Estoy asombrado por las reacciones que se han producido en relación con el incidente de seguridad de Inteco.
Primero, señalar mi percepción de que se trata de un incidente menor, que afecta a un servicio no esencial de la institución.
Segundo, que lo ha detectado y hecho público la propia institución. Nunca se sabe cual es la mejor forma de afrontar una crisis, pero, en mi opinión, la dirección de Inteco ha hecho un ejercicio de transparencia y responsabilidad encomiable, como no se ha visto nunca antes en España. Reconocer los problemas es la mejor forma de acometer su resolución.
Tercero, el impacto del problema. Los datos captados por los atacantes: nombre, apellidos, DNI y email, pese a que, efectivamente son datos personales, tienen un impacto mínimo en el nivel de alerta de los usuarios afectados (entre los que me incluyo).
En mi caso, mi DNI puede obtenerse buscando en Google alguna notificación relacionada con mi nombre, publicada en un boletín oficial. En cuanto a mi e-mail (uno de ellos) se puede obtener de diferentes formas: en este mismo blog, o buscando alguna presentación de alguna conferencia que haya impartido.
No considero que haya habido negligencia en la actuación de Inteco, sabiendo, como sabemos, que el mundo de la seguridad es una carrera de “buenos” contra “malos”. Cuando se conoce una vulnerabilidad, se ponen los medios para corregirla o soslayarla. Y en eso, la propia INTECO realiza un gran papel para alertar al público.
Mi conclusión es que, pese a los sensacionalistas titulares que se están viendo, Inteco está realizando una gran labor y este incidente para nada menoscaba sus logros. Al contrario, la valentía en la forma de afrontarlo señala un nuevo camino a muchas entidades que hubieran echado tierra al asunto de haber sufrido una agresión semejante.
Enhorabuena a Inteco y a sus gestores por esta lección de procedimientos de gestión de crisis.
