Chema Alonso, consultor de seguridad informática, considera que el ataque al Instituto Nacional de Tecnologías de la Comunicación, el organismo de la Administración central especializado en seguridad en internet, supone un hecho relevante al ser el encargado precisamente por velar y dar consejos sobre el uso de la red.
¿Qué ha pasado en el ataque al Inteco?
Se ha hackeado la parte de los cursos que ofrecen online y se han revelado los datos personales de estos usuarios registrados. Ha sucedido que uno de los códigos de programación de Confianza Online no han sido seguro contra un ataque y, además, según parece, ha sido un ataque bastante sencillo con el que se han extraído el nombre, apellidos, DNI, teléfono, y la dirección de sus correos electrónicos. Ahora habrá que ver la auditoría para averiguar lo sucedido, por ejemplo si se ha cumplido la ley de protección de datos.
¿Había entonces una deficiencia?
Sí, la ha habido, con un fallo en las aplicaciones del servidor.
Choca, entonces, que un organismo que da consejos sobre seguridad, él mismo haya sufrido un suceso de este tipo.
Esto es precisamente lo que buscaba el atacante sobre la web de Confianza Online... Han cambiado los contenidos de la página y colocado una noticia sobre los 'indignados' del 15-M. Lo que está claro es que el objetivo ha sido ir en contra de la reputación del Inteco y decir: el Gobierno se está gastando mucho dinero y no está haciendo todo lo que debería hacer. Éste parece ser su mensaje.
Entre los expertos en seguridad informática, ¿cómo se valora el trabajo del instituto?
Hay de todo. Gente que le gusta su trabajo y otra que no. Si se busca en internet se encuentran críticas de todo tipo. Pero quien ha hecho este ataque buscaba lo que ha conseguido: dejarles en evidencia.
¿Cómo puede afectar este hecho a estos usuarios?
No sé hasta qué punto, pero desde luego que pongan el teléfono de alguien en internet no es divertido. De hecho, Telefónica está obligada a poner un mecanismo que permita cancelar esos números en las páginas blancas.
Parece que el Inteco lo ha comunicado a los usuarios de una forma un tanto extraña.
Lo que más ha llamado la atención es que cuando el Inteco se lo ha notificado a los usuarios lo ha hecho a través de un correo que no iba firmado digitalmente y de forma totalmente insegura. Tampoco ninguna persona le ha puesto cara o apellido a esa comunicación, ni lo ha hecho algún portavoz... Sí parece que han querido distanciarse de cualquier contacto desde el primer momento.
El objetivo ha sido ir en contra de su reputación y decir: el Gobierno se está gastando mucho dinero y no está haciendo todo lo que debería hacer
Nos consta que uno de los afectados ha cambiado todas sus contraseñas por la duda de tener la misma en otro sitio.
El problema es que esos datos que se han puesto en internet no sabemos quién va a tenerlos, entonces no hay ninguna forma para controlar esta fuga, y los de los más de 20.000 afectos siempre van a estar en la red, por ahí, no se sabe muy bien dónde. Lo único que puede hacer es cambiar el número de teléfono o su correo electrónico... Pero esos datos ya no son suyos y sí de internet.
¿Un afectado podría realizar acciones legales contra el Inteco?
Creo que sí, aunque hasta que no se haga la auditoría habría que verlo. Ahora bien, podrían denunciar la falta de control en el tratamiento de los datos, y la ley de protección de datos audita este tipo de incidentes. Pero desde luego esto va a traer mucha cola, porque el Inteco es el proyecto emblema de la seguridad del Gobierno central. No hay que olvidar que son ellos quienes dan consejos sobre seguridad.