Nociones de ciberseguridad para bibliotecas

RansomwareA la hora de escribir esta entrada, parece que el ataque cibernético del pasado viernes está remitiendo, aunque no sin esfuerzo. La agresión de WannaCry contra los servidores de la española Telefónica, el sistema sanitario británico, las gasolineras chinas y otras grandes corporaciones ha dejado al descubierto la vulnerabilidad a la que estamos sometidos en la Red global. Aunque parece evidente que no es cuestión tanto del propio sistema como de la dejadez e improvisación con la que se abordan las cuestiones de ciberseguridad. No deja de ser llamativo, afortunadamente, que los grandes bancos —que deberían ser objetivos primarios de este tipo de piratas informáticos— no se hayan visto afectados, sin duda porque la seguridad de sus fondos forma parte de su ADN corporativo.

Aunque se trata de una estrategia indiscriminada que aprovecha determinadas debilidades en los sistemas de control de acceso a los datos y la facilidad de comunicación entre sistemas remotos, los ciberatacantes en principio buscan a sus víctimas entre aquellos que suman a la debilidad de su protección el alto valor de los datos manejados. Así que nosotros podemos estar… ¿tranquilos? Pues va a ser que no. De hecho, no sería la primera vez que fuesen atacadas algunas redes bibliotecarias. A comienzos de este mismo año los 700 ordenadores de las 16 bibliotecas de St Louis, en Estados Unidos, fueron infectados con un ransomware que los bloqueó. Los crackers exigieron el abono de 35.000 en bitcoins, ante lo cual las autoridades bibliotecarias valoraron reconstruir desde cero su sistema informático, algo que al parecer finalmente no fue necesario. Con anterioridad, fue la Library of Congress la víctima de los ciberdelincuentes, quienes en este caso realizaron un ataque distribuido de denegación de servicio [DDoS], lo que provocó el colapso de los servidores y afectó igualmente a la U.S. Copyright Office (Oficina de Derechos de Autor de los Estados Unidos) y el Braille and Audio Reading Download (Servicio de Biblioteca Nacional para Ciegos y Sordos), a la propia web del Congreso de los Estados Unidos y su sistema interno de correo electrónico. Poco después fue la Richland Public Library la víctima de un ciberataque…

La experiencia demuestra que las bibliotecas no están exentas de riesgo. En ocasiones pueden ser objeto de extorsión o, en otras, simplemente blanco de criminales cuyo único afán es la notoriedad o el mal en sí mismo. Pero, en cualquier caso, se trata de ataques contra los derechos fundamentales de los ciudadanos, especialmente los más débiles, aquellos que sólo pueden contar con los servicios gratuitos de las bibliotecas públicas para conectarse a Internet, acceder a información, comunicarse… De ahí que los bibliotecarios debamos ser especialmente escrupulosos a la hora de velar por la seguridad de nuestros sistemas informáticos. Más aún: en la medida en que los sistemas informáticos de las bibliotecas están de una u otra manera conectados a la red corporativa de la entidad administrativa de la que dependen, pueden suponer un flanco débil en la seguridad cibernética de la corporación, lo que incrementa todavía más nuestra responsabilidad.

Por eso resulta sumamente importante y necesario tomar ciertas medidas para garantizar en lo posible la fortaleza cibernética de las bibliotecas públicas. Algunas medidas son muy simples, apenas aplicación del mero sentido común, mientras que otras pueden resultar más complejas, pero igualmente necesarias.

  • Para empezar, las contraseñas deberían ser diferentes para distintas herramientas, periódicamente renovadas y, por supuesto, siempre secretas.
  • Evidentemente, se impone la actualización sistemática de todo el software de los equipos, no únicamente los programas de protección (antivirus, firmware, etc.) y la implantación de sistemas de regeneración automática de los discos de los ordenadores de uso público.
  • Por obvio que resulte, no está de más recordar la necesidad de comprobar la autenticidad de cualquier comunicación, ya sea a través de correo electrónico, teléfono o de otra manera, en la que se demande lo que pudiera considerarse información mínimamente sensible.
  • Conviene implementar túneles encriptados https en los servicios web de la biblioteca empleando protocolos más seguros, como el TLS.
  • Ahora más que nunca se hace necesario analizar los protocolos de seguridad de todos los proveedores de servicios electrónicos, desechando desde el principio a los que resulten potencialmente arriesgados.
  • Debemos realizar copias integrales de seguridad del sistema con tanta frecuencia como te sea posible.
  • Por si todo esto fallase, resulta imprescindible establecer un plan de contingencia para activarlo de manera inmediata en caso de ataque, especialmente para conservar o recuperar el control de las colecciones digitales y mantener los servicios básicos mediante procedimientos estancos (sistema manual de préstamo, por ejemplo).
  • Y, por supuesto, no olvidemos incorporar la información y la formación en ciberseguridad a los programas de ALFIN de la biblioteca, con el propósito —entre otros— de que tus usuarios realicen un uso seguro de los ordenadores que la biblioteca pone a su servicio.

La complejidad de alguna de estas medidas puede exceder nuestra capacidad personal o la de la biblioteca misma. Afortunadamente, nuestras bibliotecas públicas están vinculadas a otras instituciones —ayuntamientos, diputaciones, gobiernos autónomos…— con capacidad para asesorar e incluso asumir alguna de estas medidas. Y, por supuesto, las redes de bibliotecas deben tomar buena nota e incorporarlas de manera inmediata a su cultura funcional corporativa.

Recordemos siempre que todas las empresas y todas las instituciones públicas —incluidas las bibliotecas—, mientras continúen operando a través de Internet,  son vulnerables.

Rafael Ibáñez Hernández

Colaborador en BiblogTecarios Bibliotecario en la Biblioteca Municipal. Curioso de las nuevas tecnologías (aunque ya no sean tan nuevas), pero empeñado en mantener los pies sobre el suelo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *