Víctor Almonacid Lamelas y Manuel D. Serrat. - El pasado 19 de julio de 2024 se colapsó el mundo por un gigantesco fallo del sistema que nos recuerda, en cierto modo, al temido “efecto 2000”. Finalmente no fue un ciberataque, pero si una simple actualización de software tiene semejante potencial destructivo, ¿qué podemos hacer ante posibles brechas de seguridad y ciberamenazas aún mucho mayores?

En el presente artículo se describe con detalle la naturaleza de los riesgos en materia de seguridad y ciberseguridad que amenazan los sistemas de nuestras Administraciones Públicas (poniendo especial acento, como siempre, en los Ayuntamientos), así como una serie de pautas para alcanzar y garantizar unos niveles mínimos de ciberresiliencia que nos permitan reforzar esos sistemas frente a la más que probable proliferación futura de los riesgos.

En palabras de Ramón J. Sender: “la conciencia del peligro es ya la mitad de la seguridad y de la salvación”.

Cómo 40 kilobytes detuvieron el mundo

Actualmente, cada minuto nos hablan de transformación digital, digitalización de las organizaciones y de la ciudadanía, de mercados digitales, de comercio electrónico, de criptomonedas, etc. En general, de aquello que se podría llamar Sociedad Digital Global, cuyas bondades glosaban los voceros, donde ríos de leche y miel digital iban a inundarnos a todos.

A esta Sociedad Digital Global le surgió rápidamente un gran obstáculo: los cibercriminales de toda índole y nacionalidad, frente a los que las diferentes jurisdicciones pronto descubrieron que era muy difícil actuar, por cuestiones de extraterritorialidad, por ejemplo, o por la dificultad en la atribución de los delitos. A estos individuos, en esa época frecuentemente mostrados como ‘lobos solitarios’ y ataviados con la sempiterna capucha, pronto se les unieron grupos de cibercriminales esponsorizados por estados, principalmente de regímenes autoritarios, deseosos de ver caer las democracias occidentales, y mafias organizadas tan potentes como las del tráfico de drogas o de armas. Por todo ello, la necesidad de una adecuada ciberseguridad ha captado la atención por parte de las empresas, los poderes públicos y los ciudadanos, ignorantes de las amenazas a las que están expuestos, e indefensos en la mayoría de los casos, ante este tipo de actividades criminales.

Es obvio que la Sociedad Digital Global, para su correcto funcionamiento, requiere que se cumplan las leyes, porque, si eso no es así, los consumidores no participarán de los mercados digitales, si éstos no ofrecen un nivel de confianza apropiado. Es así de simple: la gente no compra si no se fía. Y si el vendedor, el comprador, el dinero o el bien o servicio comercializado son falsos, no existen o son sustraídos, la confianza desaparece y el consumidor se retrae. Por eso, los diferentes estamentos han venido tratando, mediante la colaboración entre cuerpos policiales a nivel internacional, y la creación de normativas de seguridad para diferentes tipologías de organizaciones, para poner coto a las actividades de estos indeseables.

Una de las más recientes iniciativas europeas al respecto fue la aprobación, en 2022, de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, conocida popularmente como Directiva NIS2, y cuya transposición al derecho español debería hacerse antes de mediados de octubre de 2024.

El espíritu de esta norma es lograr algo que, en ocasiones, los expertos en ciberseguridad tienden a obviar, y es el concepto de ciberresiliencia. Los profesionales de la seguridad operacional se suelen clasificar a sí mismos como personal de Red Team, o atacantes, y personal de Blue Team, o defensores. Obviamente, es una simplificación, ya que el volumen de perfiles muy específicos en el sector de la ciberseguridad ha crecido mucho en los últimos años, debido a la especialización técnica necesaria para hacer frente a las cada vez más complejas amenazas a las que se ha de hacer frente. Pero en el portafolio de conocimientos de ambas vertientes de la profesión se vienen olvidando aquellos aspectos considerados clásicos, aburridos, o ‘no chic’, ya que es imperativo captar nuevos profesionales entre las generaciones jóvenes para poder hacer frente al volumen de amenazas existente y eso exige crear un relato lo más atractivo posible de este perfil profesional.

Y precisamente por ese motivo se ha olvidado un poco el concepto de ciberresiliencia, que puede definirse como la capacidad de un sistema de información de resistir frente un determinado evento potencialmente catastrófico, aunque sea de forma degradada. Pero como la ciberseguridad y sus profesionales están continuamente enfrentándose a determinados grupos de amenazas, relacionados precisamente con la acción de esas organizaciones cibercriminales de toda ralea, se ha tendido a reducir la ciberresiliencia a poder enfrentar ataques de tipo ransomware, virus, intrusiones en los sistemas o ciberestafas, por citar algunos, olvidando otras situaciones que pueden suponer un riesgo para los sistemas de información.

Sin embargo, el pasado 19 de julio de 2024 se produjo un evento que demostró con nítida claridad los problemas de ciberresiliencia que aquejan a esa presunta Sociedad Digital Global, afectando a todo tipo de organizaciones por todo el planeta y paralizando sus operaciones. Y ello, con un simple fichero de 40 kilobytes, puesto en el lugar inadecuado en el momento incorrecto.

Poco después de las 6 de la mañana, hora española, AENA informaba de un fallo en sus sistemas que le impedía operar con normalidad. En los círculos de expertos en ciberseguridad se apuntó rápidamente a un posible ciberataque, pero en un muy breve espacio de tiempo, al comprobar cómo se iba derrumbando el castillo de naipes de los sistemas de otras muchas organizaciones a nivel global, se desechó la cuestión del ciberataque y comenzaron las sospechas, confirmadas posteriormente, de que algún componente de una actualización de algún producto ampliamente utilizado estaba provocando que sistemas basados en Microsoft Windows se reiniciaran continuamente.

El primer señalado fue el propio sistema operativo Windows, pero pronto se vio que no era ese el origen del incidente. Mientras la plaga de incidencias multiplicaba su volumen, se descubrió que quien estaba generando el problema era una actualización de un producto antivirus, llamado Falcon, de la compañía estadounidense Crowdstrike, que para muchos expertos probablemente sea el mejor del mercado, y que provocaba el reinicio de aquellos sistemas donde las actualizaciones de ese producto estaban configuradas para aplicarse automáticamente. 

Los sistemas afectados fueron de todo tipo, y en organizaciones de muy variada naturaleza: compañías aéreas, bancos, hoteles, industrias, etc. Su ‘cadena del dolor’ quedó meridianamente clara poco antes de las 8 de la mañana, y entonces había que investigar cómo resolverlo con carácter urgente. Los sistemas afectados eras equipos con sistema operativo Windows, con el aludido producto Falcon de Crowdstrike instalado y con las actualizaciones automáticas activadas. Los sistemas basados en otros sistemas operativos, o protegidos con otros antivirus, o simplemente, no teniendo activadas las actualizaciones automáticas del producto, no se vieron afectados, salvo quizá por el hecho de que dependiesen de sistemas que sí que hubieran resultado afectados por el incidente. Aviones en tierra, vuelos cancelados, pasajeros teniendo que ser realojados, facturación aeroportuaria haciéndose con papel y bolígrafo, datáfonos desconectados, y un largo etcétera de efectos provocaron un caos internacional de proporciones desconocidas hasta la fecha. Y todo ello debido a un fichero de 40 kilobytes que no debería estar en la actualización.

La situación puso,  la fragilidad de los sistemas sobre los que se basa la Sociedad Digital Global, y la escasa ciberresiliencia que presenta. No fue un ataque orquestado desde el Eje del Mal. Fue una simple actualización mal hecha sobre un producto masivamente usado en sistemas de alta criticidad. Alrededor de las 10 horas, ya circulaban ciertas ‘recetas’ para resolver el problema, y durante el resto del día los administradores de los sistemas afectados se centraron en aplicarlas para devolver a la normalidad las operaciones de las organizaciones afectadas. Pero en el mundo real, las personas acababan de experimentar lo que podría haber sido un evento que marcase el fin de nuestra civilización, si se nos permite la exageración.

Seguridad, ciberseguridad y seguridad jurídica

Por tanto, no se trató de un ciberataque, pero eso no puede dejarnos más tranquilos en absoluto. Al contrario, si una simple actualización de software tiene semejante potencial destructivo, ¿qué podemos hacer ante posibles brechas de seguridad y ciberamenazas aún mucho mayores? Nadie es consciente aún de este peligro, y desde luego no se ha alcanzado un nivel óptimo de ciberresiliencia, del mismo modo que, como se demostró durante la pandemia, la resiliencia entendida en términos generales tampoco es nuestro punto fuerte (y por eso se supone que estamos empleando los fondos europeos homónimos para mejorarla). Sea como fuere, en la Administración, muy pocas personas se toman en serio la seguridad y la ciberseguridad, aunque deberíamos, porque no todos somos los responsables de la seguridad de los sistemas informáticos, pero todos somos usuarios.

Para colmo, en las Administraciones se maneja gran cantidad de datos e información sensibles. En la época de la IA los datos van que vuelan, literalmente, y de los datos viven muchas entidades y particulares, pues no en vano son el oro del siglo XXI, y no todos lo hacen de forma legal. Se ha hecho referencia al realtivo suceso crítico de mayor actualidad, pero ya se han acumulado cientos de ellos. Puede recordarse cómo la aplicación Pegasus hizo estragos en España y en unos cuantos países más. No es más que un spyware ordinario (eso sí, muy eficaz y extremadamente caro) que se instala en teléfonos móviles aprovechando alguna vulnerabilidad del sistema. Una vez infecta el dispositivo, lo convierte en una herramienta de acceso total y espionaje remoto. La principal virtud de este programa de vigilancia es que puede utilizar “tecnología de cero clic”, es decir, no necesita que la víctima realice ninguna acción consciente o inconsciente para dejarse infectar. Pero esto no significa que dicha “víctima” no sea responsable de haber contribuido a crear, directa o indirectamente, la aludida brecha de seguridad.

La seguridad comienza por la seguridad regulatoria. Casi simultáneamente a la aparición de las noticias en las que se pone tranquilamente de manifiesto que había estado comprometida la seguridad de España, se aprobó el «nuevo» Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo), ya completamente integrado con disposiciones de ámbito europeo, como el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y la Directiva NIS (Security of Network and Information Systems), hoy en día ya sustituida por la citada NIS2 (cuyo plazo de transposición acaba a mediados de octubre, y que afecta, y mucho, a las AAPP), sin olvidar el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial, cuyas referencias a la seguridad y protección de los datos son constantes. Y también con las de ámbito nacional, como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las famosas leyes 39 y 40 de 1 de octubre de 2015 y su Reglamento de desarrollo (Real Decreto 203/2021, de 30 de marzo). Además, la normativa ENS debe interpretarse conjuntamente con las diversas Estrategias Nacionales de Seguridad, el Plan Nacional de Ciberseguridad, el Plan de Digitalización de las Administraciones Públicas 2021-2025 y la agenda España Digital 2025. Este es el marco normativo de la seguridad y la ciberseguridad en España.

¿Cumpliendo y haciendo cumplir todas estas normas se está verdaderamente a salvo? No. Lo cierto es que, ninguna organización puede garantizar al cien por cien que sus sistemas de información se encuentren protegidos frente a cualquier amenaza, pero sí se pueden medidas dirigidas a prevenir los posibles ataques, reaccionar tempranamente ante los mismos y recuperarse en el menor tiempo posible. 

Los principios básicos por los que se rige el ENS son: seguridad integral; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua y reevaluación periódica; y sistema de responsabilidades. De entre todas las medidas de seguridad, las que más agradan son las de carácter preventivo: análisis de riesgos, configuración segura “por defecto”, efectividad de los cortafuegos, formación y concienciación del personal, o habilitación de canales de comunicación de incidencias de seguridad, entre otras. Y si hay que quedarse con una, apostaríamos sin duda por la concienciación. Una manera de trabajar (y de actuar) más responsable es el mejor cortafuegos.

En definitiva, como dijo Bruce Schneier, «el hardware es fácil de proteger: encerrarlo en una habitación, encadenarlo a un escritorio o comprar uno de repuesto. La información plantea más de un problema. Puede existir en más de un lugar; ser transportada a la mitad del planeta en segundos; y ser robada sin su conocimiento».

Se debe tomar conciencia de la realidad actual, una realidad cambiante, que va muy por delante del Derecho y de la capacidad de reacción del sistema, en la que ni siquiera los hackers –más precisamente los ciberdelincuentes– son ya los de antes, cuando se dedicaban básicamente a hacer “cibergamberradas”. Ahora son capaces de la más tremenda destrucción: acceso a información de carácter médico, a nuestras tarjetas de crédito, ataques a los sistemas informáticos de empresas (SegurCaixa Adeslas), Administraciones (ayuntamientos de Carcaixent, Cheste y alguno muy importante como Sevilla), y por supuesto equipos particulares… Estos accesos son ilegales y, en muchos casos, delictivos (estafas, amenazas, difusión, revelación o cesión ilegal de datos…).

Y aunque,  ninguna organización puede garantizar completamente que sus sistemas de información se encuentren protegidos frente a cualquier amenaza, sí tiene al menos la obligación de adoptar una conducta activa en la toma de medidas, fundamentalmente preventivas. Por ejemplo, el ayuntamiento de Alzira ha implementado, desde hace tiempo, las medidas de seguridad relacionadas el Real Decreto 3/2010, del 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Hablamos de una norma «antigua» (aunque ha experimentado ya algunas modificaciones, la más importante la citada de 2022, y que requiere que las entidades ya certificadas se recertifiquen con la nueva versión) y cuyo cumplimiento debía hacerse efectivo, a más tardar, en enero de 2014. A estas alturas resulta tremendo intentar justificar demoras de una década en la implementación de una norma tan importante. Y es que se trata de medidas dirigidas a prevenir los posibles ataques, reaccionar tempranamente ante los mismos y recuperarse en el menor tiempo posible. En consecuencia, quizá no podamos evitar todos los ataques, pero hay mucha diferencia entre cumplir el ENS y no cumplirlo.

¿Qué pueden hacer los Ayuntamientos?

Se pueden destacar los siguientes tres tipos de medidas ( para ilustrar a las organizaciones que desean mejorar en seguridad):

Medidas de carácter preventivo:

a) Se realiza periódicamente un análisis de riesgos, identificando los activos críticos del sistema, las relaciones existentes entre los mismos, valorando en términos de seguridad su criticidad y analizando los posibles eventos de seguridad a los que se encuentran sometidos tanto en probabilidad como en impacto, proponiendo para los riesgos resultantes proyectos que ayudan a ser cada día menos tolerantes al riesgo.

b) Se proporciona al usuario una configuración “segura por defecto”, de manera que se protege la actividad del usuario, salvo que éste conscientemente se exponga al riesgo.

c) Se dispone de un cortafuegos que separa la red interna de la exterior, de manera que sólo se deja transitar los flujos previamente autorizados.

d) Se han segregado las redes, acotando el acceso a la información, y por lo tanto, la propagación de incidentes de seguridad, limitándose al segmento afectado.

e) Trabajamos con las personas, no con la tecnología (que es un mero instrumento). Un hecho fundamental y en el que ha insistido mucho el Ayuntamiento es la formación y concienciación de los empleados públicos, informándoles de las incidencias más habituales, virus actuales y, sobre todo, abriendo un canal de comunicación de incidencias de seguridad para que puedan escalar rápidamente cualquier sospecha de incidencia.

Medidas reactivas:

a) Se dispone de herramientas que protegen los servicios web más expuestos (correo electrónico, servicios, aplicaciones web y ataques de denegación de servicio), los cuales disponen de alertas que permiten tomar decisiones tempranas.

b) Se dispone de herramientas que protegen al ayuntamiento frente a virus, gusanos, troyanos, programas espías (spyware), y en general, contra cualquier malware.

Medidas de recuperación:

a) Se realizan copias de seguridad que garantizan la continuidad de las operaciones en caso de pérdida de los sistemas habituales de trabajo.

b) Se ha realizado un análisis de impacto y consecuentemente planes de continuidad, de manera que se establecen una serie de acciones a realizar en el caso de interrupción de los servicios prestados con los medios habituales.

Todo ello dentro del citado marco legal encabezado por el ENS, y de la Estrategia de Ciberseguridad Nacional (y, en menor medida la Estrategia de Inteligencia Artificial 2024), que se completan con las Recomendaciones básicas de ciberseguridad del Centro Criptológico Nacional, y sometido además a un proceso de mejora continua de seguridad, de manera que el proceso integral de la seguridad es actualizado y mejorado de forma ininterrumpida.

Es nuestra obligación, como responsables de los datos de nuestros ciudadanos y, en general, de la información especialmente sensible, ponérselo difícil a los ciberdelincuentes. Esta cuestión es muy importante; hay que darle la importancia que tiene y, cuando se apuesta por la tecnología, hay que apostar también de manera clara por la seguridad de los sistemas que soportan toda nuestra actividad e información. Llevamos muchos años advirtiendo que este es uno de los aspectos más importantes de la administración electrónica. Pero en la actualidad el peligro es muy superior al de aquellos años incipientes. A mayor desarrollo tecnológico, mayor riesgo. Ahora llega la IA, un Ferrari que parece que queramos aparcar en la calle con las llaves puestas.

Conclusiones

Volviendo al grave incidente del pasado 19 de julio, resuelto el problema tecnológico y restaurados los servicios, sólo queda sacar las oportunas conclusiones. La primera y obvia es que nuestra Sociedad Digital Global es un sistema complejísimo, por la interdependencia entre sistemas, y la complejidad intrínseca de muchos de ellos, que unido al hecho de las presiones competitivas, hace que se concentre en un puñado de soluciones la oferta en ciertos nichos de mercado. Y ello convierte a la Sociedad Digital Global en un gigante con los pies de barro, en el que una simple actualización mal hecha provoca cientos, si no miles de millones de dólares de impacto económico a nivel mundial. Coincidirán con nosotros en que, lo que es confianza, no da precisamente.

Tras el evento, se han producido dos situaciones que merece la pena citar:

1. Los ciberdelincuentes han aprovechado el evento para lanzar campañas maliciosas, con supuestas soluciones al problema de Crowdstrike, con el efecto final de amplificación del mismo. A rio revuelto, ganancia de pescadores.

2. La compañía, tras pedir disculpas en redes sociales a través de su CEO, publicó un informe oficial sobre el incidente, y planteó compensar a los afectados con un vale de 10 dólares para pedidos en Uber Eats, cuestión que ha terminado de indignar a quienes directa o indirectamente, se han visto perjudicados por el incidente.

A partir del momento en que se tranquilizó el sector tras el incidente, sector profesional muy acostumbrado, desgraciadamente, a la adrenalina y al cortisol, comenzó un debate que sí resulta realmente interesante, en torno a la pregunta de cómo podemos mejorar esa resiliencia, y cuáles eran las verdaderas raíces del problema.

Desde un punto de vista académico clásico, se puede aportar que se debería incorporar este tipo de cuestiones a los análisis de riesgos. Como la probabilidad de ocurrencia se evaluaba como muy baja, el nivel de riesgo también se evaluaba como muy bajo. Además, es que sobre el papel era muy fácil, hablando en general, evitar este tipo de problemas. Sin ir más lejos, normas como el Esquema Nacional de Seguridad imponen la obligación de que, antes cambios en los sistemas de información, antes de su puesta en producción, las pruebas de todo tipo se hagan en un entorno separado del de producción, habitualmente llamado entorno de preproducción o de pruebas, para asegurar que los cambios no impactan negativamente en la seguridad (ni en la funcionalidad, añadiríamos) de los sistemas en su ámbito de aplicación. Otras normas, como la NIST estadounidense, reflejan controles similares.

Sin embargo, se han podido ver los efectos del hecho de que las actualizaciones de Falcon estaban configuradas como automáticas. Un dilema difícil de resolver porque, ¿no sería interesante que, en un fin de semana, por ejemplo, ante la publicación de una actualización crítica para proteger los sistemas de un ataque activo, sin que nadie intervenga, ésta se aplique y mantenga a raya a los ciberdelincuentes? Pero, ¿y si esa actualización genera un incidente como el que hemos vivido? ¿Cuál es la probabilidad de ocurrencia de la amenaza y el impacto que cada una de las decisiones posibles tiene? Si el foco está en la ciberseguridad operativa (a la que podemos considerar ‘chic’), la que nos genera la adrenalina y el cortisol, entonces optaremos por la primera opción. Pero si el foco está en la verdadera ciberresiliencia, optaremos por la segunda, y dispondremos de los procedimientos, recursos y personal apropiados para ello.

Este tipo de disyuntivas en el sector de la tecnología y por ello, metodologías como MAGERIT están disponibles para ayudar, en el sector público español, a valorar adecuadamente los riesgos y proteger nuestros sistemas en consonancia. Sin embargo, para lograr esa protección surge el criterio estrella, el único que muchas administraciones públicas parecen utilizar: el económico. O más bien, el del ahorro. Porque si realmente se hiciese un análisis serio de los riesgos que se asumen por ahorrar un puñado de euros en un ayuntamiento, y que de no hacerlo se derivasen responsabilidades, quizá la cosa cambiara. A este respecto, recomendamos al lector que permanezca atento a la transposición de la Directiva NIS2 al ordenamiento jurídico español, porque puede traer novedades muy impactantes para el modo de pensar y actuar de los países mediterráneos, como ya ocurrió con la aprobación del Reglamento General de Protección de Datos.

¿Cómo se consigue protección frente a un fallo en un sistema? De manera clásica, se ha optado por los sistemas redundantes, que en su estadio más básico se define de forma que si el sistema A cae, hay un sistema B que toma el control y mantiene el servicio funcionando. Quizá con peor rendimiento, pero haciendo su función. Otro mecanismo de redundancia que seguro conoce el lector es el de las copias de seguridad, que permite disponer de los mismos datos en más de un soporte o ubicación, de manera que si se pierden en uno de ellos, se pueda recuperar de otro. Pero ¿la redundancia habría protegido a nuestra Sociedad Digital Global de un incidente como el del 19 de julio? La respuesta no puede ser otra que DEPENDE. Es muy fácil entender que si un determinado servicio, por ejemplo, lo prestan cinco sistemas informáticos que colaboran y son redundantes entre sí, y todos ellos tienen el mismo sistema operativo, los mismos productos instalados y se encuentran configurados de la misma forma, un fallo como el que se experimentó el 19 de julio los hubiera dejado a todos ellos inutilizados, lo cual detendría la prestación del servicio completamente.

Por todo ello, es plausible que una de las lecciones a aprender del ya famoso incidente de Crowdstrike es que los servicios han de disponer de redundancia no sólo numérica o geográfica, como es habitual, sino, a ser posible, en cuanto a sus componentes. Es decir, que si el sistema A está basado, por ejemplo, en Windows más SQL Server más Falcon, el sistema B que da al servicio la redundancia oportuna debería tener otro sistema operativo (no Windows), otro gestor de base de datos (no SQL Server) y otro antivirus (no Falcon). Y eso, convendrán los lectores en que aumenta mucho la complejidad, el coste y los requisitos de personal que presentaría un determinado servicio, además de presentar elevadas dificultades tecnológicas por el interés de los fabricantes en captar mercado y no compatibilizarse con soluciones alternativas. Ahí entra el análisis de riesgos, en valorar que el coste de un sistema así se justifica o no en función de los riesgos. Y si algo va a hacer este incidente global es subir la estimación de ocurrencia de determinadas amenazas en los análisis de riesgos subsiguientes.

La otra lección aprendida es obvia: en el sector de la ciberseguridad se ha desdeñado la ciberresiliencia para poner en epicentro exclusivamente, los ciberataques activos, lo que ha comportado que en algunas organizaciones se hayan priorizado las inversiones en esa faceta y no en otras relacionadas con la resiliencia. Con ello, se pierde de vista una cuestión fundamental: las organizaciones actuales dependen totalmente de la tecnología, y por tanto, serán tan resilientes como lo sean sus sistemas tecnológicos. Cabe, por tanto, optar por la ciberresiliencia, que incluye todos aquellos aspectos de la ciberseguridad ‘chic’, pero que también tiene en cuenta aspectos como la seguridad física, la redundancia de sistemas y la tolerancia a fallos.

En caso contrario, este incidente del 19 de julio de 2024 puede ser tan sólo el primero, y cada vez los impactos pueden ser mayores.