Las administraciones cántabras, vulnerables ante los ataques informáticos

Trámites digitales, pagos online, dispositivos conectados a la red, la banca electrónica o las consultas a la IA son sumideros por los que los datos personales se filtran al universo virtual. La información personal se ha convertido en el tesoro más codiciado por los piratas que acechan en el entorno web. Pese a que ya están en marcha iniciativas dirigidas a mejorar la seguridad digital, ni instituciones ni empresas están preparadas para proteger a los usuarios.

La criminalidad virtual no respeta ni siquiera a las administraciones públicas. Las diputaciones de Guipúzcoa y Valencia y los ayuntamientos de Zaragoza, A Coruña, Murcia o Palma han sido víctimas, entre muchos otros, del grupo de hackers prorusos NoName057, que busca generar daño a países que apoyan a Ucrania, en el marco de la guerra entre las ex-repúblicas soviéticas. Este ente ‘sin nombre’ comenzó su trayectoria criminal en España en 2023, cuando atacó a la Casa Real, la Moncloa, el Tribunal Constitucional y la Fábrica de la Moneda.

Pero los hackers pro-rusos no han sido los únicos en fijar su objetivo en el sector público español, que se ha convertido en uno de los blancos preferidos de los malhechores cibernéticos. Se calcula que el 90% de los consistorios españoles están en riesgo de sufrir ciberataques, y que el 99% incumple los protocolos de ciberseguridad, que establece el Esquema Nacional de Seguridad.

Cantabria tampoco se libra de las incursiones. La Audiencia Nacional investiga un ciberataque a Yedra, la plataforma educativa del Gobierno cántabro en abril del pasado año. 

La Policía Nacional informó a la Consejería de Educación cántabra de que había encontrado “un número elevado de registros comprometidos”, entre la documentación requisada a un hacker informático que está siendo investigado. Junto con otros datos sensibles, se filtraron fotografías de carnet, presumiblemente de menores de edad.

En agosto de este año, la Consejería recomendaba a los usuarios de la plataforma cambiar las claves de acceso y, en paralelo a la investigación de la Audiencia Nacional, la delegada de Protección de Datos del Gobierno de Cantabria estudia el grado de afectación que ha podido sufrir esta plataforma con la que se gestiona toda la educación no universitaria en Cantabria. A su vez, la Agencia Española de Protección de Datos sigue tramitando un expediente por esa filtración. 

No ha sido el primer caso de este tipo en la región. En 2023, el Gobierno de Cantabria sufrió un ciberataque en el Registro de Animales de Compañía en el que se filtraron miles de nombres, direcciones, DNI, correos electrónicos y teléfonos de los propietarios de las más de 261.000 mascotas censadas en la comunidad.

Los datos personales, el nuevo oro

Pero, ¿qué interés puede tener un ciberdelincuente internacional en este tipo de objetivos?

Que hackers chinos o rusos amenacen ministerios parece tener motivaciones claras, como poner en jaque la seguridad de un país, algo que no resulta tan obvio  cuando el ataque va contra ayuntamientos o servicios digitales de ámbito regional. Sin embargo, todos ellos poseen el mayor objeto de deseo para los piratas informáticos: los datos personales.

Bien para utilizarlos de forma fraudulenta, o bien para pedir un rescate por ellos, la información de los ciudadanos resulta ser oro, y los sistemas públicos digitales constituyen auténticos yacimientos.

El 99% de los ayuntamientos españoles incumplen los protocolos de ciberseguridad

El ritmo con el que las administraciones abren canales para digitalizar los trámites burocráticos no está acompasado con su nivel de ciberseguridad y si antes los ladrones atracaban joyerías, ahora irrumpen en estas bases de datos de instituciones y empresas que venden a terceros. Y, es que las empresas también son blanco de los delincuentes de guante ‘digital’.

En lo que va de año, grandes compañías como Telefónica, la aseguradora DKV, o El Corte Inglés han sufrido este tipo de asaltos. Aunque, por el momento, la información sustraída no ha parece haber sido utilizada por los criminales, la posibilidad de que esto ocurra expone a los clientes a un riesgo altísimo, pues su información financiera y personal podría quedar al descubierto.

Las bases de datos de los compradores, los registros online, las compras telemáticas, el internet de las cosas —que permite controlar a distancia desde un termostato a una lavadora— y, por supuesto, la fiebre por la IA, están multiplicando los archivos de datos. Y las consecuencias son aún difíciles de medir, porque cada día surgen nuevas modalidades de delitos virtuales, que van desde la suplantación de identidad al vaciado de cuentas corrientes.

¿Quién es responsable?

Pese a que los ciudadanos tampoco se libran de caer en las redes de los ciberdelincuentes —quién no ha aceptado cookies, ansioso por acceder a webs, que con cada click en el botón de ‘aceptar’ consiguen datos que comercializan con terceros—, hay un factor que diferencia a administraciones y empresas del resto de usuarios: el grado de responsabilidad.

Cuando las instituciones o las compañías piden a los usuarios que entreguen su información personal para pagar una multa, pedir cita médica o validar la garantía de un producto, el particular confía en que la entidad la tratará con rigor frente a un posible mal uso.

España es el octavo país con más secuestros de datos y el segundo con más amenazas digitales

La realidad es bastante distinta y, en buena parte, como consecuencia de una legislación en materia de ciberseguridad bastante difusa. España lidera el ranking de países con más ciberdelitos —en 2024 fue la octava nación más afectada por el secuestro de datos a cambio de un rescate (ransomware) y, en junio de este año ha sido el segundo país con mayor número de amenazas digitales, solo por detrás de Japón, según el ESET Threat Report H1 2025. A pesar de ello, aún no ha logrado la plena implantación de la normativa europea vigente desde 2023.

La Directiva conocida como NIS2 establece un marco común de ciberseguridad para todos los Estados de la UE. Se aplica a empresas públicas y privadas que trabajan en sectores considerados críticos o esenciales: energía, transportes, salud, proveedores de internet, mensajería, gestión de residuos, fabricación química, aeroespacial o tecnológica, además de las administraciones públicas.

Aunque las pequeñas empresas quedan fuera —salvo aquellas cuya actividad sea considerada crítica—, la iniciativa obliga a las entidades que manejen información sensible a la aprobación de planes de ciberseguridad, el uso de técnicas de protección (cifrado de datos, seguridad en el suministro) y a la notificación de incidencias a las autoridades en plazos muy estrictos. De no cumplirlo, se enfrentan a sanciones de hasta 10 millones de euros o del 2% de su facturación anual global.

Una de las novedades más relevantes es la responsabilidad de directivos y empresas en la aplicación de estas medidas, con consecuencias jurídicas en caso de negligencia. Por primera vez, además, se instauran medidas tangibles para la protección de datos, que incluyen herramientas como cifrado, cortafuegos, antivirus, copias de seguridad, autenticación segura y monitorización continua.

Aunque los 27 tenían de plazo hasta octubre de 2024 para transponer esta directiva, España aún no lo ha hecho. El Consejo de Ministros aprobó la Ley de Coordinación y Gobernanza de la Ciberseguridad, pero sigue pendiente de ratificación en el Congreso. Mientras tanto, no pueden imponerse sanciones, y la UE ha abierto diligencias contra España por este retraso.

De momento, a nivel nacional la filtración de datos se regula mediante la Ley Orgánica de Protección de Datos, pero se centra en la información personal y deja fuera la empresarial, financiera o industrial. Pese a que reconoce derechos como la seguridad, la privacidad o la educación digital, no establece mecanismos concretos de control. 

A la espera de la ratificación de la norma europea, el Gobierno ha actualizado el Esquema Nacional de Seguridad, introduciendo actuaciones urgentes para reforzar la capacidad defensiva frente a las ciberamenazas en el sector público, y ha destinado a ello más de 1.100 millones, con una partida para reforzar la seguridad de los municipios de menos de 50.000 habitantes.

En el ámbito empresarial, existen acreditaciones internacionales, como la norma ISO/IEC 27001 que, como las etiquetas medioambientales, acredita el cumplimiento de un Sistema de Gestión de la Seguridad de la Información, con protocolos en el tratamiento de datos personales y en la gestión de incidentes.

Cantabria, pionera en legislación ‘digital’

Ante el creciente riesgo digital y al inminente endurecimiento de las normativas, instituciones y empresas han comenzado a poner en marcha mecanismos para protegerse, y proteger a sus usuarios, de los peligros online.

En el plano regional, Cantabria está siendo pionera en España con el anteproyecto de la Ley de Salud Digital, que propone un marco regulatorio para proteger los datos personales de los pacientes y profesionales de la salud. También regula el uso de las tecnologías en los sistemas digitales que emplea y de la información personal recopilada a través del Servicio Cántabro de Salud o de la teleasistencia. Además, introduce aspectos relacionados con el uso de inteligencia artificial.

Según el anteproyecto que ha salido de la Consejería de Salud, los datos pertenecen únicamente a los usuarios y solo pueden utilizarse si estos dan su consentimiento. Por ello, su uso siempre debe ser “auditable, trazable y abierto”.

Seguros en riesgos cibernéticos y peritos digitales son las nuevas respuestas

El Gobierno regional se atreve a legislar aspectos médicos punteros como la protección de los neuroderechos y los neurodatos —los que se recopilan directamente del cerebro y del sistema nervioso–, con el fin de evitar “que la IA invada la última frontera que es la mente humana”.

La región también ha inaugurado recientemente el Centro de Ciberseguridad de Cantabria, un organismo que presta asesoramiento a las empresas e impulsa proyectos de ciberseguridad. También disponen de un simulador de ataques informáticos, único en España, para mejorar la protección en materia de seguridad digital. No obstante, su labor es asesorar y formar a empresas más que ofrecer  técnicos o softwares defensivos.

Seguros y peritajes de ciberseguridad

Convencidas de que necesitan algo más que protocolos corporativos, muchas empresas están delegando su seguridad digital y la de sus clientes en especialistas externos. También tratan de protegerse ante responsabilidades civiles recurriendo a las aseguradoras, que comienzan a ofrecer coberturas frente a riesgos cibernéticos. 

Las compañías de seguros ya han detectado el potencial que tienen estas pólizas, ante la responsabilidad civil que puedan derivarse de los ataques informáticos si clientes o usuarios resultan afectados, o para cubrir las pérdidas que puedan ocasionarle a la propia empresa.

Entre las cláusulas más comunes de estos seguros para riesgos digitales se incluyen compensaciones por interrupciones del negocio, pérdida de archivos y costes de restauración de datos frente a extorsiones derivadas de secuestros de información, en los que se exige un rescate para recuperar los datos. 

El aumento de la ciberdelincuencia también ha hecho brotar otros servicios, como el peritaje informático. Peritos judiciales colegiados se han especializado en el ámbito digital, ofreciendo informes periciales y contrapericiales totalmente válidos ante un juez. Su labor incluye recopilar correos electrónicos, redes sociales, chats, capturas de pantalla, certificar injurias vertidas en la red, verificar firmas digitales o analizar operaciones con criptomonedas. Todo ello permite estimar el valor económico de los daños causados por los ataques virtuales.

¿Quién nos protege?

Más allá de las soluciones paliativas, cabe preguntarse quién puede proteger de forma activa a los usuarios, ante un escenario de creciente delincuencia cibernética, las enseñanzas en ciberseguridad son aún muy escasas.

La Universidad de Cantabria ofrece un curso de Experto Universitario en Ciberseguridad de un mes de duración. Por su parte, la Universidad del Atlántico ha instaurado un título de Experto Universitario que complementa su Grado en Ingeniería Informática. 

La corta duración de ambas no ha servido para animar a más profesionales, a pesar de la alta demanda de especialistas en ciberseguridad que existe.

Como contrapunto, la Formación Profesional ofrece una titulación más completa: el Curso de Ciberseguridad en Entornos de Tecnologías de la Información, impartido en el IES Alisal, con una carga de 800 horas, equivalente a un curso escolar. 

El éxito de esta enseñanza derivó en el proyecto extraescolar CiberAlisal, galardonado por INCIBE en 2017 como la mejor iniciativa nacional en ciberseguridad en centros educativos.

La Escuela de Ciberseguridad y Hacking Ético CiberAlisal no solo fue premiada, sino que se convirtió en una de las primeras propuestas educativas que relacionaban educación con hacking ético.

La IA, ¿aliada o enemiga?

Con la irrupción de la inteligencia artificial, el caudal de información que se vierte a la red a diario ha aumentado enormemente.

Si bien la IA ha contribuido a mejorar la seguridad, al integrarse en sistemas de vigilancia de domicilios o sensores de detección de incendios, se nutre y mejora a partir de la información que recibe, lo que genera incertidumbre ante la posibilidad de que esa información tenga otros usos. La implementación masiva de la IA en empresas, instituciones y en el ámbito particular está abriendo otros agujeros de seguridad cuya profundidad —y oscuridad— puede ser mucho mayor que la conocida hasta ahora.

Mediante chats de atención al cliente, inteligencias que gestionan facturas o simulan el papel de un psicólogo, consiguen que muchos usuarios entreguen sus datos confidenciales, sin ser plenamente conscientes de cómo puede afectar a su privacidad o de los riesgos de usos fraudulentos.

Las grandes empresas tecnológicas ya trabajan para resolver los problemas derivados del mal uso de la IA, y abundan los simposios sobre ética en su implementación, pero, a día de hoy, el destino de la información que se vierte a la red mediante la IA sigue siendo escalofriantemente incierto.

Begoña Cueli