Ningún sector es ajeno a la digitalización. Tampoco la administración pública, que lleva años afrontando este reto con más o menos suerte y con un claro problema de inversión. Una transformación lenta y complicada que afecta a todos los ciudadanos.
La digitalización de la administración busca la simplificación de los procesos y trámites que afectan a los ciudadanos, y la adaptación de la gestión pública a los retos de la sociedad actual. Un objetivo que, sin embargo, se está haciendo cuesta arriba por la falta de inversión y que la está convirtiendo en un blanco fácil para los ciberdelincuentes.
Investigaciones sobre la vulnerabilidad cibernética del sector público
El último informe ‘Ciberamenazas 2024. Desafíos y soluciones’, elaborado por el Centro Criptológico Nacional (CCN-CERT), organismo responsable de garantizar la seguridad de la TIC en las entidades del sector público, arrojaba unos datos que revelaban que la administración sigue siendo una de las áreas más atacadas por los ciberdelincuentes. Las cifras no mienten: El 34% de los ataques son dirigidos al sector público y el número de amenazas que estas instituciones han sufrido han ido incrementándose a lo largo de los años. Así, y según este estudio, si en 2022 experimentaron más de 55.000 incidentes, en 2023 éstos aumentaron a 107.000. Y todo apunta que 2024 cerró con un número de ciberataques notable.
El pasado noviembre de 2024 se reabrió el debate de la falta de inversión en la digitalización del sector público cuando el Instituto Nacional de Investigación de Tecnología Agraria y Alimentaria (INIA-CSIC) sufrió un ataque que dejó a más de 600 empleados sin acceso a internet ni a la consulta de los datos almacenados en la red interna. Este incidente se producía tan sólo 3 meses después de que los 149 centros, institutos y sedes territoriales del CSIC fueran atacados.
Aunque los departamentos de ciberseguridad de muchas de estas entidades públicas paralizan cada día miles de ataques, el ejemplo del INIA-CSIC es revelador, porque a día de hoy muchos de sus investigadores continúan sufriendo las consecuencias del incidente 4 meses después. Ordenadores obsoletos (muchos de ellos ni siquiera soportan la nueva actualización de Windows 11 con IA), falta de formación cualificada y de concienciación en materia de seguridad de los empleados, la necesidad de implantación de mecanismos de control de acceso robustos a los sistemas y de cifrado de la información, y la monitorización de la infraestructura tecnológica para la detección de posibles comportamientos anómalos y el análisis y la gestión de las vulnerabilidades son algunos de los factores que explican la fragilidad de la administración ante los ciberdelincuentes.
Principales retos de la transformación digital de la administración pública
El tamaño de la administración, su complejidad y la naturaleza crítica de los servicios que presta pueden explicar, en parte, la lentitud con la que se está afrontando el desafío de la digitalización. Pero no responden a las brechas que persisten en su transformación. Y que pueden ser la puerta de entrada de muchos de los ataques que estas entidades sufren.
Uno de los principales escollos con los que se encuentra su transformación es la falta de inversión. La digitalización requiere importantes inversiones en nuevas tecnologías, infraestructuras y formación. Sin embargo, los gobiernos, tanto estatales como autonómicos y municipales, sufren limitaciones presupuestarias que dificultan la financiación de este proceso. Además, demostrar el retorno de la inversión de los proyectos digitales a veces resulta complicado. Lo que dificulta aún más si cabe la asignación de recursos.
Este primer y más importante obstáculo es el que alimenta el resto de factores que ponen en jaque la transformación de la gestión pública: Resistencia al cambio, brechas en las competencias y riesgos en la ciberseguridad. Siendo éste último, además, el factor más sensible y el que se debería tener más en cuenta, pues estas instituciones juegan con datos personales de cientos de miles de ciudadanos.
Además, los ataques cada vez son más sofisticados. Según la motivación y el origen de las amenazas, el informe ‘Ciberamenazas y tendencias 2024’, elaborado por el CCN CERT, destaca tres principales fuentes de los ataques:
- Actores estatales, que llevan a cabo campañas de ciberespionaje o sabotaje contra objetivos estratégicos.
- Hacktivismo, que suelen lanzar ataques distribuidos de denegación de servicio (DDoS)
- Cibercrimen, especialmente el ransomware. Lo utilizan grupos poderosos que mueven grandes cantidades de dinero. Y mediante modelos ‘as a service’ ponen al alcance de cualquiera herramientas y plataformas para lanzar ataques.
Miles de datos de los ciudadanos, en peligro
Y, a medida que los gobiernos digitalizan sus servicios y almacenan más datos se vuelven más vulnerables a los ciberataques. Unas amenazas que pueden ser muy graves y que pueden afectar a la privacidad de los ciudadanos, y a la interrupción de los servicios públicos.
Precisamente por estos peligros la transformación de la administración debe realizarse con todas las garantías y cumpliendo con las normativas vigentes. En Europa y en concreto en España son bastante estrictas. Y ejercen de agente de control y protección de las garantías de privacidad de los ciudadanos. Normativas como la RGPD son esenciales también para las entidades públicas y, sin embargo, a veces también se ven vulneradas por las propias instituciones. Este es el caso de la multa que la Unión Europea se vio obligada a asumir. En enero de 2025, el Tribunal General de la UE, la declaró culpable de violar sus propias leyes diseñadas para proteger la privacidad de sus ciudadanos.
Aun así, y pese a que a veces se puede tropezar, la UE destaca por su alto nivel de regulación y control. Y por las iniciativas dirigidas a avanzar en la transformación de la gestión pública que, en ocasiones, sigue sin encajar del todo con las medidas de seguridad que ella misma defiende… Así, la Comisión Europea planea sustituir el DNI tradicional por una aplicación digital que unificaría y almacenaría la documentación de los ciudadanos. Aunque la iniciativa busca simplificar gestiones y aumentar la seguridad digital, la medida es controvertida por las posibles vulneraciones a la privacidad.
“Cabe preguntarse si centralizar tanta información sensible en una sola plataforma podría aumentar el riesgo de ciberataques o el uso indebido de datos personales” reflexiona Hervé Lambert.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
