«Los datos médicos y de la vacuna son lo más cotizado en el mercado negro»

Este salmantino de 53 años fue en 2013 uno de los fundadores del Mando Conjunto de Ciberdefensa (hoy Ciberespacio) de los ejércitos y actualmente manda en el Área de Análisis Geopolítico de la División de Estudios y Coordinación de la Defensa. Es autor de ‘Mundo Orwell’ (Ariel, 2018).

¿La situación de amenaza cibernética que vivimos con la vacuna del coronavirus pertenece a ese mundo Orwell que describe en su libro?

En el mundo Orwell hay una incertidumbre constante, en él la tecnología avanza constantemente y nunca sabes si estás seguro o han desarrollado algo que pueda convertirte en víctima. En ese sentido, lo de hoy encaja perfectamente, porque estamos en un mundo global y los atacantes pueden ser estados, pueden ser empresas, pueden ser estados apoyando a sus propias empresas nacionales… o pueden ser incluso particulares, y no se respeta ninguna convención internacional. Las reglas de la guerra que se respetaban anteriormente, como ahora es una actividad de tapadillo, no se cumplen; no hay cortapisas. Siempre se niega la autoría y hay una caza libre mientras no se sobrepasen determinados niveles de violencia.

También, quizá, por la ausencia de una verdadera disuasión.

Totalmente de acuerdo. La disuasión se basa en enseñar tus cartas y decir: «Oye, tengo esto. Si hay problemas, no dudaré en usarlo». Pero en el cibermundo no puedes enseñar tus cartas, porque inmediatamente desarrollan un antídoto contra ellas.

Con esta multiplicación de ataques informáticos a Johnson & Johnson, Pfizer y asociados, Astra Zeneca… ¿Estamos en un escenario de guerra en torno a la vacuna de la Covid-19?

Estamos en ese escenario no solo en cuanto a su distribución, también en cuanto a su comercialización. Lo hemos visto antes con los ataques no solo a las farmacéuticas, también a los hospitales donde se ensayan tratamientos. Se aprovecha cualquier vulnerabilidad que surja, y evidentemente una pandemia como esta genera vulnerabilidades.

Como este país no está en el proceso de fabricación, ¿es la distribución de la vacuna el momento crítico de seguridad del proceso para nosotros?

Como no nos pueden intentar atacar en la fabricación, pueden intentarlo en la distribución. Pero quizá no tanto en la cadena de suministro, la cadena logística, como en el impacto social, la credibilidad que pueda tener la vacuna y la reticencia que puede tener la población para vacunarse en un momento dado. Eso es también una vulnerabilidad para España: que la gente esté más tiempo expuesta al virus. Las vulnerabilidades van mucho más allá de lo que es la mera cadena logística.

"El robo de bienes materiales a gran escala no es rentable ya. Ahora interesa el conocimiento"

¿Son ahora el nuevo tesoro para los piratas de la red los datos médicos y técnicos de la vacuna ?

Los de la vacuna y los datos médicos en general. Estos son ahora mismo los datos más cotizados en el mercado negro. En los ataques cibernéticos a los hospitales no se trata de paralizar la actividad del hospital, eso es un daño colateral; se trata de acceder a las bases de datos, los historiales clínicos, y solo ya de paso cobrar rescate. Los datos de hospitales y de laboratorios con respecto a la vacuna puedes usarlos tú y vendérselos a otros para que los usen para sus fines. O sea, se pueden monetizar varias veces. Las vacunas se han hecho en base a aplicaciones algorítmicas de inteligencia artificial, y a eso hay que alimentarlo con miles de millones de datos a los que no se tiene acceso directo, se compran en el mercado.

El dato importa y atrae más que el producto en sí.

Ahora mismo, el robo de bienes materiales a muy gran escala no suele ser rentable: resulta demasiado evidente, es más fácilmente perseguible… Lo que interesa más ahora es el conocimiento.

¿Cuál es la principal amenaza que detecta en la llegada, el almacenamiento y la distribución de la vacuna en España?

La más probable es una generación de confusión, que se genere caos. La naviera Maersk, por ejemplo, sufrió uno de estos ataques y se quedó sin saber dónde estaban y hacia dónde iban millones de contenedores que tenía por barcos y puertos de todo el mundo. Más sofisticado y dañino sería un ataque a la producción de la vacuna, pero entiendo que hay establecidos mecanismos redundantes que lo mitigarían.

Hay un documento clave en el proceso: la ficha de vacunación. ¿Qué datos nuestros deberían no aparecer ahí?

El problema no son los datos que aparezcan en la ficha, sino quién tenga acceso a ellos, en manos de quién caen. Evidentemente, el sistema de salud va a necesitar acceder a datos que, en manos equivocadas, pueden ser peligrosos. Deben aparecer juntos solo a los ojos de quien debe verlos juntos. Para los demás deben aparecer desagregados. No me preocupa que digan si el 49% de los habitantes de Barcelona se ha vacunado y el 51% no, sino que digan si yo me he vacunado o no.

¿Una empresa de seguros o de banca puede tener interés en saber si has sido vacunado o no?

Efectivamente. Es peligroso, y lo describo en mi libro: cómo en algunos países se han establecido sistemas, semáforos, sobre si una persona es segura o no lo es. Los carnés de vacunación que inicialmente pretenden identificar a las personas que están en riesgo pueden dar lugar a discriminaciones, como que quien no posea el carné no pueda viajar porque en el avión no se lo permiten.