Cando un ciberataque paraliza unha administración, o problema non é só tecnolóxico
Nos ciberataques, ademais dos riscos que solemos imaxinar como a perda de acceso a sistemas, a interrupción do servizo ou mesmo o roubo de información, existe unha derivada menos visible e, en moitos casos, igual de delicada: a xurídica.
Comentarios
O recente ciberataque sufrido polo Concello de Valdemoro, que obrigou a suspender prazos administrativos e afectou o funcionamento ordinario dos servizos públicos, volve poñer sobre a mesa unha realidade incómoda que moitas organizacións seguen a subestimar. A dixitalización multiplicou a eficiencia, si, pero tamén concentrou dependencias críticas cuxa fragilidade só se fai evidente cando algo falla.
Cando pensamos nun ciberataque solemos imaxinar a perda de acceso a sistemas, a interrupción do servizo ou mesmo o roubo de información. Pero existe unha derivada menos visible e, en moitos casos, igual de delicada, a xurídica.
Que ocorre cando unha comunicación relevante non pode acreditarse? Que sucede se unha notificación contractual, unha reclamación formal, unha comunicación cun empregado ou unha advertencia con efectos legais queda atrapada nun sistema comprometido, sen trazabilidade verificable ou sen garantías suficientes sobre a súa integridade?
A transformación dixital levou a moitas empresas a trasladar procesos xurídicamente sensibles a canais cotiás que, aínda que cómodos, non sempre foron deseñados pensando na proba. E iso xera unha falsa sensación de seguridade.
Non basta con ter enviado un correo electrónico. Non basta con que unha plataforma rexistre unha actividade interna. Cando xorden conflitos, o relevante non é a percepción operativa, senón a capacidade de demostrar de forma sólida que se enviou, cando se fixo, se o contido permaneceu íntegro e que evidencias existen sobre a súa recepción.
É un debate que xa non afecta unicamente a grandes corporacións ou administracións públicas. Tamén despachos de avogados, departamentos de recursos humanos, entidades financeiras ou empresas cun volume relevante de comunicacións sensibles están a descubrir que a continuidade operativa non consiste só en manter servidores funcionando, senón en preservar a validez probatoria das súas comunicacións.
A cuestión adquire ademais unha dimensión adicional cando o contido intercambiado inclúe datos persoais, documentación contractual ou información confidencial. Porque non todos os mecanismos de certificación dixital abordan do mesmo xeito a seguridade do contido. Nalgúns casos, o foco estivo historicamente en certificar o evento de envío ou recepción, pero non necesariamente en protexer de forma robusta o contido transmitido.
Por iso comeza a consolidarse unha visión máis madura do problema, onde a resiliencia non se mide unicamente en uptime ou capacidade de recuperación técnica, senón tamén na fortaleza xurídica dos procesos dixitais.
En Legalpin levamos tempo vendo esta preocupación en organizacións que buscan non só acreditar comunicacións, senón facelo baixo estándares compatibles con esixencias de confidencialidade e protección de datos cada vez maiores. Non é unha inquedanza teórica. É unha necesidade operativa que cada incidente como este volve a lembrar.
O verdadeiro aprendizaxe non é que un sistema poida caer. Iso forma parte de calquera realidade tecnolóxica. A cuestión é se, cando ocorre, as comunicacións críticas dunha organización seguen a ser defendibles.
