La seguridad de los sistemas informáticos es un tema que preocupa. El secuestro de los datos en la Universidad Autónoma de Barcelona (UAB) ha puesto sobre la mesa una amenaza que desde hace años concentra una parte importante de las actuaciones TIC en instituciones y empresas. Sin embargo, es importante tener presente que un 90% de los ataques a la seguridad tiene su origen en un error humano que facilita la entrada de ciberdelincuentes en los sistemas. El vicerrector de Estrategia Digital de la Universidad Politècnica de Catalunya · BarcelonaTech (UPC), Àlvar Vinacua, explica en esta entrevista cómo está trabajando la UPC la seguridad de sus redes y qué puede hacer el PDI, el PAS y el estudiantado para contribuir a mejorar la seguridad de los sistemas y, también, de sus datos personales.

¿Podría la UPC sufrir un ataque como el que tuvo la UAB?
Sí, y puede pasarle a cualquiera. Todo el mundo está expuesto. Grandes empresas, corporaciones o gobiernos… han tenido ataques. Algunos tenemos noticia y otros no. Estos ataques no provienen de hackers que están solos en su habitación, como acostumbramos a imaginar. Son acciones planificadas y ejecutadas por grupos de ciberdelincuentes que encuentran tolerancia en determinados países. Mientras esto ocurra, estaremos expuestos a sufrirlas.

¿Y qué hay que hacer?
En primer lugar, desde los servicios TIC debemos tener una actitud proactiva en la vigilancia. Que la tenemos. Repasamos constantemente los procedimientos, tomamos medidas, escuchamos y tenemos el core de los datos muy protegido. Tenemos que estar tranquilas y tranquilos, pero nunca podemos dejar de trabajar. Una universidad es un entorno muy complejo, con un perfil muy atractivo para los ciberdelincuentes. Tenemos muchas aplicaciones en funcionamiento, muchas personas trabajando, teletrabajando, conectándose a la nube, utilizando redes sociales, con contraseñas que un delincuente tarda muy poco en averiguar… tenemos lo que se define como una gran superficie de exposición. Y un estándar único de aplicaciones y equipos en la UPC es impensable.

Por eso, ahora queremos poner el énfasis en un aspecto clave en la ciberseguridad que a veces se difumina: la formación de las personas que estudian o trabajan en la UPC. Estamos proponiendo un cursillo de concienciación en ciberseguridad en toda la comunidad. Corto y online, el curso proporciona las pautas necesarias para proteger no solo a la institución, sino también a los datos de las personas. Creemos que va a ser muy útil.

¿Qué aspectos trata el curso?
Hemos querido que sea muy práctico. Permitirá que puedas tener contraseñas seguras y utilizar los dispositivos móviles y redes sociales con seguridad. También ofrece información sobre cómo evitar el phishing, uno de los grandes instrumentos que emplean los ciberdelincuentes para penetrar en los sistemas. El curso también te forma para navegar, para utilizar las redes públicas y la nube de forma segura y te ofrece formación para salvaguardar tus datos personales.

La UPC tiene grandes expertas y expertos en ciberseguridad e Ithink, la empresa del Grupo UPC, ofrece precisamente vigilancia y ciberseguridad a las empresas, esto debe ayudar a la UPC…
Sin duda, contamos con grandes expertas y expertos en la Universidad y, efectivamente, IThinkUPC ofrece este tipo de servicios a empresas y corporaciones. Todo esto tiene un valor importante para trabajar en la seguridad. Actuamos en la protección de los sistemas corporativos para reducir las posibilidades de los ataques, actualizando constantemente las medidas de que disponemos e introduciendo nuevas siguiendo la evolución de las amenazas y eventos en el ámbito de seguridad. Vigilamos muy especialmente los sistemas corporativos clave, pero dado el actual aumento de actividad maliciosa, estamos ensanchando la vigilancia en todos los ámbitos de nuestra red.

¿El ataque de la UAB ha puesto las pilas a corporaciones y empresas en materia de ciberseguridad?
No diría tanto. Se trabaja muchísimo desde hace mucho tiempo, pero debemos saber que la seguridad al 100% no existe. Solo el aislamiento es seguro. Y no es una opción, así que permanentemente debemos encontrar soluciones para un entorno TIC con una gran superficie de ataque, y respuestas apropiadas al conflicto entre el nivel de seguridad y el nivel de usabilidad que, a menudo, implican incomodidad para las personas usuarias. Por ejemplo, cada día será más frecuente tener que utilizar la identificación en dos pasos en los sistemas porque reduce mucho las posibilidades en los ciberdelincuentes.

¿Será el siguiente paso en los sistemas UPC?

Todo apunta en esta dirección, pero habrá que seguir trabajando para encontrar las mejores soluciones: la ingeniería es encontrar un compromiso entre cuestiones en conflicto.