Ainara Ugalde

Autoridad Vasca de Protección de Datos: «No ha sido un ciberataque. Se han comprometido servicios pero no datos personales»

- ¿Qué debería saber la ciudadanía vasca sobre el impacto de la caída de Microsoft en nuestros datos privados?

- El mensaje que queremos transmitir es, sobre todo, que estén tranquilos. Las dos empresas afectadas, Microsoft y CrowdStrike (su proveedora de ciberseguridad), han explicado que se trata de un fallo interno y no intencionado, con lo cual parece que no ha habido acceso de terceros no autorizados a datos, por lo que no estaríamos hablando de un ciberataque. Lo que se ha comprometido es la disponibilidad de los servicios como Osakidetza, pero no los datos personales.

- ¿Entonces se puede garantizar que nuestros datos están protegidos?

- Microsoft no ha hablado en ningún momento de ciberataque y toca ver si en los próximos días cambian de versión o no. Lo que podemos decir a día de hoy es que, con la información de la que disponemos, los datos de la ciudadanía vasca, por lo menos en lo que respecta a las administraciones públicas vascas como Osakidetza, no se han visto comprometidos. En el caso de los bancarios, por ejemplo, nosotros no fiscalizamos a los bancos porque nos encargamos de fiscalizar a la administración y a las instituciones públicas vascas, pero entendemos que tampoco están comprometidos porque no estamos hablando de un ciberataque.

- Aunque no estén comprometidos ahora, ¿se pueden dar casos de ciberpiratería o ciberataques en los próximos días?

- No creo, porque al final son dos cosas diferentes. Yo entiendo que una cosa es que se caiga el sistema, que deje de funcionar durante un momento, y otro tema es que se dé un caso de ciberdelincuencia. Eso supone que alguien ajeno entra en esos sistemas. Entonces de momento no tenemos elementos para estar hablando de ciberpiratería, ni de ciberseguridad, ni de robo de datos. No hay elementos para hablar de nada de eso.

- ¿Cuál es la diferencia?

- Una cosa es el almacenamiento de los datos y otra cosa es el sistema operativo que tú utilizas para que funcione tu ordenador. En Europa, la normativa vigente nos obliga a tener nuestros servidores de datos albergados dentro de la Unión Europea. Pero otro tema son los sistemas operativos o los sistemas de colaboración informática que utilizamos todos, como Microsoft, que todos lo tenemos todos en nuestros ordenadores. Si se cae Microsoft, nos quedamos todos sin ordenador. Eso es así. Si falla el corazón, fallan el resto de órganos, pero eso no significa que nuestros datos se encuentren en los servidores de Microsoft.

- ¿Y qué ocurre si tenemos contraseñas guardadas, por ejemplo, en Google?

- En ese caso tal vez sí puedan ocurrir robos de datos, pero de momento no han dicho que les hayan atacado. En ese caso es cuando hay que pedir prudencia y hacer una serie de recomendaciones a los ciudadanía.

- ¿Por ejemplo?

- Pues los consejos generales que lanzamos todo de forma habitual: Cambiar las contraseñas, no utilizar siempre las mismas, navegar en páginas seguras... Y ante un caso de estos, puede ser una buena ocasión para que la gente actualice sus contraseñas.

- Después de vivir esta caída global de sistemas, ¿considera que estamos preparados para afrontar un fallo de estas características?

- No te sabría decir porque es una pregunta muy técnica de informática, pero parece que Microsoft ha tardado bastante en dar una explicación. Quizá a partir de ahora sí que lo esté y respondan antes. Ahora han dado las instrucciones técnicas para que empresas, administraciones y particulares que tengan Microsoft reinicien el sistema. Pero supongo que dependerá de la habilidad y de los medios con los que cuente cada uno. Osakidetza, por ejemplo, ha tenido que realizar el sistema de cita previa de manera manual.

- ¿Este tipo de caídas se van a ser más habituales a partir de ahora?

-No lo sabemos, no tenemos datos para saber si esto va a volver a suceder o si se van a convertir en algo más habitual porque al final ha sido un fallo interno y no intencionado. Lo que sí sabemos es que cada vez van a haber más ciberataques, pero no estamos hablando de eso hoy por hoy.

- ¿Y los cibertaques o brechas de seguridad, serán más frecuentes?

- Somos conscientes que cada vez estas brechas de seguridad son más numerosas porque nuestros datos tienen un valor muy importante, mueve más millones la ciberdelincuencia que las drogas a día de hoy. A nosotros nos comunican las brechas de seguridad las administraciones públicas vascas en un plazo de 72 horas desde que la han recibido. Y después tienen que comunicarnos el análisis forense que han realizado de ese ciberataque. Si se han visto comprometidos los datos de la ciudadanía, tienen la obligación de notificarlo a la ciudadanía, además de adoptar medidas a futuro para que no se vuelvan a dar.

- ¿Qué se debe hacer si se han vulnerado nuestros datos personales?

- Sobre todo estar vigilantes. Si se nos ha notificado que nuestros datos se han visto afectados, por ejemplo, los datos bancarios, o que han entrado en nuestra cuenta y han realizado algún tipo de gasto, hay que comunicárselo tanto a nuestra entidad bancaria como a la unidad de ciberdelitos de la Agencia General o incluso interponer denuncia ante un juzgado.