Según la revista estadounidense The New Yorker y el grupo de expertos en ciberseguridad de la Universidad de Toronto Citzen Lab, un total de 63 políticos y miembros de la sociedad civil catalana han sido espiados con el programa informático Pegasus entre 2017 y 2020. Además, el Gobierno del Estado español también ha informado que, según el Centro Criptológico Nacional, los teléfonos móviles del presidente del Gobierno, Pedro Sánchez, y de la ministra de Defensa, Margarita Robles, también fueron intervenidos por Pegasus. Este software malicioso o spyware, diseñado por la empresa israelí NSO Group Technologies, se centra en vulnerar los sistemas de seguridad de teléfonos móviles iOS y Android, instalándose a través de un enlace. Una vez dentro, el atacante le puede dar órdenes en control remoto y es capaz de leer mensajes, localizar al usuario a través de GPS, escuchar llamadas o obtener contraseñas, entre otros.
El escándalo Pegasus ha situado la política catalana y española en el centro de todas las miradas, pero desde m4Social nos lleva a reabrir el debate sobre la ciberseguridad ante el proceso imparable de digitalización que vive la sociedad y, en consecuencia, el Tercer Sector. ¿Cómo afrontan las entidades sociales la seguridad de los datos que utilizan? ¿Disponen de un presupuesto para ciberseguridad? ¿Actualizan de manera constante el software de seguridad? Es interesante recuperar el Estudio sobre el Estado de la Digitalización del Tercer Sector donde identificamos las fortalezas y las carencias de las entidades del Tercer Sector en relación a la seguridad informática y la protección de datos. ¡Repasamos algunas de los datos clave del informe!
Seguridad informática y protección de datos
Con el objetivo de mejorar en eficacia y eficiencia, muchas entidades del Tercer Sector se ven obligadas a adoptar nuevas herramientas tecnológicas de manera acelerada, y este crecimiento, en muchos casos, puede venir acompañado de un aumento de riesgos tecnológicos de la organización. En entornos como el Tercer Sector, donde las personas están en el centro de la atención, es especialmente importante que se garanticen los derechos de los usuarios. Aprender de los datos que se generan tiene que permitir mejorar la calidad de vida de las personas, y esto convierte en indispensable demostrar que los datos se utilizan en los contextos adecuados y con objetivos legítimos. Según el Estudio, las entidades son conscientes que trabajan con datos sensibles y más de la mitad dan cumplimiento a la RGPD y tienen las auditorías periódicas al día (60%), y otro porcentaje muy grande han evaluado los riesgos y confían en como recopilan y gestionan los datos de sus usuarios y usuarias (39%).
Acciones para garantizar la seguridad
La ciberdelincuencia crece a un ritmo muy acelerado, con nuevas tendencias emergiendo continuamente. En este sentido, decidimos preguntar a las entidades qué acciones están llevando a cabo para garantizar su información y la de sus usuarios y usuarias. Las acciones más recurrentes, por orden, son referentes a la seguridad de las contraseñas, tratamiento de datos, virus y malwares, y seguridad del hardware (USB, portátiles, tabletas y teléfonos). En cuanto a la gestión del software de seguridad, aproximadamente el 60% de las entidades tienen un equipo (externo o interno) que se encarga de otros aspectos técnicos (web, servidor, etc.) que les apoya cuando tienen un problema. Por otro lado, en el caso de la ciberseguridad, se puede visualizar como la gran mayoría de entidades no tienen un presupuesto asignado (78%).
El impacto de la pandemia y el teletrabajo
El 29% de las entidades sociales, a pesar de haber incrementado el teletrabajo a consecuencia de la pandemia, no consideran que la seguridad en la gestión de datos y en el uso de los equipos quede afectada de forma relevante. El 22% confirman que al haber incrementado el teletrabajo, han tomado medidas en relación con la seguridad en la gestión de los datos y en el uso de los equipos. Estas entidades están representadas por organizaciones grandes y medianas y obtienen un grado de digitalización superior.
En cuanto a las medidas que realizan las entidades para garantizar la seguridad de los equipos informáticos utilizados por personas usuarias, detectamos que un 10% de las entidades no tienen contraseñas en los equipos, un 19% no tiene ningún tipo de limitación y un 16% no los revisa ni hace limpiezas periódicas en ellos. Por el contrario, un 32% hace un control de manera proactiva y un 38% tienen limitadas sus funcionalidades. También un 47% tienen diferenciada la red de acceso de los ordenadores de las personas trabajadoras de la entidad y sus usuarios. Esta pregunta es relevante en la medida en que, como indica el estudio de Brecha Digital de m4Social, muchas personas atendidas por entidades sociales acceden en la red a través de equipaciones públicas o de las entidades, ya que no pueden acceder desde su domicilio.
El certificado digital, una herramienta contra el fraude
La digitalización de los certificados ofrece muchísimas posibilidades en cuanto a la logística, transferencia y seguridad de estos certificados. La certificación digital es nuestro gran aliado contra el fraude. En la actualidad, se ha convertido en la principal forma de garantizar, de forma técnica y legal, la identidad de una persona. Y no solo esto, permite la firma electrónica de documentos y el cifrado de comunicaciones. Se trata de ciberseguridad y, por supuesto, es un certificado de garantía. En cuanto al Tercer Sector, según el Estudio, el 51% de las entidades tiene el certificado digital y lo gestiona el/la representante legal de la entidad a su propio equipo informático.
El año 2019, según el Observatorio de Delitos Informáticos el número de delitos producidos fue de 218.302, un 97% superior que en 2018. Dado este crecimiento exponencial, hemos querido conocer si las entidades alguna vez han tenido alguna incidencia relacionada con la seguridad informática. Un 29% han respondido que sí que han tenido incidencias informáticas, pero sin consecuencias importantes, mientras que un 6% se han encontrado con problemas graves derivados de estos ataques informáticos. Aun así, un 65% nunca ha sufrido una situación de riesgo, de los que un 26% tienen protocolos de actuación definidos.
La ciberseguridad y la protección de datos están íntimamente relacionadas entre ellas: el uso de los datos es una constante estratégica en la gestión de las entidades y, por lo tanto, también un riesgo teniendo en cuenta su criticidad en la gestión de los servicios así como por la tipología de los datos gestionados, generalmente muy sensibles. Por eso es clave que las entidades del Tercer Sector garanticen la seguridad de los datos que utilizan y puedan afrontar las amenazas en línea para preservar la seguridad de sus procesos.
Recuerda que puedes evaluar tu grado de madurez digital y tu nivel de seguridad informática y de protección de datos con el Digital Checkup, una herramienta de autodiagnosis.