Robo de datos en el Servicio de Pensiones: Japón ante la ciberseguridad

Un ciberataque (lato sensu) al Servicio de Pensiones

En mayo de 2015 se produjo en el Servicio de Pensiones de Japón (sistema público de pensiones) una gran filtración de datos personales que afectó a 1,25 millones de personas, entre perceptores y cotizantes. Se trató, según se piensa, de un ciberataque. En sentido estricto, el término ciberataque se reserva para los casos que implican daños a la vida de las personas o destrucción física. Por tanto, si lo que ha ocurrido es un simple robo de datos, no sería la palabra indicada, pero, en sentido lato, sí que estaríamos ante un ciberataque.

Es difícil que se produzcan daños directos cuando el robo afecta solo a los cuatro datos personales básicos: número de pensionista, nombre, dirección y número telefónico. En combinación con otros datos, como un número de tarjeta de crédito, la información podría convertirse rápidamente en dinero, pero parece ser que la intención de los atacantes era otra.

El objetivo inmediato parece haber sido la propia penetración en el sistema informático del Servicio de Pensiones de Japón con la idea de, una vez dentro, aprovechar sus informaciones internas y, valiéndose de sus ramificaciones, acceder a organismos gubernamentales.

Los niveles de ciberseguridad del Gobierno central de Japón son ya considerablemente altos y penetrar directamente en sus sistemas informáticos es cada vez más difícil. Por eso, los hackers han puesto su mira en los organismos periféricos y think tanks (laboratorios de ideas), así como en las empresas privadas, universidades y otras instituciones vinculadas de alguna forma al Gobierno. Impacta oír hablar de un robo de información en este servicio y es lógico que la atención se haya centrado en el robo en sí, pero observada en toda su magnitud, hay razones para sospechar que se trataba de una estratagema cibernética de mucho mayor calado.

El amplio radio de acción de los ciberataques

El caso ocurrido en Estados Unidos, que salió a relucir en esas mismas fechas, fue todavía más grave. En esa ocasión fue la Oficina de Gestión de Personal del Gobierno norteamericano la que sufrió el robo de información, que fue cifrado en 22,1 millones de datos. En ese país hay más de cinco millones de personas con derecho a acceder a esa información clasificada (security clearance) y ellos estuvieron entre los afectados por el robo de datos personales.

Para obtener ese derecho, el Gobierno preguntó a los solicitantes sobre la composición de su familia, las direcciones de todos sus domicilios anteriores con sus respectivos número telefónicos, todas las ciudades extranjeras visitadas hasta el momento, relaciones sociales, situación de endeudamiento, enfermedades padecidas, orientación sexual, infidelidades conyugales, etcétera, datos pertenecientes a la privacidad que nadie desearía dejar al descubierto. Se reclama este amplio abanico de datos de los solicitantes no para conocer los hechos en sí, sino para saber si el solicitante mienten o no.

Cabe temer que estos datos sean utilizados en diversas formas de chantaje. Las posibilidades de uso van desde la obtención de dinero hasta objetivos de carácter político. Por ejemplo, si entre las personas cuyos datos han sido robados se descubre que había estadounidenses de origen asiático que han obtenido el derecho de acceso a esas informaciones clasificadas como funcionarios del Gobierno, es posible que se llegue a conocer dónde viven sus padres, y si su lugar de residencia es el país de origen, esta circunstancia podría ser aprovechada por otros Gobiernos para presionar sobre ellos y forzar a los funcionarios (sus hijos) a actuar como espías.

Compartir información y coordinar esfuerzos

Pero, ¿cómo se está llevando en Japón la política de ciberseguridad? Tras la aprobación por la Dieta (Parlamento) de la Ley Básica de Ciberseguridad en noviembre de 2014, el 25 de mayo de 2015 la Oficina Central de Estrategia de Ciberseguridad dio a conocer el borrador para su nueva estrategia. Sin embargo, dado que justo después de hacerse público el documento se informó del ciberataque contra el Servicio de Pensiones de Japón, el secretario general del Gabinete, que ejerce también como presidente del citado organismo, dio instrucciones para que el borrador se revisase. El nuevo borrador quedó listo el 20 de agosto y el 4 de septiembre fue aprobado por el Consejo de Ministros. La aprobación por el Consejo de Ministros no convierte el borrador en ley, pero sí lo dota de una fuerza vinculante prácticamente igual a la que tiene la legislación, lo cual indica el destacado lugar que le adjudica el Gobierno y lo convierte al mismo tiempo en eje de todas las políticas de seguridad que puedan desarrollar en adelante ministerios, agencias y otros órganos gubernamentales.

En las 40 páginas de que consta el documento descubrimos 51 veces la palabra compartir y 80 veces cooperar (coordinar). En el documento que contenía la anterior estrategia, publicado en junio de 2013, de 43 páginas, aparecían 48 y 62 veces respectivamente, así que puede decirse que, en especial cooperar (coordinar), tiene una mayor presencia. En todo caso, compartir información sobre incidencias y otros hechos, y cooperar entre organizaciones parecen ser las metas más características de la estrategia japonesa de ciberseguridad.

Puntos clave de la nueva estrategia

Además de lo anterior, conviene fijarse, en primer lugar, en el refuerzo recibido por el Equipo de Coordinación en las Operaciones de Seguridad del Gobierno (GSOC, por sus siglas en inglés). El GSOC, establecido dentro del Centro Nacional de Seguridad Informática (NISC, ídem) tenía hasta ahora por principal función la vigilancia de las redes informáticas de los ministerios y agencias del Gobierno central japonés.

Cuando ocurrió el ciberataque contra el Servicio de Pensiones de Japón, el GSOC fue el primero en detectarlo y, aunque se puso en contacto con la institución, no fue posible responder con la suficiente rapidez. Por eso se decidió intensificar la vigilancia del GSOC y extenderla a ciertas instituciones o agencias administrativas independientes y a algunas corporaciones públicas especiales, categoría esta última en la que entra el Servicio de Pensiones de Japón. Para estar en condiciones de cumplir esta función de la mejor manera, se les asignará tanto al NISC como al GSOC nuevo personal y mayores presupuestos.

En segundo lugar, se está trabajando en los mecanismos preventivos, pues no solo es importante reaccionar correctamente una vez ocurrido un ciberataque. Se piensa que para hacer frente a la amenaza de un ciberataque resultan útiles las informaciones sobre pequeñas fallas del sistema y otras informaciones premonitorias, por eso se está procediendo a una recogida de información con criterios comunes con las entidades relacionadas. También se afirma que se reforzarán los sistemas relacionados con la puesta en común en informaciones del conjunto de los organismos gubernamentales y con las coordinaciones que se realizan entre organismos gubernamentales y otras entidades. Lógicamente, es muy importante reaccionar rápidamente a un ciberataque y restablecer los sistemas, pero también es posible prevenir la ocurrencia de los ciberataques mediante la puesta en común de información sobre los ciberataques sufridos en otros países o en otras entidades y la vigilancia simultánea de las redes y sistemas.

Contribución japonesa a la comunidad internacional

En tercer lugar, se afirma también que no es posible, ni adecuado, que el mantenimiento del orden en el ciberespacio recaiga totalmente sobre el Estado. Hoy en día, en las negociaciones internacionales sobre ciberseguridad, países como China o Rusia sostienen que los Estados deben responsabilizarse de las acciones ilegales cometidas en el ciberespacio. Japón, Estados Unidos y los países europeos se oponen a este planteamiento alegando que es necesario asegurar la libertad de expresión y de circulación de información. Si se pretende que los Gobiernos se responsabilicen completamente de la ciberseguridad, irremisiblemente iremos hacia una sociedad vigilada similar a la existente en los dos primeros países. Japón ha dejado en claro que su intención no es esa, como queda de manifiesto también en otra parte del documento, donde se dice que Japón “seguirá garantizando su seguridad nacional y contribuyendo al mismo tiempo activamente al sostenimiento del orden internacional oponiéndose firmemente al monopolio, control y censura informativa propios de regímenes autocráticos, a su robo, destrucción y ciberataques dirigidos por terroristas y otras organizaciones no estatales, y favoreciendo la paz y estabilidad de la comunidad internacional mediante un pacifismo proactivo basado en la promoción del concierto entre las naciones”.

No se pueden elevar muros contra los ciberataques

La política de ciberseguridad no puede consistir en elevar muros altos y resistentes para protegerse tras ellos. La sociedad unida por redes informáticas en la que vivimos solo puede demostrar su verdadero valor mediante un intercambio abierto y libre de informaciones. Hay que empezar por asumir que no es posible elevar un muro que nos proteja totalmente de los ciberataques y que, una vez abierto un pequeño agujero, el enemigo puede colarse por él, tomar el control de la situación y robarnos.

Como se pide en el documento, hay que empezar por la formación del personal, una condición indispensable. La respuesta japonesa al problema de los ciberataques debería consistir en situar personas de elevada formación tanto en los organismos gubernamentales como en las entidades privadas, compartir información superando las barreras entre organizaciones y, mediante una buena coordinación entre estas y entre individuos, implementar las medidas de ciberseguridad.