas para aportar en la recuperación de todo. Mal.

4. No volver esto un tema político. En nada ayudan aquellas voces que desde una orilla política intentan sacar rédito criticando, señalando, opinando de tecnología (¡bendito!), sin la menor idea, ampliando el efecto que más le sirve al atacante: asustar y genera pánico para presionar el pago de su extorsión.

5. La ausencia de capacidad institucional. Quedó en evidencia la necesidad de contar con una entidad del Estado sólida, con poder, con capacidad de traccionar acciones interinstitucionales y de conminar a quien sea, público o privado, para que se avance y se solucione. A punta de recomendaciones y sugerencias amables no se contiene un ataque de este volumen.

¿Es la Agencia Nacional de Seguridad Digital y Asuntos Espaciales? Sí, una entidad de ese carácter es el camino. Participé en un encuentro muy interesante con la Unión Europea en el que estuvo Liina Areng, líder de ciberseguridad en Estonia y directora del Proyecto Cybernet, que precisamente explicó cómo, entre otros temas, la institucionalidad sólida, clara y vinculante es fundamental para prevenir, contener y reaccionar ante una situación así.