¿Qué tan seguros son sus sistemas bibliotecarios ante un posible ataque cibernético?
Escribe
Al hablar sobre ciberseguridad en bibliotecas, las personas lo vinculan con los metadatos de los repositorios y datos de los registros bibliográficos almacenados en algún sistema automatizado. Pero más allá, la biblioteca almacena datos personales de los diversos tipos de usuarios en el módulo de circulación o mediante la integración con otros sistemas de la entidad a la que pertenece la unidad de información. Además, aquellas que cobran por morosidad tienen almacenados los datos de tarjeta de los usuarios. Uno de los ciberataques más sonados es el de la British Library, ocurrido en octubre del 2023. Este ataque afectó casi la totalidad de los servicios digitales y catálogo en línea. Recién a partir del 10 de octubre del presente año, han podido volver a poner a disponibilidad algunos de sus servicios digitales y aún están en proceso de recuperación de todos los servicios para el 2025.
Los datos están expuestos a los cibercriminales que a diario buscan las vulnerabilidades de los sistemas informáticos y así acceder a la información. Ante esto se hace necesaria la implementación de planes de ciberseguridad en la institución.
Publicidad
Ciberseguridad
Usaremos para esta nota la definición de ciberseguridad publicada en el inciso h del artículo 3 del Decreto de Urgencia N°007-2020 que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, que señala:
«Ciberseguridad.- Capacidad tecnológica de preservar el adecuado funcionamiento de las redes, activos y sistemas informáticos y protegerlos ante amenazas y vulnerabilidades en el entorno digital. Comprende la perspectiva técnica de la Seguridad Digital y es un ámbito del Marco de Seguridad Digital del país» (p. 7).
Al analizar esta definición vemos que abarca los tres principios de la ciberseguridad: confidencialidad, integridad y disponibilidad, los cuales son el punto de partida para la implementación de estrategias de ciberseguridad con la finalidad de proteger los activos digitales de las instituciones. A la vez debemos aclarar que esta protección solo reduce los riesgos de ciberataques, pues no existe una estrategia perfecta ni sistema informático invulnerable.
Los ciberdelincuentes usan diferentes técnicas informáticas para atentar contra los datos personales, financieros, infraestructura tecnológica, denominados como delitos informáticos. Estos delitos son denunciados ante la Policía Nacional del Perú (PNP) y de acuerdo con un informe de la Defensoría del Pueblo (2023) la situación es la siguiente:
El fraude informático es el más común en nuestro país y va incrementando anualmente. Seguido de suplantación de identidad, a ambos se les vincula con el ámbito financiero de las personas. Los otros delitos presentan un menor porcentaje, pero no es indicativo que dejen de ser peligrosos para personas e instituciones.
Lo positivo es que existe una normativa nacional que castiga con pena privativa esos delitos y otros más.
Ley 30096, Ley de Delitos Informáticos (2013)
Modificatorias:
– Ley 30171, Ley que modifica la Ley 30096, Ley de delitos informáticos (2014).
– Decreto Legislativo Nº 1591, Decreto Legislativo que modifica la Ley Nº 30096, Ley de delitos informáticos, para promover el uso seguro y responsable de las tecnologías digitales por niñas, niños y adolescentes (2023).
– Decreto Legislativo Nº 1625, Decreto Legislativo que modifica los artículos 154-B y 158 del Código Penal e incorpora el artículo 5-A en la Ley Nº 30096, Ley de delitos informáticos, para fortalecer el marco normativo sobre el uso de tecnologías digitales relacionado a la difusión de imágenes, materiales audiovisuales o audios con contenido sexual.
Ciberseguridad en bibliotecas
Las bibliotecas son propensas a los ciberataques por el valor de los datos de sus usuarios, datos de investigación, acceso a las colecciones digitales protegidas con propiedad intelectual, obsolescencia tecnológica a nivel de hardware y software; y desactualización de los sistemas automatizados, gestores de contenido, repositorios, etc.
A manera de ayuda, brindamos algunas sugerencias para mejorar la seguridad de algunos sistemas que gestionan las bibliotecas.
- Open Journal System
Un cibercriminal puede realizar un envío de un manuscrito a través de la plataforma y anexar archivos con código malicioso. Por eso se sugiere indicar a los usuarios que solo se aceptan artículos con extensiones doc, .docx, odt, .pdf y no del tipo ejecutables.
Asimismo, es recomendable utilizar reCaptcha para bloquear el spam y evitar los envíos automáticos a la plataforma OJS. El siguiente video te enseña a crear e instalar Google reCaptcha en OJS.
- Gestores de contenido
Por aspectos presupuestarios decenas de bibliotecas usan gestores de contenido de código abierto como página principal de su sitio web, tentadora entrada para los cibercriminales. Ante esto se recomienda implementar certificados de seguridad (https) y usar conexiones seguras para el servidor, y que el administrador del servidor solo otorgue permisos de ejecución a la carpeta que almacena los archivos e imágenes que se suben por el interfaz de administración del gestor de contenido.
- Uso de contraseñas
Las contraseñas que usan la mayoría de las personas en sus cuentas de correo electrónico, acceso al catálogo en línea, repositorios, descubridores, bases de datos, etcétera, son palabras asociadas a algún aspecto de su vida fácil de recordar, como la fecha de nacimiento, nombres de sus padres, hijos o hasta de sus mascotas. Esto ocasiona que los ciberdelincuentes, con solo conocer parte de la vida de las personas, puedan vulnerar y acceder a sus cuentas y empezar el ataque.
Ante esto lo recomendable es utilizar una contraseña alfanumérica con un carácter especial (@, #, …) en medio de la palabra, pues de esta forma interrumpe la cadena de desencriptación de la contraseña.
Recomendaciones
– Las bibliotecas deben de concientizar al personal y los usuarios de la importancia de la ciberseguridad y las consecuencias que pueden sufrir por la exposición de sus datos personales y bancarios.
– Coordinar con el área de tecnologías de su institución para ser consideradas en la planificación de estrategias de prevención y respuesta de ciberseguridad.
– Solicitar al área de tecnologías de su entidad generar copias de seguridad de los sistemas que usa la biblioteca y que sean almacenadas en un lugar o equipo que no esté conectado a la red.
_______________________________________
Bibliografía
– British Library (s.f.). Cyber-attack update. Recuperado el 09 de noviembre de 2024.
– British Library (10 de octubre de 2024). Restoring our services – 10 October 2024 update.
– Decreto de Urgencia Nº 007-2020 Decreto de Urgencia que aprueba el marco de confianza digital y dispone medidas para su fortalecimiento (9 de enero de 2020).
– Decreto Legislativo Nº 1591, Decreto Legislativo que modifica la Ley Nº 30096, Ley de delitos informáticos, para promover el uso seguro y responsable de las tecnologías digitales por niñas, niños y adolescentes (13 de diciembre de 2023).
– Decreto Legislativo Nº 1625, Decreto Legislativo que modifica los artículos 154-B y 158 del Código Penal e incorpora el artículo 5-A en la Ley Nº 30096, Ley de delitos informáticos, para fortalecer el marco normativo sobre el uso de tecnologías digitales relacionado a la difusión de imágenes, materiales audiovisuales o audios con contenido sexual (8 de agosto de 2024).
– Defensoría del Pueblo. (2023). Informe defensorial N° 001-2023-DP/ADHPD: La ciberdelincuencia en el Perú: estrategias y retos del Estado.
– Ley Nº 30096, Ley de delitos informáticos (22 de octubre de 2013).
– Ley N° 30171, Ley que modifica la Ley 30096, Ley de delitos informáticos (10 de marzo de 2014).
Artículos relacionados
Licenciado en Bibliotecología y Ciencias de la Información por la Universidad Nacional Mayor de San Marcos. Especialista en tecnologías de la información e informática para bibliotecas. Docente y capacitador en software de código abierto. Contacto: lgutierrezc@unmsm.edu.pe
Excelente artículo.
Gracias,Luis, excelente artículo.
Hola Julio, gracias por tu comentario.
Excelente artículo.
Hola toño, gracias por tu comentario.
El ciberataque a la British Library es el más claro ejemplo que se debe tomar medidas de prevención para evitar ser víctimas de esta modalidad. Interesante y pertinente artículo sobre seguridad de la información
Hola César, gracias por tu comentario. Si es muy importante la planificación y elaborar las políticas sobre ciberseguridad.