La Oficina Antifrau de Catalunya (OAC) ha abierto un procedimiento sancionador contra un directivo de TMB, la empresa pública que gestiona el metro y el bus en Barcelona, por la exposición de datos confidenciales de empleados en la intranet de la compañía que desveló elDiario.es en febrero de 2025.

La propuesta de sanción, todavía por determinar, podría alcanzar un máximo de 300.000 euros porque Antifraude considera “muy grave” la presunta infracción cometida, al haber vulnerado las garantías de confidencialidad y anonimato de una persona informante de la propia OAC.

Son varios los empleados de TMB que, durante los últimos años, han pedido amparo a Antifraude para obtener su protección como informantes de presuntos casos de corrupción. Algunos de ellos lo hicieron tras alertar de la propia brecha de seguridad en la intranet, otros tras denunciar o investigar a altos directivos por presunto acoso laboral.

La posible multa se dirige contra el director del área jurídica y de buen gobierno, también imputado en un juzgado penal junto al consejero delegado y otra directiva por presunto acoso laboral a la jefa que investigaba irregularidades internas.

La propuesta de sanción se suma a la cuantiosa multa que la Autoridad Catalana de Protección de Datos (APDCat) pretende imponer a la compañía por los mismos hechos. En el caso de la APDCat, la sanción podría llegar a 15 millones de euros. 

Desde TMB señalan que el afectado presentará alegaciones ante la Oficina Antifraude, recuerdan que la brecha ocurrió hace más de un año, aseguran que lo pusieron en contacto de las autoridades, y achacan el fallo a un “error” del “proveedor externo” que se encargaba de la gestión del sistema informático.

Datos sensibles a la vista

Tal y como desveló este periódico hace un año, un error en la configuración de la intranet de TMB permitió que cualquiera de los casi 9.000 empleados de la compañía pudiera acceder, y descargar, cientos de gigas de información sensible de algunos de sus compañeros.

La información accesible, en algunos supuestos, era altamente confidencial e incluía expedientes de la propia Oficina Antifraude, denuncias al Canal Ético de la empresa, actas del Consejo de Administración, expedientes de Fiscalía, demandas laborales, informes de riesgos psicosociales, correos electrónicos…

También estaba expuesta otra información comprometedora del departamento de recursos humanos y del de compliance como por ejemplo grabaciones de testigos entrevistados durante la instrucción de un caso de acoso laboral.

Los empleados de TMB también podían consultar datos de familiares de los demás empleados, contratos de trabajo, solicitudes de baja, informes y diagnósticos médicos, denuncias policiales, sentencias judiciales, actas de conciliación en despidos o incluso convenios reguladores de regímenes de separación conyugal.

La propuesta de sanción de Antifraude supone un elemento más en la crisis de reputación que vive TMB: a los problemas derivados de la brecha de seguridad se le suma la imputación de hasta cinco altos directivos en juzgados penales por dos presuntos delitos de acoso laboral.

En las dos querellas por presunto acoso laboral que han presentado contra estos cinco directivos también se ha incluido la mencionada brecha de seguridad, ya que los datos de las dos denunciantes y toda la documentación de las investigaciones internas de sus casos estuvieron al descubierto durante meses.

Durante años, las memorias USB fueron la herramienta más común para guardar y trasladar archivos digitales. Su tamaño reducido, facilidad de uso y bajo precio las convirtieron en un accesorio habitual tanto en entornos de trabajo como en el uso personal. Sin embargo, el avance de nuevas tecnologías de almacenamiento y la necesidad de manejar mayores volúmenes de información han reducido su protagonismo. Hoy, el mercado ofrece alternativas más rápidas, seguras y adaptadas a los hábitos actuales de los usuarios.

El aumento del tamaño de los archivos, impulsado por el contenido audiovisual, los videojuegos o el trabajo en remoto, ha hecho que las soluciones tradicionales se queden cortas. La demanda de velocidad, capacidad y conectividad ha favorecido la adopción de otros sistemas que permiten mover datos con mayor eficiencia y acceder a ellos desde diferentes dispositivos. En este contexto, las memorias portátiles han dado paso a opciones más versátiles que combinan portabilidad con un mejor rendimiento.

Entre las alternativas más extendidas destacan los discos SSD externos, las tarjetas SD o microSD y el almacenamiento en la nube. Cada una responde a diferentes necesidades de uso, desde quienes buscan una opción física y resistente hasta quienes prefieren acceder a su información desde cualquier lugar sin depender de un dispositivo específico. Estas tres soluciones se han consolidado como las principales formas de reemplazar a las memorias USB en el manejo cotidiano de datos.

Discos SSD

Los discos sólidos externos se han posicionado como una de las alternativas más prácticas para almacenar y trasladar información. Su tecnología permite mover grandes cantidades de datos en cuestión de segundos, algo especialmente útil para quienes trabajan con archivos pesados, como videos o proyectos de diseño. Al no tener piezas móviles, resisten mejor los golpes y el desgaste, lo que reduce los fallos y mejora su fiabilidad frente a los dispositivos tradicionales.

A diferencia de las memorias USB, los SSD pueden alcanzar varios terabytes de capacidad sin perder velocidad. Aunque siguen siendo más caros, su durabilidad y eficiencia compensan la inversión, sobre todo para quienes necesitan hacer copias de seguridad o mover grandes volúmenes de datos con frecuencia. Su uso se ha extendido tanto en entornos domésticos como profesionales, impulsado por la búsqueda de soluciones más rápidas, seguras y estables.

Tarjetas SD y microSD

Las tarjetas SD y microSD siguen ocupando un lugar importante en el almacenamiento digital por su tamaño reducido y su compatibilidad con múltiples dispositivos. Es habitual encontrarlas en móviles, cámaras, drones, portátiles o consolas, ya que permiten ampliar la memoria de forma sencilla y sin necesidad de accesorios. Su principal ventaja es la comodidad: se pueden extraer, intercambiar y usar en diferentes equipos con facilidad.

Disponibles en distintas capacidades y velocidades, se adaptan tanto a un uso cotidiano como a tareas más exigentes. Su bajo consumo de energía, buena durabilidad y precio accesible las mantienen vigentes a pesar del avance de otras tecnologías. Para quienes buscan portabilidad y autonomía sin depender de conexión a internet, siguen siendo una opción práctica y confiable.

Almacenamiento en la nube

El almacenamiento en la nube ha modificado de manera profunda la gestión de los datos digitales. Este sistema permite guardar información en servidores remotos y acceder a ella desde cualquier dispositivo con conexión a internet. La posibilidad de disponer de los archivos en todo momento, sin necesidad de transportar un soporte físico, ha impulsado su uso tanto en entornos laborales como personales. Además, los servicios de nube suelen incorporar sincronización automática, lo que mantiene los documentos actualizados en todos los equipos asociados a una misma cuenta.

Otra característica relevante es la seguridad que ofrecen estos servicios. Muchos incorporan copias de respaldo automáticas y cifrado de datos, reduciendo el riesgo de pérdida o acceso no autorizado. Estos servicios suelen ofrecer un plan gratuito con espacio limitado y opciones de pago para quienes necesitan más capacidad.

Durante los próximos tres días, Albacete se convertirá en el epicentro de los expertos en seguridad informática de España. La 13ª edición de la Navaja Negra Conference arranca este jueves con el cartel de ‘no hay billetes’ colgado tras agotarse las 900 entradas disponibles.

Y lo hará con un tema como protagonista de buena parte de las charlas: la inteligencia artificial y su papel en nuestras vidas, en una comunidad autónoma, Castilla-La Mancha, donde su Gobierno regional apuesta fuerte por los centros de datos, en particular en Talavera de la Reina. Ejemplo de ello fue el anuncio a principios de año de que Substrate AI tenía previsto implantar un centro de datos de inteligencia artificial en esta localidad.

Eso solo uno de los proyectos que se suman al que proyecta Meta (empresa matriz de Facebook, Instagram o Whatsapp) en el mismo lugar y del que no hay noticias recientes, a pesar de contar con el visto bueno del Gobierno regional desde hace un año. El pasado verano, el presidente regional Emiliano García-Page anunció que la empresa de Marck Zuckerberg ya había presentado el proyecto de reparcelación para instalarse en esta parte de la provincia de Toledo.

Usar “infraestructura construida en Europa” por “seguridad”

Rubén Ródenas, presidente de la Asociación Navaja Negra, la entidad que organiza la conferencia de cibreseguridad junto a la Universidad de Castilla-La Mancha (UCLM) y su Escuela Superior de Ingeniería Informática de Albacete, cree que estos centros de datos que las grandes tecnológicas tienen proyectados instalar en Europa, como los planeados en Talavera de la Reina, son una buena noticia, pero lamenta que ese esfuerzo inversor venga por parte de grandes compañías tecnológicas extracomunitarias.

“En Europa deberíamos de fomentar y ayudar a pymes que quieran emprender en esa línea a poder tener también centros de datos propios. No solamente de empresas americanas o chinas, que ya llegarán, y empezar a utilizar infraestructura construida en Europa y propia, que siempre va a estar más controlada y va a ser más segura”, asegura en declaraciones a elDiario.es Castilla-La Mancha.

En Europa deberíamos de fomentar y ayudar a pymes que quieran emprender en esa línea a poder tener también centros de datos propios

En ese sentido, y vinculándolo con el desarrollo de la inteligencia artificial, Ródenas afirma que “Europa se debería poner las pilas y a facilitar el camino a las empresas para que puedan empezar a crear modelos de inteligencia artificial que residan en Europa y que sean únicamente europeos y que podamos tener un control del mismo por la seguridad de todos”, asegura.

“La inteligencia artificial es un arma de doble filo”

Dada la importancia que la inteligencia artificial está cobrando, en Navaja Negra se explicará cómo se utiliza esta tecnología en el ámbito de la seguridad informática: los delincuentes para engañar a los usuarios y los expertos en ciberseguridad para desarrollar métodos de protección y defensa.

“La inteligencia artificial es un arma de doble filo”, explica Ródenas. “Por un lado, los delincuentes la utilizan para hackear, pero también están utilizándola las empresas para protegernos a todos los usuarios”, asegura.

Ródenas explica que los ciberdelincuentes se valen de la inteligencia artificial para clonar voces o imágenes, por lo que advierte a los usuarios que deben ser cuidadosos con los datos que suben a redes sociales para evitar caer en engaños.

“Esta información puede ser recopilada por los delincuentes para generar modelos tanto de voz como de vídeo que luego se utilicen para extorsionar a familiares, engañar a personas cercanas y de esta forma conseguir sus objetivos tanto de transferencias como de obtención de información bancaria, etc., haciéndose pasar por alguien cercano a nosotros”, advierte el experto en ciberseguridad.

Uno de los ponentes que intervendrá estos días en Navaja Negra es Josep Albors. Él es el responsable de Investigación y Concienciación de ESET España, además de profesor del Máster de Ciberseguridad en la Universidad Castilla-La Mancha. En una de sus dos charlas que ofrecerá durante la conferencia hablará de las técnicas que suelen emplear los ciberdelincuentes hoy en día: “Todas las que tienen que ver con robo de información. Concretamente, robo de credenciales. Y van dirigidos a empleados de empresas de todo tipo”, señala el experto.

Sobre la inteligencia artificial, Albors explica que la irrupción de esta tecnología ha ayudado a que “se baje el nivel de acceso para delincuentes sin muchos conocimientos previos”, ya que con ella es “más sencillo crear engaños más creíbles”. “Hay herramientas que permiten incluso automatizar y convencer al usuario para que proporcione información o haga unas acciones que no debería”, asegura Albors.

Sin embargo, la inteligencia artificial también ayuda a diseñar medidas de protección. Rubén Ródenas pone un ejemplo que se expondrá en la conferencia: “Tenemos una charla donde nos van a enseñar un modelo de inteligencia artificial entrenado que se encarga de hacer auditorías de forma autónoma. Estar 24/7 como si fuera un humano buscando todos los agujeros que puedan existir en las empresas para reportarlos y para solucionarlos”.

El público general también puede acercarse

La decimotercera edición de la Navaja Negra Conference es ya un congreso de ciberseguridad referente por los expertos, nacionales e internacionales, que ejercen como conferenciantes.

Se celebrará del 2 al 4 de octubre con más 50 ponentes y más de 30 horas de charlas y talleres. Además de abordar la inteligencia artificial, en la cita tecnológica también se hablará de la vulneración de sistemas de protección de videojuegos o del espionaje vía teléfono móvil, poniendo énfasis en modelos de hackeo que se realizan sin interacción humana.

“También tenemos una parte gratuita para toda la gente de Albacete. Pueden acercarse sin entrada y no hay que tener conocimientos de nada. Es solamente una primera toma de contacto en la ciberseguridad”, destaca Rubén Ródenas, presidente de la Asociación Navaja Negra.

El Colegio de Ingeniería Informática reprocha a la Junta de Castilla y León que su inacción arriesga la seguridad digital después de que hace más de un mes se produjera un ataque informático en el sistema interno de Educación —que el gobierno negó en un principio y cuyo alcance se está estudiando por los Cuerpos y Fuerzas de Seguridad del Estado y el Incibe—.

El Colegio Profesional ha advertido que este incidente “no es un hecho aislado”, sino “la consecuencia de una falta sostenida de estrategia, de inversión y, sobre todo, de voluntad política” para abordar “con seriedad” la gestión de los sistemas de información públicos.

Esta entidad colegial achaca la inseguridad digital en Castilla y León a “soluciones improvisadas y estructuras obsoletas”. “La protección de los datos de la ciudadanía, así como la calidad y fiabilidad de los servicios públicos digitales, exige una respuesta política seria y sostenida”, ha suscrito. Por este motivo, el Colegio ha reclamado urgentemente la “profesionalización del personal informático”, puesto que gran parte de este personal no es funcionario y no puede acceder a plazas de Seguridad y Protección de Datos.

La creación de puestos técnicos de seguridad o delegados de Protección de Datos resulta “insuficiente”, según el Colegio, cuyo acceso está “restringido exclusivamente a funcionarios de carrera”, lo que excluye a otros profesionales. “Esta exclusión, además de injusta, resulta contraproducente: supone una pérdida de talento interno, debilita la estructura organizativa y deja a la Junta sin capacidad real para afrontar los desafíos de la transformación digital y la ciberseguridad con garantías”, señala en un comunicado.

La Junta no aplica el Esquema Nacional de Seguridad

El Colegio de Ingeniería Informática ha criticado al gobierno autonómico que no aplique el Esquema Nacional de Seguridad (ENS), una norma estatal que fija unos requisitos mínimos de seguridad y que es de obligado cumplimiento. Según señala este organismo, únicamente la Consejería de Agricultura —liderada por una ingeniera informática— ha implementado esta norma con rigor. “Es razonable pensar que, de haberse aplicado el ENS en el conjunto de la Administración, incidentes como el robo de información podrían haberse evitado”, ha apostillado.

El Colegio de Ingenieros en Informática exige al Ejecutivo que adopte decisiones políticas “que garanticen la seguridad, modernización y eficacia” de los servicios digitales, que agilice la funcionarización del personal informático, que actualice los perfiles profesionales y aplique también el Esquema nacional de Seguridad

Este organismo ha mostrado su disposición a colaborar con las autoridades autonómicas para reforzar la seguridad digital y una tecnología “al servicio de una administración moderna, eficaz y respetuosa con los derechos digitales de la ciudadanía”.

En plena era digital, en la que la mayoría de los trámites administrativos se realizan a través de internet, el Documento Nacional de Identidad (DNI) se ha convertido en un elemento fundamental no solo para la identificación presencial, sino también para la verificación electrónica. Más allá del número que identifica a cada ciudadano español, el DNI incorpora un código menos conocido, llamado número de soporte, que cumple un papel esencial en la autenticidad y seguridad del documento. Este identificador único, presente en todas las tarjetas físicas, es clave para garantizar que el DNI sea válido y que no haya sido manipulado o falsificado.

Aunque muchas personas desconocen su existencia o su utilidad, el número de soporte es imprescindible en determinados procedimientos oficiales y administrativos. Sin embargo, debido a su importancia, es necesario manejarlo con precaución y saber en qué contextos es adecuado facilitarlo y en cuáles no, para evitar posibles riesgos de seguridad y suplantación de identidad. Comprender qué es, dónde encontrarlo y para qué se usa contribuye a mejorar la protección de la identidad personal en un mundo cada vez más digitalizado.

¿Qué es el número de soporte del DNI?

El número de soporte del DNI es un código alfanumérico único que identifica de forma exclusiva el soporte físico de la tarjeta de identidad. A diferencia del número personal del DNI, que corresponde al titular y permanece constante durante toda su vida, el número de soporte cambia cada vez que se renueva o se expide un nuevo documento. Se trata, en esencia, del “número de serie” de la tarjeta, asignado por la Dirección General de la Policía.

En la versión más reciente del DNI electrónico (DNIe 3.0), el número de soporte consta de tres letras seguidas de seis números, por ejemplo “ABC123456”. Esta codificación no tiene relación directa con la identidad del titular, sino que está destinada a certificar la originalidad y vigencia del documento. Así, cada documento cuenta con un número de soporte diferente que ayuda a evitar falsificaciones y permite a las administraciones públicas verificar que la tarjeta es legítima y actualizada.

¿Cómo localizar el número de soporte en el DNI?

Encontrar el número de soporte en el DNI es sencillo una vez que se sabe dónde buscar. En el DNI electrónico vigente, este código aparece en el anverso del documento, bajo el epígrafe “Num. Soporte”. Está situado junto a otros datos personales como la fecha de nacimiento o el número de serie de la tarjeta. Es importante no confundirlo con el número del DNI, que suele estar en la parte superior, ni con otros códigos que aparecen en la tarjeta.

En versiones anteriores del DNI, especialmente aquellas sin chip electrónico, el número de soporte podía encontrarse en el reverso, y en algunos casos su formato difería ligeramente. Sin embargo, con la estandarización del DNIe, su ubicación y apariencia se han homogeneizado para facilitar su identificación. Este número es visible y legible, lo que permite que sea empleado en gestiones que requieren la verificación física o telemática del documento.

¿Para qué sirve el número de soporte del DNI?

El número de soporte del DNI cumple varias funciones cruciales en la administración pública y en la seguridad de la identidad digital. Principalmente, sirve para confirmar que el documento presentado en un trámite es el más reciente expedido, puesto que cada renovación implica un nuevo número de soporte que anula el anterior.

En trámites telemáticos, como la presentación de la declaración de la renta o la solicitud de certificados digitales, este número es solicitado como un dato complementario para cotejar la autenticidad del DNI electrónico. De esta forma, se añade una capa extra de seguridad, evitando fraudes y suplantaciones al requerir que el usuario disponga físicamente del documento legítimo.

Además, muchas entidades, como bancos o la Seguridad Social, utilizan este código para verificar la vigencia del documento y garantizar que las operaciones se realizan con una identificación válida y actualizada. En resumen, el número de soporte es un componente esencial que ayuda a reforzar la confianza en los procesos administrativos digitales y presenciales.

¿Cuándo no debemos facilitar el número de soporte?

Aunque el número de soporte no contiene información personal sensible, su divulgación indiscriminada puede conllevar riesgos. Por ello, es recomendable no compartirlo en entornos poco seguros, como correos electrónicos no cifrados, mensajes en redes sociales o formularios de sitios web que no garanticen la protección de datos.

Solo debe facilitarse cuando sea solicitado por organismos oficiales o entidades legítimas a través de canales seguros, y siempre dentro del contexto de trámites administrativos o servicios autorizados. Ofrecer este código a terceros en situaciones dudosas o en gestiones no verificadas puede facilitar la suplantación de identidad o el fraude, especialmente si se combina con otros datos personales.

Por otro lado, dado que el número de soporte cambia cada vez que se renueva el DNI, es importante mantener actualizado el control sobre quién tiene acceso al número vigente y desechar con seguridad el código antiguo. En caso de sospecha de uso indebido, es recomendable informar a las autoridades para prevenir posibles fraudes.

El Banco de España ha emitido una advertencia dirigida a los usuarios que navegan frecuentemente por internet, especialmente a aquellos que suelen mantener abiertas varias pestañas o ventanas simultáneamente. Esta práctica puede suponer un riesgo creciente para la seguridad de datos personales y financieros si no se toman las precauciones necesarias.

La proliferación de servicios online y la creciente dependencia de plataformas digitales para la gestión de asuntos cotidianos han convertido la navegación en internet en una actividad habitual para la mayoría de la población. Sin embargo, esta comodidad también trae aparejada una serie de vulnerabilidades que pueden ser explotadas por ciberdelincuentes.

Según el Banco de España, la forma en que se utilizan los navegadores, en particular la costumbre de abrir múltiples páginas al mismo tiempo, puede facilitar la acción de ciertos métodos de fraude diseñados para aprovechar descuidos y la dispersión de la atención.

Ante este contexto, la supervisora financiera insiste en la necesidad de adoptar hábitos que refuercen la protección durante la navegación web. Aunque las medidas de seguridad tradicionales siguen siendo fundamentales, no siempre bastan para enfrentar técnicas más sofisticadas.

Por ello, la recomendación se orienta a mantener actualizados los programas, utilizar herramientas específicas de defensa y fomentar una actitud vigilante ante cualquier actividad sospechosa mientras se gestiona información a través de diferentes pestañas o ventanas abiertas en el navegador.

¿Qué es el “tabnabbing” y cómo funciona esta estafa?

El “tabnabbing” es un método de fraude digital que aprovecha la costumbre de mantener varias pestañas abiertas en el navegador. Mientras el usuario se concentra en otras tareas, los ciberdelincuentes alteran de forma oculta el contenido de las pestañas inactivas, sustituyéndolas por páginas falsas que replican con exactitud sitios web confiables. Esta transformación pasa inadvertida hasta que la persona vuelve a esa pestaña y se encuentra con una pantalla que le pide volver a iniciar sesión o actualizar sus datos.

Al reaccionar a estas solicitudes, el usuario introduce información sensible, como contraseñas o datos personales, que quedan al alcance de los atacantes. El riesgo aumenta por la confianza que se deposita en las páginas ya abiertas y por la dificultad para distinguir estas réplicas maliciosas. Así, el “tabnabbing” explota tanto aspectos técnicos como la dinámica habitual de navegación, convirtiéndose en una amenaza difícil de detectar y con consecuencias potencialmente graves.

Medidas para protegerse del “tabnabbing” y reducir riesgos

Ante la creciente presencia del “tabnabbing” como técnica de fraude digital, se recomienda adoptar una serie de precauciones para minimizar la exposición y proteger los datos personales. En primer lugar, aconseja limitar el número de pestañas abiertas simultáneamente, evitando que se acumulen páginas inactivas que puedan ser modificadas sin que el usuario se percate. Mantener solo las ventanas necesarias abiertas ayuda a reducir la superficie de ataque y facilita la supervisión de cada sitio visitado.

Otra recomendación clave es la comprobación directa de la dirección web (URL) antes de introducir cualquier dato sensible. En caso de duda, es preferible acceder manualmente a la página oficial tecleando la dirección en el navegador o mediante un acceso seguro guardado, en lugar de utilizar pestañas que han estado inactivas o enlaces recibidos por correo o mensajes. Esto permite evitar caer en páginas falsificadas que simulan ser sitios confiables.

Además, el uso de gestores de contraseñas se considera una herramienta eficaz para proteger las credenciales. Estos programas permiten almacenar y completar automáticamente los datos en sitios oficiales, evitando así la introducción manual en páginas sospechosas o falsas. También contribuyen a la generación de contraseñas complejas y diferentes para cada servicio, dificultando el acceso no autorizado.

Mantener actualizados tanto el navegador como el software de seguridad es otro aspecto fundamental señalado por la entidad. Las actualizaciones corrigen vulnerabilidades y añaden capas de protección frente a técnicas fraudulentas que se van sofisticando con el tiempo. Los usuarios deben asegurarse de contar con la última versión disponible y con sistemas antivirus que detecten comportamientos anómalos.

Finalmente, se recomienda actuar con precaución ante cualquier solicitud de información sensible, especialmente si llega mediante correos electrónicos, mensajes o ventanas emergentes. En caso de sospecha, es aconsejable contactar directamente con la entidad financiera o el servicio afectado para verificar la veracidad de la comunicación. La prudencia y la información son las principales defensas frente al “tabnabbing” y otras formas de fraude digital.

El Senado ha asegurado este jueves por la tarde que los dos trabajadores del departamento informático de despedidos por acceder sin permiso a ordenadores de la Cámara no entraron en el equipo de ningún parlamentario. “No se produce acceso por parte de estas dos personas a ningún ordenador, archivo o portafirmas de ningún senador”, asegura un comunicado hecho público esta tarde. En un primer comunicado remitido ayer a los medios sí se informó de que los dos empleados habrían accedido sin permiso a equipos de los legisladores. La resolución definitiva del expediente sancionador, a la que ha tenido acceso elDiario.es, constata “accesos indebidos” de ambos “a los portafirmas” de otros empleados, de “diversos senadores” y de “la Letrada Mayor”.

“En octubre de 2024, los sistemas de control de la Cámara Alta tienen conocimiento del acceso de dos personas de la Dirección de Tecnologías de la Información y de las Comunicaciones, a información específica sobre los procesos de promoción interna y selectivos de personal laboral a través del portafirmas electrónico de altos cargos de la Secretaría General, en ningún caso de senadores”, apunta el comunicado. “Todos los accesos son de carácter administrativo en beneficio de su posible promoción interna, sin apreciarse ningún interés político. Accedieron, además, a ficheros de trazabilidad de firma, donde la única información que se obtiene es quién accede y la hora, pero no el contenido”, prosigue.

Siempre según el Senado, se abrió un expediente para investigar los hechos y, en el trámite de alegaciones, uno de los implicados presentó una documentación que habría acreditado posteriores accesos ilegítimos. “Una vez constatada en la instrucción la existencia de nuevos accesos indebidos, a los ficheros que contienen la trazabilidad (logs) del portafirmas de todos los usuarios del sistema (cargos de Secretaría General, senadores y miembros de la Mesa), ficheros estos que contienen la información sobre quién ha accedido en cada momento al portafirmas, sin incluir información adicional sobre documentos concretos, se eleva una nueva propuesta de despido para ambos trabajadores”.

Esta información contrasta con la literalidad de la resolución definitiva del expediente sancionador a uno de los despedidos, que considera “hechos probados” los “accesos indebidos (...) a los portafirmas de determinados trabajadores, funcionarios y cargos de la Secretaría General del Senado -entre ellos, miembros de la Mesa, diversos Senadores y la Letrada Mayor (...) a través de los cuales se realizaron numerosas descargas de documentos, incluyendo algunos de carácter personal”.

En otro “hecho probado”, el informe asegura que tras ser descubierta, esta persona realizó “numerosos nuevos accesos indebidos (hasta 757 en un solo día) (...) para obtener un listado de logs”.

Ya por la mañana el presidente del Senado, Pedro Rollán, aseguró que los dos trabajadores no se descargaron ningún documento ni accedieron a información privada, sino que entraron “a los logs” de los portátiles, es decir, a los archivos que registran la actividad de los equipos, y no a las propias carpetas. Según Rollán, los empleados eran personal laboral y optaban a sendos puestos de funcionarios, y lo hicieron “en el ámbito del estricto interés personal”.

Los senadores que han sido víctimas de la intromisión no han sido informados aún por los servicios de la Cámara, según han confirmado diferentes fuentes parlamentarias a elDiario.es. Salvo los miembros de la Mesa del Senado, que ayer aprobaron la rescisión de los dos contratos y dieron traslado de los hechos a la Fiscalía, los grupos no conocen aún qué senadores han visto comprometida su intimidad y cuáles no.

Lo que sí ha trascendido es que los afectados son 29. Ayer, desde el Senado se apuntó a que había víctimas de todos los grupos.

Rollán informó en declaraciones a los medios de que ambos trabajadores estaban “en un proceso de promoción para optar a una plaza de funcionario” y que “han accedido a carpetas en el ámbito estricto del interés personal en la promoción”.

Cuando se descubrieron los hechos se planteó desde el Senado una primera propuesta de sanción: suspensión de empleo y sueldo por tres meses. Pero los dos trabajadores presentaron alegaciones y dijeron que “había más trabajadores del departamento que podían haber accedido a expedientes de sus señorías”, según Rollán.

El presidente del Senado negó que esto se haya producido. “No es así”, dijo. Pero añadió que “por un principio de celo y prudencia, se ha puesto en concomiento de la Fiscalía para que tome las medidas oportunas”.

“No ha habido descargas de archivos ni se ha podido ver afectadas la intimidad de sus señorías”, recalcó Rollán. En ese mismo escrito de alegaciones, uno de los trabajadores despedidos “hace referencia a que había accedido a los 'logs', que no es el contenido de las carpetas, sino el expediente de la trazabilidad de un expediente que pueda estar sujeto a determinados hitos en una firma”.

Los “logs” que menciona Rollán son archivos que registran la actividad de los equipos y permiten revisar qué procesos se han realizado con un ordenador y cuándo. Son archivos técnicos, que recopilan información que usan las propias aplicaciones informáticas y que se pueden revisar 'a posteriori'.

Rollán ha añadido que el Senado ha “revisado todos los expedientes” y que “se ha repensado los procedimientos para garantizar que el Senado desde el punto de vista de la seguridad es seguro”. El presidente de la Cámara ha asegurado que se proporcionará más información a lo largo del día.

En los últimos años, las tecnologías cuánticas han pasado de ser meramente una idea teórica en los laboratorios a convertirse en una realidad cada vez más cercana. Gobiernos, universidades y grandes empresas tecnológicas están realizando inversiones de gran envergadura, superiores a los miles de millones de euros, en el desarrollo de dispositivos que aprovechan las leyes de la física cuántica para lograr avances sin precedentes en diversos campos. El pasado 24 de abril, la ministra de Ciencia, Innovación y Universidades, Diana Morant, y el ministro para la Transformación Digital y de la Función Pública, Óscar López, presentaron la primera Estrategia de Tecnologías Cuánticas de España 2025-2030, basada en el Real Decreto 317/2025, de 15 de abril, con una inversión total de 808 millones de euros.

En la actualidad, España se incorpora a la lista de países europeos que han realizado inversiones en el desarrollo e investigación de las tecnologías cuánticas, siguiendo los pasos de naciones como Francia, Alemania y Finlandia. Desde computadoras que prometen resolver problemas imposibles para las máquinas actuales hasta sensores ultraprecisos y sistemas de comunicación casi imposibles de interceptar, la revolución cuántica ya está en marcha. Uno de los aspectos que ha suscitado mayor interés y preocupación es la incidencia de estas nuevas tecnologías en la seguridad digital. Lo que hoy se considera seguro podría dejar de serlo en un breve plazo. Por ello, resulta imperativo comprender el concepto de computación cuántica, sus implicaciones en la seguridad cotidiana y las medidas adoptadas para afrontar estos desafíos.

La computación cuántica representa un paradigma de procesamiento de información fundamentado en los principios de la mecánica cuántica, la rama de la física que se dedica al estudio del comportamiento de las partículas subatómicas. A diferencia de la informática clásica, que se sirve de bits binarios (0 y 1) para representar y manipular datos, la informática cuántica utiliza qubits (bits cuánticos), que tienen la capacidad de representar simultáneamente un 0 y un 1 gracias a un fenómeno llamado superposición. Además, los qubits pueden estar entrelazados mediante un efecto conocido como entrelazamiento cuántico, lo que permite que el estado de un qubit dependa del estado de otro, incluso a distancia.

Estos principios confieren a los ordenadores cuánticos un destacado potencial como aliados en diversas aplicaciones, tales como la simulación de sistemas físicos y la representación de moléculas complejas, lo cual resulta esencial en el desarrollo de nuevos medicamentos. No obstante, sus aplicaciones no se limitan a lo anteriormente mencionado. Asimismo, tienen la capacidad de resolver problemas matemáticos de manera significativamente más eficiente que los ordenadores clásicos, especialmente en áreas como la factorización de números enteros. El inconveniente principal radica en que la factorización constituye el mecanismo de seguridad más ampliamente empleado en la actualidad. En el caso de disponer de un ordenador cuántico, sería posible comprometer la seguridad de los sistemas digitales actuales, lo que podría dar lugar a ciberataques de gran escala y desestabilización de un país en su totalidad.

Un enemigo potente y silencioso

Consciente de esta realidad, la OTAN ha venido otorgando una importancia creciente y destacando la necesidad imperativa de fomentar el desarrollo de tecnologías cuánticas durante los últimos años. En este sentido, se estima que la inversión que China ha realizado en tecnología cuántica es de aproximadamente 15.000 millones de dólares, siendo varias veces la inversión que Estados Unidos ha realizado en los últimos años. Lo que parece indicar con estos datos es que antes o después una potencia extranjera podrá tener acceso a esta tecnología. Entonces: ¿cuáles serían las consecuencias si una potencia extranjera obtuviera un ordenador cuántico de gran relevancia, es decir, con la capacidad de comprometer la seguridad de un país? ¿Qué ocurriría si esta información no fuera pública? ¿Podemos considerar que estamos completamente seguros? Es preciso señalar que no existe una certeza absoluta sobre las respuestas a las preguntas planteadas. Con base en la hipótesis planteada, se ha procedido a la conceptualización de un nuevo tipo de criptografía, diseñada para ser altamente resistente a posibles ataques de ordenadores cuánticos, denominada criptografía post-cuántica.

Con nuestros resultados y nuestra investigación, cualquier empresa o institución podrá utilizar los diseños y las metodologías que desarrollamos para mejorar la seguridad de sus propios productos, lo que se traducirá en los dispositivos que vayamos a utilizar a diario en el futuro: el próximo iPhone o el próximo portátil que adquieras

Muchos de los sistemas criptográficos actuales se basan en problemas matemáticos difíciles de resolver para los ordenadores clásicos, pero que pueden resolverse en un tiempo razonable por un ordenador cuántico. La criptografía post-cuántica propone nuevas familias de algoritmos basados en problemas que también son difíciles para los ordenadores cuánticos. A nivel internacional, el NIST (Instituto Nacional de Estándares y Tecnología) de Estados Unidos se ha erigido como el organismo de estandarización por excelencia, estandarizando los primeros algoritmos. Sin embargo, este proceso de adaptación a estos nuevos algoritmos debe realizarse de forma paulatina y ordenada. A este proceso se le denomina transición post-cuántica.

Aunque NIST ya ha descrito cómo debe ser este proceso, el Centro Criptológico Nacional (CCN) también ha descrito cómo debemos llevarlo a cabo a nivel nacional. En realidad, para ti, que estás leyendo este documento, esta transición será transparente. No notarás ni oirás un cambio significativo en tus conexiones a internet. Así fue como Google o Firefox incluyeron criptografía post-cuántica en sus navegadores hace unos años. El principal problema al que nos enfrentamos actualmente es que estos algoritmos requieren una gran capacidad de cómputo y mucha memoria. ¿Cómo podemos proteger entonces nuestros dispositivos más pequeños, como los teléfonos móviles o los dispositivos IoT de nuestros hogares donde es inviable incluirlos? La solución es implementar estos algoritmos en un hardware específico, como un chip, que con muy pocos recursos pueda proteger nuestros dispositivos.

Esa es precisamente una de las áreas de investigación del Instituto de Microelectrónica de Sevilla (IMSE), perteneciente al Consejo Superior de Investigaciones Científicas (CSIC). Básicamente, nuestro objetivo es hacer que estos algoritmos sean más óptimos, más pequeños y más rápidos utilizando un hardware específico, es decir, un chip. Con nuestros resultados y nuestra investigación, cualquier empresa o institución podrá utilizar los diseños y las metodologías que desarrollamos para mejorar la seguridad de sus propios productos, lo que se traducirá en los dispositivos que vayamos a utilizar a diario en el futuro: el próximo iPhone o el próximo portátil que adquieras. Este es un ejemplo del trabajo que hemos llevado a cabo durante los últimos tres años en el proyecto europeo SPIRS, y también de la labor que desarrollamos actualmente en el proyecto europeo QUBIP, con una inversión aproximada de 5 millones de euros. Nuestro objetivo es desarrollar soluciones de criptografía post-cuántica para dispositivos IoT, como cámaras de vigilancia o sensores, aunque también tienen aplicación en otros dispositivos como teléfonos móviles, servidores o incluso comunicaciones satelitales.

Jeffrey Goldberg, editor del periódico The Atlantic, fue metido por error en un grupo de Signal con altos mandatarios estadounidenses, como JD Vance o Marco Rubio, en el que se habló de bombardear Yemen y en el que se habló fatal de Europa. Este periodista lo ha contado y eso ha mostrado no solo el contenido de la reunión sino la propia existencia de un grupo que, como se ha mostrado, no contaba con ninguna garantía de seguridad para temas tan delicados.

Conocemos el caso y analizamos lo que simboliza en estos tiempos un fallo como este con el periodista de Maldita.es y colaborador de elDiario.es Carlos Hernández-Echevarría.

***

Envíanos una nota de voz por WhatsApp contándonos alguna historia que conozcas o algún sonido que tengas cerca y que te llame la atención. Lo importante es que sea algo que tenga que ver contigo. Guárdanos en la agenda como “Un tema Al día”. El número es el 699 518 743.

¿Cómo escuchar 'Un tema Al día'?

▶ Si eres socio/a, puedes escuchar los nuevos capítulos del podcast cada noche en elDiario.es con unas horas de antelación respecto al resto de lectores. Recibirás el enlace en tu correo electrónico en el boletín del Adelanto de noticias.

▶ Si no eres socio/a, el episodio está disponible a primera hora de la mañana en cualquier aplicación que uses habitualmente. 

▶ Acuérdate de suscribirte al podcast 'Un tema al día' en tu app para que te lleguen automáticamente los nuevos capítulos. Es gratis.

▶ Tendrás disponibles también todas las entregas de 'Un tema Al día' en elDiario.es/aldia

Una nueva estafa está afectando a conductores y usuarios de parquímetros, según ha alertado la Policía Nacional. Los delincuentes están utilizando códigos QR falsificados para engañar a las personas y obtener datos personales y financieros de forma ilícita. Este tipo de fraude ha ganado terreno, aprovechando la confianza de los usuarios en los métodos de pago digitales.

Según la Policía Nacional, los estafadores colocan adhesivos con códigos QR falsos sobre los originales en los parquímetros. Al escanear estos códigos, los usuarios son redirigidos a sitios web fraudulentos que imitan a los oficiales, donde se les solicita información sensible como datos personales, números de tarjeta de crédito y matrículas de vehículos. Este tipo de engaño puede resultar en robos de identidad y pérdidas económicas significativas.

Recomendaciones para evitar ser víctima de esta estafa

Para protegerse de este tipo de fraude, la Policía Nacional aconseja:

Cómo actuar si ha sido víctima de esta estafa

Si sospecha que ha sido engañado por este tipo de fraude, siga estos pasos:

Este tipo de estafa resalta la necesidad de una mayor educación digital entre los usuarios. La Policía Nacional enfatiza la importancia de estar alerta y ser crítico con la información y enlaces que se reciben, especialmente cuando se trata de datos personales y financieros. La prevención y la información son herramientas clave para combatir este tipo de delitos.

Para obtener más información y consejos sobre cómo protegerse de estafas relacionadas con códigos QR, puede consultar el siguiente video informativo de la Policía Nacional:

Mantenerse informado y ser cauteloso al utilizar servicios que impliquen el uso de códigos QR es esencial para protegerse de posibles fraudes y garantizar la seguridad de sus datos personales y financieros.

En un contexto en el que cada vez más trámites administrativos se gestionan a través de internet, disponer de un certificado digital en el teléfono móvil se ha convertido en una necesidad para muchos ciudadanos. Este documento permite identificarse de forma segura en múltiples plataformas oficiales, firmar documentos electrónicamente y realizar gestiones sin necesidad de acudir presencialmente a organismos públicos.

La Fábrica Nacional de Moneda y Timbre (FNMT) facilita la obtención de este certificado digital directamente desde un smartphone, utilizando el Documento Nacional de Identidad electrónico (DNIe). Gracias a esta opción, el proceso de obtención se agiliza, eliminando la necesidad de acudir a una oficina de registro para acreditar la identidad. A continuación, se explican los pasos necesarios para instalarlo en un dispositivo móvil.

Requisitos para obtener el certificado digital con el DNIe

Antes de iniciar el proceso, es imprescindible contar con una serie de elementos básicos que permitirán llevar a cabo la instalación del certificado de forma satisfactoria:

Pasos para la instalación del certificado digital en el móvil

1. Descarga de la aplicación oficial

El primer paso consiste en instalar la aplicación “Certificado Digital FNMT”, que puede encontrarse en las tiendas de aplicaciones de Android e iOS. Esta herramienta será la encargada de gestionar la solicitud y el almacenamiento del certificado en el dispositivo.

2. Solicitud del certificado digital

Una vez instalada la aplicación, se debe seleccionar la opción “Solicitar Certificado Digital” y, a continuación, elegir la alternativa que permite acreditarse mediante lectura del DNIe.

En este punto, será necesario aceptar los términos y condiciones de uso antes de proceder con la identificación.

3. Introducción de los datos personales

Para completar la solicitud, el usuario debe proporcionar una dirección de correo electrónico, que servirá para recibir el código de verificación necesario en el siguiente paso.

La FNMT enviará un correo con un código de confirmación, que deberá introducirse en la aplicación para continuar con el proceso.

4. Identificación con el DNI electrónico

Este es el paso clave del proceso, ya que es donde se verifica la identidad del solicitante utilizando el DNIe. Para ello, se deben seguir estos pasos:

Si todo se ha realizado correctamente, la identidad quedará verificada y se podrá proceder a la descarga del certificado digital.

5. Descarga e instalación del certificado

Con la identidad confirmada, la aplicación permitirá descargar e instalar el certificado digital en el dispositivo. Este quedará almacenado en el móvil y podrá utilizarse en las aplicaciones o navegadores compatibles que requieran autenticación digital.

Con este método, cualquier usuario con un DNI electrónico puede obtener su certificado digital en el móvil en cuestión de minutos, sin necesidad de acudir a una oficina para acreditar su identidad. La administración electrónica sigue avanzando, ofreciendo herramientas cada vez más accesibles para la gestión de trámites de forma digital.

El Banco de España ha emitido una advertencia sobre un sofisticado malware conocido como TrickMo, diseñado para infiltrarse en dispositivos móviles y sustraer información bancaria confidencial. Este software malicioso se disfraza de pantalla de desbloqueo del teléfono, engañando a los usuarios para que revelen sus credenciales sin sospecharlo.

TrickMo se propaga principalmente a través de aplicaciones fraudulentas y enlaces engañosos. Una vez instalado en el dispositivo, el malware puede interceptar mensajes SMS, capturar credenciales bancarias y acceder sin autorización a las cuentas del usuario. Una de sus tácticas más insidiosas es la creación de una interfaz falsa que imita la pantalla de desbloqueo del móvil, registrando los patrones o PINs que el usuario introduce, lo que permite a los ciberdelincuentes obtener acceso completo al dispositivo.

Modus operandi de TrickMo

Este malware opera de manera silenciosa y efectiva. Tras infiltrarse en el dispositivo, TrickMo solicita permisos de accesibilidad, lo que le permite realizar diversas acciones sin el conocimiento del usuario. Entre sus capacidades se incluyen:

Recomendaciones para protegerse

Para mitigar el riesgo de infección por TrickMo y otros malwares similares, se aconseja a los usuarios:

La creciente sofisticación de amenazas como TrickMo subraya la importancia de mantener prácticas de seguridad rigurosas en el uso de dispositivos móviles. La vigilancia constante y la adopción de medidas preventivas son esenciales para proteger la información personal y financiera de posibles ataques. Ante cualquier sospecha de actividad maliciosa, se recomienda contactar de inmediato con la entidad bancaria y seguir sus instrucciones para salvaguardar las cuentas afectadas.

Segundo carpetazo a unas presuntas irregularidades en la adjudicación de un par de contratos en el seno del Parlamento de Andalucía. La Fiscalía de Sevilla ha archivado las diligencias abiertas para investigar una denuncia contra el letrado mayor, el jefe del Servicio de Informática y otros funcionarios de la Cámara autonómica por un supuesto “engaño” a la propia Fiscalía a la hora de justificar un par de adjudicaciones a dedo. El decreto de archivo considera que no hay indicios de ilícito penal ni anomalías en sendas contrataciones del Parlamento de Andalucía a una empresa informática por un total de 350.000 euros.

El Grupo de Blanqueo de Capitales y Anticorrupción de la Jefatura Superior de Policía de Andalucía Occidental ha estado investigando la denuncia durante varios meses, a requerimiento de la Fiscalía de Sevilla, quien ahora invita a las personas denunciantes, anteriormente funcionarios en servicio activo del Parlamento de Andalucía, a acudir a un juzgado si insisten en que se ha producido algún tipo de irregularidad que merezca un reproche penal.

La Fiscalía Especial Contra la Corrupción y la Criminalidad Organizada había remitido en octubre de 2023 el asunto al Ministerio Público en Sevilla. La denuncia estaba íntimamente relacionada con unas diligencias de investigación, también archivadas por la Fiscalía de Sevilla en julio de 2023, por unas presuntas irregularidades en materia de contratación pública. Cómo se elaboró y gestó el principal informe que motivó el archivo respecto al contrato negociado sin publicidad más goloso, de 263.000 euros, era lo que ahora trataban de determinar la Policía y la propia Fiscalía pese a que aquella pormenorizada doble denuncia, principalmente de carácter técnico, terminó archivándose.

Código fuente actualizado

Según los denunciantes, en aquel caso, la Mesa de Contratación habría aprobado la adjudicación directa a Guadaltel en un procedimiento negociado sin publicidad por una supuesta ausencia de competencia por razones técnicas, ya que las aplicaciones objeto de ese contrato ya habían sido desarrolladas por Guadaltel y era la única empresa que conocía el código fuente actualizado del Parlamento. Pese a que los denunciantes han sostenido que el código fuente era accesible a todo el mundo, la Fiscalía mantiene que dicha empresa era la única que disponía de dicho código fuente actualizado.

Como ya confirmaron fuentes del Parlamento, siete trabajadores del Servicio de Informática elaboraron un informe sin que la Cámara lo pidiera. Dicho informe terminó siendo clave para que la Fiscalía archivara la investigación en primera instancia. Según habían advertido los denunciantes, la Fiscalía de Sevilla había cerrado “en falso” la investigación, “haciendo pasar como independientes informes que vinieron del entorno del denunciado” en primera instancia, esto es, del jefe del Servicio de Informática.

Cuando archivó por primera vez el caso, el fiscal consideró que aquellos informes fueron “emitidos por funcionarios públicos cuyos servicios se prestan en ese ámbito específico y sobre cuya actuación no existe en las actuaciones sombra de duda”. Pero tanto el hecho de que “todos los firmantes” tuvieran “dependencia jerárquica y directa” respecto al jefe de Informática, y cómo se produjeron los acontecimientos, que se detallaron en la nueva denuncia, les llevaron a presentar otro escrito ante la Fiscalía que se ha vuelto a archivar.

El Gobierno de Cantabria va a dedicar los tres años que restan de legislatura a ir actualizando los sistemas informáticos del Hospital Valdecilla, ejecutando los lotes pendientes de ejecución del programa DEVA, cuya fecha de contratación se remonta a 2019, durante la gestión socialista de Sanidad, en que se diagnóstico la obsolescencia del sistema y se decidió su sustitución paulatina.

Según ha informado el director general de Planificación, Ordenación y Salud Digital, Oscar Fernández, no va a ser necesaria más inversión que los 34 millones de euros ya comprometidos para el recambio informático del sistema básico del hospital y las diversas aplicaciones que gestionan historias clínicas, actividad quirúrgica y listas de espera, entre un amplio abanico de programas.

El pasado 3 de junio, un fallo de un sistema informático que llevaba años sin actualizar bloqueó durante cerca de dos días el acceso a las historias clínicas del centro sanitario y dio por fallecidos a 255 nuevos pacientes durante 90 minutos. Su renovación ya estaba prevista, pero su ejecución fue postergada por otras necesidades consideradas más urgentes como la puesta a punto del gestor de la actividad quirúrgica, el programa Altamira de atención al usuario o el gestor de las listas de espera. Al no actualizarse, el fallo del software obsoleto colapsó el sistema y las historias clínicas de los pacientes del hospital tuvieron que recuperarse de la copia de respaldo depositada en el Centro de Proceso de Datos del Hospital Sierrallana, inaugurado en 2023.

Pero la situación no se ha solucionado ya que la actualización prevista todavía no está ejecutada. Según Fernández, se está en proceso de ir renovando todos los lotes de aplicaciones pendientes de forma paulatina, con la vista puesta en que el sistema esté completamente remozado al final de legislatura.

“Ya en 2019 se decidió hacer un contrato unificando el mantenimiento, que se llama DEVA, el cual tiene 18 lotes que afectan a todas las aplicaciones ya establecidas -ha explicado-. De ellos, el lote del sistema de información del hospital (denominado HIS SUN1) se va ejecutando, aunque tenemos tres años por delante y otros dos de prórroga para ejecutarlos todos. A lo largo de estos tres años iremos acometiendo de manera progresiva las actualizaciones”.

HIS SUN1 lleva sin actualizar desde 2019 y fue adquirido en 2002. “Hace cinco años ya se sabía y no había más vía que sustituirlo. Ahora va a haber que cambiarlo”, ha comentado en una referencia indirecta a los anteriores gestores socialistas. Los últimos lotes adquiridos para el proyecto DEVA fueron adjudicados en diciembre de 2023. En total, la inversión comprometida asciende a 34 millones de euros. Se ha comenzado por renovar “lo más urgente para los ciudadanos” y a partir de ahora se acometerá la actualización del sistema que gestiona la base de datos.

Los programas informáticos que hacen que funcione el hospital son realmente un ecosistema, cuyas partes se gestionaban de manera individual. Con DEVA se actualizará y se hará más compatible entre sí, aunque “se podía haber hecho antes”, ha valorado el director general.

Apagar y encender el 'cerebro informático' del Hospital Universitario Marqués de Valdecilla de Santander no es algo sencillo y cuesta cerca de 34 millones de euros. El 'apagón' informático del pasado 3 de junio, que bloqueó durante cerca de dos días el acceso a las historias clínicas del centro sanitario y dio por fallecidos a 255 nuevos pacientes durante 90 minutos, está en un proceso de renovación por medio del denominado proyecto DEVA, contratado por el Servicio Cántabro de Salud (SCS) el pasado año, pero que todavía no está operativo al completo.

Así, el hospital aún sigue operando con viejos programas heredados del Insalud, aunque cuenta con un nuevo Centro de Proceso de Datos (CPD) del Hospital de Sierrallana de Torrelavega, que permitió ese aciago día restaurar el sistema de Valdecilla y recuperar los datos.

El nuevo CPD de Sierrallana quedó listo para entrar en servicio en julio de 2023, hace un año. Su función es la de dar soporte a las áreas nuevas de Atención Primaria, pero también “alojar una copia de seguridad ['backup'] completa del CPD que tiene Valdecilla”, informó en su día el entonces consejero de Sanidad, Raúl Pesquera (PSOE). Para este, el nuevo CPD proporciona “un plus de ciberseguridad muy importante porque, si en algún momento se cae el sistema de información del hospital, estaría disponible aquí”.

La información de Valdecilla está, de este modo, duplicada en Sierrallana, en un CPD que costó 562.650 euros y está instalado en la planta menos uno del edificio de Consultas. “Ahora tenemos dos corazones funcionando al mismo tiempo, uno original y otro de 'backup', y en función de las necesidades, se utilizará uno u otro”, señaló Pesquera durante una visita institucional realizada en junio de 2023, cuando ya era consejero en funciones.

Esto es lo que presumiblemente ocurrió el pasado mes de junio, cuando el sistema informático del Hospital Valdecilla colapsó y tuvo que ser reiniciado echando mano de una copia de respaldo con información de pacientes disponible en Sierrallana.

El actual Gobierno de Cantabria presidido por María José Sáenz de Buruaga (PP) dio cuenta al Parlamento autonómico de lo ocurrido y echó la culpa a una millonaria inversión fallida de los anteriores gestores socialistas. Consultado por este medio, Raúl Pesquera ha negado la mayor, recriminando al actual gestor del servicio privatizado de informática [Smart Hospital] y a los actuales gestores políticos del PP que no hayan puesto a punto todas las potencialidades de la inversión realizada. Asimismo, ha reconocido que el sistema base informático, que data de 2002, está “obsoleto” y debería ser “apagado”.

“Nunca se debió dejar contratada toda la parte informática a una empresa extranjera como es Ferrovial (deslocalizó su sede a Holanda en junio de 2023), de la que siempre vamos a ser dependientes. Por otra parte, hemos hecho una inversión para 'redundar' [conjuntos de datos esenciales de un sistema informático que existen de manera múltiple o se reparten en muchos servidores] todos los servicios y centros de datos, disponiendo de un centro propio en Sierrallana para el caso de que 'cayera' Valdecilla y no depender de Ferrovial”, ha explicado en declaraciones a elDiario.es.

“Los contratos millonarios a los que hacen referencia son los que permiten la ampliación y nuevo diseño de datos, sistemas, etcétera. Se licitaron el año pasado y es culpa suya y de su falta de diligencia que estemos como estamos. Si cualquier día se cae el sistema informático no es porque no haya inversión o no estén los aparatos en marcha o licitados, es porque no hay gente que esté realizando el proceso de integración informática y de 'apagar' lo viejo de 2002”, ha replicado al PP.

Oracle, Altamira, Ticares y DEVA

El sistema informático del Servicio Cántabro de Salud (SCS), del que depende Valdecilla, está constituido por múltiples aplicaciones interconectadas sobre un gestor de base de datos redundado de la empresa Oracle. Supuestamente, lo más probable que ocurriera el 3 de junio fuera un fallo de la base de Oracle, lo que habría afectado a las aplicaciones que gestionan el registro de pacientes Altamira HCE (un desarrollo de esta TIC posibilitó las teleconsultas por videoconferencia durante la pandemia), Ticares HIS [Sistema de Información Hospitalaria] y el HIS antiguo (un viejo 'superviviente' informático que ya generó múltiples quejas en el pasado por lo fallos de todo tipo que se producían, por ejemplo, a la hora de programar citas], llamado SUN1 en Valdecilla y HP HIS en Sierrallana y Laredo.

Reconocido como obsoleto es, así, el antiguo HIS (SUN1 y HP HIS). Tanto Altamira HCE como Ticares HIS siguen evolucionando de manera continua, el primero con un cierto retraso (Valdecilla priorizó mejorar en quirófanos el Sipquir [Registro Quirúrgico Intraoperatorio]) y son los llamados a 'apagar' los HIS antiguos. Este proceso aún no ha concluido, aunque está contratado el proyecto DEVA de mantenimiento de aplicaciones para su culminación.

El contrato para el mantenimiento y desarrollo de las aplicaciones del Servicio Cántabro de Salud, conocido como DEVA, fue resuelto parcialmente en septiembre de 2023, está valorado en 33,4 millones de euros y ha sido adjudicado por lotes. Cuando esté terminado de implantar, el ecosistema informático del Servicio Cántabro de Salud, integrado por desarrollos a medida y productos de mercado, que da soporte a toda su actividad, alcanzará la 'paz'.

Hay también prevista una modernización del sistema-base de Oracle para el Centro de Datos de Valdecilla. Se trata de lo que se denomina un RAC [dos nodos redundantes capaces de solventar un fallo], que ya tiene contratado su BRS (Backup and Recovery System), un nodo gemelo, a ubicar en el nuevo Centro de Datos de Sierrallana.

Por último, hay también pendiente una actualización de los sistemas informáticos para la gestión económica. Los actuales sistemas SUN3 y HP-HIS están en curso de ser sustituidos por la multinacional SAP, uno de los principales productores mundiales de software para gestión de procesos de negocio. Una vez que se complete todo el proceso, podrán 'apagarse' los viejos sistemas heredados del Insalud.

Los anteriores gestores socialistas consideran que el actual equipo de la Consejería de Salud, dirigido por César Pascual (PP) y que han rehusado a contestar las preguntas de elDiario.es, aún no ha culminado el proceso, pese a llevar un año de mandato. A juicio del exconsejero Raúl Pesquera, el 'apagón' informático de junio tiene claros responsables: el gestor Ferrovial y el PP, ya que el SCS tomó las decisiones necesarias en la anterior legislatura para alcanzar una solución definitiva.

El Servicio de Salud de Castilla-La Mancha sigue trabajando en recuperar la normalidad tras la caída informática global sufrida el pasado viernes 19 de julio, provocada por una actualización de CrowdStrike, una empresa que proporciona servicios de ciberseguridad a Microsoft.

Fueron algo más de 13.000 los equipos afectados, aunque durante la misma jornada del viernes se recuperaron más de 8.000. La situación aún no se ha normalizado completamente, señalan fuentes de la Consejería, que destacan que se ha buscado asesoría de empresas externas para reforzar la recuperación de los equipos. Durante el sábado y el domingo se solucionaron los problemas de unos 2.000 puestos de trabajo, y todavía quedan “algo más” de 1.900 pendientes de resolver. “Se trata en su mayoría de equipos que están en centros en los cuales los profesionales no tienen consulta todos los días o todas las semanas”, afirman desde Sanidad.

Las mismas fuentes aseguran que salvo “alguna rara excepción” todos los Puntos de Atención Continuada tienen “algún equipo” operativo para poder trabajar. “Los profesionales de la Dirección General de Salud Digital han estado trabajando, incluso en fin de semana y periodo pleno vacacional, para recuperar todos los centros afectados lo antes posible”, destacan. Desde la consejería esperan dar por concluido el incidente entre este lunes y martes.

Afectó a los terminales del personal sanitario

“El SESCAM está literalmente en blanco. Es un caos”, afirmaba a primera hora de la mañana del pasado viernes una fuente desde un centro sanitario de Ciudad Real. El sindicato CSIF confirmaba que el sistema “está totalmente caído”. Ana Isabel Fernández, presidenta de CSIF Sanidad en Castilla-La Mancha, comentaba a media mañana que “en informática nos dicen que se está recuperando el sistema, pero que no descartan nuevas caídas”.

Fuentes del servicio informático del SESCAM han detallado a elDiarioclm.es que la incidencia ha afectado “por hospitales de manera desigual. En el Hospital de Ciudad Real hay parte del servicio de urgencias o de quirófano sin equipos informáticos. Por suerte tenemos sistemas de contingencia”.

Los fallos en el software de seguridad CrowdStrike con el que trabaja el sistema operativo Windows, de Microsoft, han afectado a los sistemas informáticos de varios servicios de salud autonómicos. La caída informática se notó en las operaciones aeroportuarias, empresas de transportes, energéticas y de banca de varios países. En cuanto a la afectación de los servicios de salud, los fallos se han detectado en centralitas y equipos informáticos de Catalunya, Euskadi, Galicia, Castilla-La Mancha y Aragón. La mayoría han recuperado la normalidad pasado el mediodía.

En Catalunya, el departamento de Emergencias había detectado problemas en el servicio telefónico '#061 Salut Respon' y durante la mañana pidió que solo se llamase al 061 y al 112 para urgencias médicas. A primera hora de la tarde el conseller de Salut, Manel Balcells, ha anunciado que el servicio volvía a la normalidad.

En Euskadi, la sociedad informática del Gobierno vasco (EJIE) admitió una afección en el “70%” de sus equipos, más de 25.000. Ello incluía también a Osakidetza (Servicio Vasco de Salud) y otros servicios básicos. A las 9.45 horas la afección se había reducido ya al 50%. Con todo, destaron que “11.000 equipos no han tenido ningún problema en ningún momento”. “No hay ningún problema de seguridad”, abundaron también desde el entorno de EJIE.

Los fallos también han afectado al Servicio de Salud de Castilla-La Mancha (SESCAM). “El SESCAM está literalmente en blanco. Es un caos”, afirmabaa media mañana una fuente desde un centro sanitario de Ciudad Real. El sindicato CSIF en Castilla-La Mancha confirmó que el sistema estaba “totalmente caído, lo que supone citaciones, consultas o historiales”, pero ya apuntaban a mediodía a que poco a poco se estaba recuperando. “Se empieza a acceder a algunos terminales”, señalaron.

Ya en la tarde de este viernes, se daba a conocer que han sido algo más de 13.000 los equipos afectados, de los que pasadas las seis de la tarde del viernes, se habían recuperado más de 8.000 y quedaban pendientes unos 4.000 en los que “ habrá que trabajar de manera más específica”. 

En su homólogo gallego, el Servizo Galego de Saúde (SERGAS), la incidencia ha complicado el acceso de los facultativos a las historias clínicas de los pacientes, así como la comunicación de los archivos médicos con las farmacias para las dispensación de recetas. El sistema IANUS, que proporciona servicios informáticos a la administración sanitaria gallega, dejaron de funcionar.

En el caso de Aragón, se han priorizado las actuaciones en el SALUD y alrededor de las 09:00 ya se había recuperado de forma generalizada el sistema informático de la red de Atención Primaria (centros de salud); el Hospital de Alcañiz ya funcionaba con normalidad a partir de las 10:00 y el de Huesca a partir de las 10:30. 

Según ha informado el Gobierno de Aragón, no ha habido retrasos en la actividad quirúrgica, en urgencias o en las UCIs, que han funcionado sin problemas. Sí que se ha registrado algún retraso en los laboratorios, los tratamientos ambulatorios o en determinadas consultas.

El Tribunal Supremo ha sentenciado que un informático tendrá que entrar en prisión por paralizar durante una semana el Banco Santander con un ciberataque denominado “bomba lógica” después de que en 2017 su empresa, una subcontrata de la entidad, decidiera “prescindir de sus servicios”. Los jueces, según ha sabido elDiario.es, han confirmado su condena de tres años de cárcel por causar el “caos” en el banco de Ana Patricia Botín, un ataque informático que tumbó 3.178 ordenadores de 839 oficinas y más de un centenar de puestos de caja durante casi una semana.

El caso, tal y como reveló este periódico, se remonta a marzo de 2017. El acusado trabajaba como informático y administrador de red en la ciudad financiera del Banco Santander en Boadilla del Monte, a través de la subcontrata Norma 4 Servicios Informáticos que a su vez prestaba servicios para Produban, empresa del propio banco. Uno de los primeros días de ese mes creó en el sistema interno del banco lo que se conoce como una “bomba lógica”: un código malicioso que se inscribe en secreto en una red informática a la espera de su activación en un momento específico para dañar el sistema.

Ese momento llegó unas semanas más tarde. La “bomba lógica”, según declaran probado en firme los tribunales, fue activada y sembró lo que el propio Tribunal Supremo define como el “caos” en el Banco Santander: seis días con 3.178 ordenadores inutilizados, 839 oficinas prácticamente bloqueadas y más de un centenar de cajeros automáticos afectados. Los peritos del proceso judicial cifraron el perjuicio al banco en 292.237,86 euros.

Los hechos probados de las resoluciones del caso explican por qué este informático decidió llevarse por delante el sistema informático de uno de los bancos más grandes del mundo: la empresa había “prescindido de sus servicios”. “Por ello”, dice el Supremo, instaló la “bomba lógica” que estalló con toda su fuerza días después en las tripas de la entidad. Él siempre ha alegado que no fue despedido sino que fue trasladado a otro banco, el BBVA, y que no tenía motivos para perpetrar ninguna venganza.

En un primer momento la Audiencia Provincial de Madrid le impuso un año y nueve meses de prisión, condena que no hubiera implicado su entrada obligatoria en la cárcel, pero el Tribunal Superior de Justicia aumentó la sanción a tres años de presidio, lo que sí puede llevar a su encarcelamiento obligatorio al haber sido confirmada recientemente por el Tribunal Supremo.

Tres años de cárcel y una multa de casi 100.000 euros, con su entonces empresa respondiendo de forma subsidiaria de una indemnización de 33.000 euros al Santander por los perjuicios causados. En su recurso, entre otros argumentos, el informático afirmaba que él “no ganaba nada con el sabotaje” y el Supremo contesta: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco”.

Comité de crisis en Boadilla

A lo largo del juicio, la jefa de seguridad de la empresa del Santander explicó que esa mañana “se detectó que tres mil y pico ordenadores de más de 800 oficinas no arrancaban” y que se convocó un “comité de crisis”. La conclusión que sacaron fue que el condenado introdujo la “bomba lógica” a través de la máquina de salto. Todo el ataque había partido de un fichero de Excel y el informático, después, intentó borrar su rastro.

En su último recurso ante el Supremo, el informático condenado alegaba, entre otras cosas, que no existían pruebas de que él hubiera suplantado a otro usuario dentro del sistema para cubrir sus pasos, que es “extraño” que ninguna imagen de las cámaras de seguridad de la ciudad financiera del banco acredite que él estaba allí, que él “no ganaba nada con el sabotaje” y que, finalmente, todo era una investigación “manipulada” por la empresa del Santander “con el fin de evadir sus responsabilidades en el fallo de seguridad, intentando encontrar rápidamente un culpable, fuese quien fuese”. 

El Supremo contesta que la velocidad para “encontrar al culpable del caos ocasionado” no excluía “la posible responsabilidad de la empresa y de sus sistemas informáticos”. El condenado fue “la única persona” que estuvo ese día en las instalaciones según los registros y aunque alegue que no fue despedido de Norma 4 sí lo fue de Produban, la empresa del banco, “pasando a prestar servicios en BBVA”.

Los jueces no dudan de su culpabilidad: “Fue el recurrente quien instaló una bomba lógica en el sistema del banco, que determinó que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultánea de 3.168 equipos informáticos del Banco de Santander en toda España provocando la falta de operatividad de los equipos afectados entre los días 21 a 27 de marzo y afectando a la actividad de 839 oficinas”, resume la sentencia.

Parte del debate procede de cuando el Tribunal Superior de Madrid aumentó su condena hasta los tres años de cárcel al aplicar una versión más grave del delito de daños informáticos, al entender que usó un programa informático específico para reventar la red de ordenadores de las sucursales del Banco Santander. El Supremo, en la sentencia firme del caso, avala esta consideración.

“El concepto de bomba lógica proviene del término en inglés LogicBomb, y no es sino un programa informático (un conjunto de líneas de código) que se instala en una computadora y permanece oculto hasta cumplirse una o más condiciones preprogramadas para entonces ejecutar una acción. Es un programa maligno que se activa al momento de realizar una acción”.

Concluyen los jueces, por tanto, que el método que usó este informático “integra sin lugar a duda la modalidad agravada” del Código Penal para este tipo de delitos.

El Ayuntamiento de Mora ha detectado un “acceso no autorizado” a una “gran cantidad de expedientes de la administración electrónica municipal” utilizando de manera fraudulenta un usuario interno del programa informático que usa este pueblo toledano para la gestión de expedientes.

El Consistorio lo ha comunicado ya a la Agencia Española de Protección de Datos. Fue el pasado 8 de marzo cuando, según ha dado a conocer el Ayuntamiento, tuvo lugar una reunión en la que participaron trabajadores del área de informática, de la secretaría municipal y representantes del equipo de gobierno moracho, para trasladarle a su delegado de Protección de Datos (DPD) la documentación y datos técnicos sobre la detección por parte del Consistorio de un acceso a gran cantidad de expedientes electrónicos municipales no autorizados.

Técnicos municipales han comprobado, que estos accesos se están produciendo con un usuario que utilizó el consultor que impartió formación a los trabajadores municipales cuando se implantaron los programas de gestión documental necesarios para la administración digital, “un usuario que podría a priori acceder a todos los contenidos”.

“Es inaudito y extremadamente grave”

El alcalde de Mora, Emilio Bravo, ha calificado este suceso como “inaudito y extremadamente grave”. Bravo dio orden a los servicios municipales para que bloqueasen dicho acceso y recabase toda la información técnica necesaria para esclarecer este asunto, e indica que “en este asunto vamos a llegar hasta las últimas consecuencias” porque, añade, “no voy a permitir que la intimidad de mis vecinos sea violada”, asevera contundente el alcalde.

El regidor moracho informa que “ya se ha informado de la brecha a la Agencia Española de Protección de Datos” y que, “al no poderse notificar a cada uno de los posibles afectados por este tratamiento ilícito de sus datos personales, según establece la legislación vigente” (artículo 34.3 del Reglamento 2016/679 del Parlamento Europeo y del Consejo), “se ha hecho público un edicto para informar a todos vecinos a través de la página web, tablón de anuncios físico y el de la Sede Electrónica Municipal”, informa el regidor moracho. 

Se pondrá en conocimiento de la autoridad judicial

Bravo ha indicado que ya tienen recabada toda la información y documentación técnica necesaria y que actualmente están a la espera de varios informes explicativos o aclaratorios para, que los servicios jurídico municipales, den traslado y lo pongan en conocimiento de la autoridad judicial “para que se identifique al autor o autores de este uso fraudulento o suplantación de identidad para acceder a multitud de expedientes municipales”.

También han tomado otras decisiones para mejorar y aumentar la seguridad de la red de trabajo municipal para que sean aplicadas de manera urgente, como el establecimiento de una doble autenticación para el acceso de los diferentes usuarios del sistema y programas de la administración digital municipal.

También se informará e impartirá la formación necesaria sobre seguridad y protección de datos a todos los trabajadores, para que conozcan la normativa en materia de Protección de Datos, así como los riesgos y responsabilidades derivadas de la misma ante este tipo de actuaciones beligerantes.

Además, se establecerá un procedimiento de seguridad para intentar evitar episodios similares en un futuro. 

Según el informe del delegado de Protección de Datos municipal, “si se determina y/o aclara la autoría de estos hechos, el autor o autores, estaría incumpliendo de forma clara y premeditada el artículo 5.1 letra A del Reglamento 2016/679”, un hecho grave que puede acarrear consecuencias tanto administrativas como penales.

“Si algún posible afectado desea solicitar más información o ejercer algún derecho, puede dirigirse al Ayuntamiento y solicitar por escrito lo que considere en el SAC- Ventanilla Única Municipal”, ha concluido Emilio Bravo.

Imagine que tomamos el argumento de las películas Terminator y Contagio y los combinamos en una sola trama apocalíptica. El resultado sería una ficción en la que una inteligencia artificial (IA) diseña un nuevo virus letal que pone a la humanidad contra las cuerdas. Esta posibilidad, que hace unos años habría sonado estrambótica hasta para un título de serie Z, empieza a preocupar seriamente a autoridades y expertos. El motivo es que los nuevos modelos de inteligencia artificial son capaces de hacer algo que parecía imposible: diseñar nuevas proteínas que funcionan y que podrían servir tanto para curar enfermedades como para matar a millones de personas.

La velocidad con la que ha avanzado el uso de redes neuronales en biotecnología ha obligado a convocar varias conferencias de bioseguridad y a proponer nuevas regulaciones. En Estados Unidos se ha puesto en marcha la tramitación de la Ley de Seguridad de Síntesis de Genes, que obligará a las empresas a implementar protocolos de detección del uso indebido de estos productos de biología sintética, mientras que la Unión Europea –a pesar de su avanzada legislación sobre IA– se está quedando atrás a la hora de tomar medidas, aunque empieza a recopilar informes para regularlo.

Marc Güell, experto en Biología Sintética de la Universidad Pompeu Fabra (UPF), es miembro del grupo de trabajo de análisis de riesgos biotecnológicos de la UE que elabora uno de estos documentos. “Esto se ha discutido claramente y se ha puesto el énfasis en la interacción de IA y biotecnología”, informa a elDiario.es. “Y nos han hecho trabajar bastante rápido, así que supongo que tienen intención de ponerse las pilas”.

Se ha puesto el énfasis en la interacción de IA y biotecnología y nos han hecho trabajar bastante rápido, así que supongo que tienen intención de ponerse las pilas

Marc Güell — Experto en Biología Sintética de la Universidad Pompeu Fabra y miembro del grupo de análisis de riesgos biotecnológicos de la UE

El laboratorio de Güell trabaja diseñando estas proteínas y secuencias de ADN, por lo que conoce bien los mecanismos y los posibles riesgos. “Hasta ahora los biólogos sintéticos nos inspirábamos en la naturaleza y básicamente reutilizábamos cosas que ya existían”, explica. “Pero ahora por primera vez sí que tenemos la capacidad de generar proteínas sintéticas que cumplen con la biología pero no existen, con un sistema parecido a ChatGPT, que hace frases sintéticas que no ha hecho ningún humano pero cumplen las reglas de la semántica”. 

El especialista se refiere a sistemas como ProtGPT2, que ya se usa para el diseño experimental de proteínas y está encabezando una revolución biotecnológica. “Siempre se dice que un ingeniero aeronáutico diseña un avión y vuela; en biología no podíamos hacer esto, hay que probar y probar”, relata Güell. “Pero, claro, con este ChatGPT que habla [idioma] proteína empieza a parecer posible, y de hecho es algo que estamos haciendo en el laboratorio y que va a llegar”. Y esta posibilidad que abre la tecnología de “inventar” una nueva biología tiene unos riesgos implícitos aterradores. 

Los riesgos reales

¿De qué peligros estamos hablando? “Si tuviera que hacer un ránking de riesgos —indica Güell— pondría arriba del todo la posibilidad de hacer virus, un covid sintético más sofisticado, por ejemplo, o con partes más sofisticadas. Esto no sé si puede pasar mañana, en un año o en tres, pero claramente es algo que no está muy lejos a nivel de técnica”. “Estamos hablando de la posibilidad de diseñar, por ejemplo, una molécula que interfiera con la cadena respiratoria de las mitocondrias (nuestra gasolina, la fuente de energía) o una molécula que interfiera con la comunicación sináptica entre neuronas, como hacen los gases nerviosos como el gas sarín, serían venenos peligrosísimos y toxiquísimos que provocarían la muerte por colapso de forma inmediata”, enumera Lluis Montoliu, genetista e investigador del CNB-CSIC. 

Si tuviera que hacer un ránking de riesgos pondría arriba del todo la posibilidad de hacer virus, un covid sintético más sofisticado. Es algo que no está muy lejos a nivel de técnica

Marc Güell — Experto en Biología Sintética de la Universidad Pompeu Fabra (UPF)

“Si tú puedes seleccionar proteínas o, mejor dicho, secuencias genéticas de ADN que codifiquen eventualmente para proteínas que tengan una finalidad beneficiosa, ¿por qué no pensar que lo mismo lo puedes hacer para generar una proteína que sea una enzima clave que rompa una ruta metabólica y cause un estropicio celular y que sea absolutamente tóxica?”, insiste Montoliu. “¿O sintetizar una molécula que bloquee algún receptor de membrana y que, en lugar de curar o de facilitar o mejorar la vida para los enfermos de una determinada enfermedad, lo que haga es provocar esa enfermedad o incluso provocar la muerte?”. “Después del covid, ha quedado claro que el potencial destructivo de la biología es indudable”, añade Güell. “Hemos tenido millones de muertos por un trozo de ARN dando vueltas por el mundo”. 

La ‘caja de Pandora’

Todos estos escenarios que parecen fantasiosos y catastrofistas se convirtieron en una posibilidad real en 2020, cuando dos investigadores de la empresa Collaborations Pharmaceuticals, Sean Ekins y Fabio Urbina, se preguntaron qué pasaría si ponían a la inteligencia artificial a trabajar para el mal. Para ello, tomaron la red neuronal MegaSyn, que estaban utilizando para diseñar fármacos, y cambiaron un solo parámetro: en lugar de buscar productos que no dañaran la salud humana, probaron qué pasaba si le pedían a la IA que seleccionara las combinaciones tóxicas. En solo unos minutos, y con un ordenador de sobremesa, la IA les arrojó una lista de 40.000 moléculas que eran tan tóxicas o más que el compuesto VX, uno de los más letales que se ha sintetizado nunca.

En una hora, los chatbots sugirieron cuatro posibles patógenos pandémicos e identificaron protocolos para iniciar una pandemia

Más recientemente, en junio de 2023, un equipo del MIT encabezado por Kevin M. Esvelt encargó a un grupo de estudiantes no científicos que investigaran si se podría solicitar a un modelo de lenguaje LLM, como ChatGPT, que les ayudara a provocar una pandemia. “En una hora, los chatbots sugirieron cuatro posibles patógenos pandémicos, explicaron cómo se pueden generar a partir de ADN sintético utilizando genética inversa, proporcionaron los nombres de empresas de síntesis de ADN que probablemente no examinarían los pedidos, identificaron protocolos detallados y cómo solucionarlos”, explicaron los investigadores en su artículo con los resultados. Acababan de demostrar que los modelos como ChatGPT no solo pueden diseñar proteínas, sino que a nivel de usuario pueden guiar la actuación de alguien que desee aplicar estas moléculas para hacer daño. 

Un registro del material sintético

En un artículo editorial publicado recientemente en la revista Science, dos grandes nombres de la biotecnología –el bioquímico David Baker y el genetista George Church– abordan la posibilidad de que estas herramientas se utilicen con malas intenciones y apuntan a posibles soluciones. En el texto, Baker y Church ponen el foco en que “esta tecnología es vulnerable al mal uso y a la producción de agentes biológicos peligrosos” y proponen “una política de detección y registro de todas las secuencias genéticas sintetizadas”. Se trata, en definitiva, de que las principales empresas que son capaces de sintetizar estas moléculas les coloquen una especie de “marca de agua” que sirva para identificar el origen de posibles malos usos y que funcione como barrera disuasoria para quienes quieran utilizarlas con malas intenciones. 

Como recuerdan Baker y Church, las empresas de este sector siguen de forma voluntaria la regulación propuesta por el Consorcio Internacional de Síntesis Genética (IGSC) desde 2004. Esto se traduce en que, cuando reciben un encargo para sintetizar una molécula, lo contrastan con una base de datos para descartar que se trate de un agente peligroso. Ahora mismo, explica Güell, la síntesis de genes está muy centralizada en unos pocos productores, alrededor de una decena de empresas en Asia y EEUU. “Y son ellas las que actúan de filtro, cuando les mandas secuencias y quieres sintetizar un gen, ellos lo miran y contrastan con sus bases de datos y si sale una posible toxina, un virus o algo sospechoso, no lo sintetizan y te piden explicaciones”, confirma. 

Los autores de este artículo editorial proponen ir más allá y sistematizar un registro para la creación de todo material sintético, una medida que no será suficiente para impedir el mal uso de esta tecnología, a juicio de Güell. “Yo, personalmente, veo muy difícil de implementar el control”, afirma. “Creo que hay que ir en la dirección que apuntan, porque no veo otra manera de que esta tecnología se canalice para un uso no malicioso, pero es verdad que es muy difícil, porque ¿cómo vamos a convencer a todas las empresas que venden estas herramientas de que cumplan las normas? Además, también se venden sintetizadores de ADN más sencillos, y con ellos un ingeniero bien equipado y con un presupuesto puede hacer cosas”.

Una solución sería que todas las secuencias generadas por IA incorporaran un código específico y único cuando son sintetizadas

Gemma Marfany — Catedrática de Genética de la Universidad de Barcelona (UB)

Para Gemma Marfany, catedrática de Genética de la Universidad de Barcelona (UB), la solución de un registro obligatorio tiene sentido. “Para garantizar la bioseguridad de estas moléculas y su trazabilidad, una solución sería que todas las secuencias generadas por IA incorporaran un código específico y único cuando son sintetizadas, y que todas estén registradas en repositorios obligatorios”, afirma. “Pero si no sé de la existencia de estas secuencias, difícilmente el hecho de que las deposite en una base de datos me va a permitir asociarlas con peligro si no es que voluntariamente quien las haya creado las deposita con una etiqueta y alerta al resto de las personas”, advierte Montoliu. “Esperar que todo el mundo vaya a seguir por el camino recto, y que nadie vaya a utilizarlo mal, probablemente sea una ingenuidad”.

Alfonso Valencia, director del departamento de Ciencias de la Vida en el Centro Nacional de Supercomputación de Barcelona y del Instituto Nacional de Bioinformática, es más optimista y cree, como dicen los autores del artículo, que “la complejidad biológica hace que sea muy improbable que se pueda crear un agente peligroso en un solo intento”. A su juicio, hoy por hoy no hay un escenario real para que esto sea posible. “El bioterrorismo como en las películas no es factible en la realidad –subraya–, pero sí es necesario ajustar las medidas que ya existen”. 

El bioterrorismo como en las películas no es factible en la realidad, pero sí es necesario ajustar las medidas que ya existen

Alfonso Valencia — Director del departamento de Ciencias de la Vida en el Centro Nacional de Supercomputación de Barcelona y del Instituto Nacional de Bioinformática

Uno de los riesgos de los que más se ha hablado es la posibilidad de sintetizar una proteína parecida a la spike del SARS-CoV-2, recuerda, pero por fortuna los nuevos métodos de IA permiten predecir y sintetizar nuevas proteínas, pero no dotarlas de propiedades específicas. “Es decir, a día de hoy no es posible sintetizar una nueva proteína que funcione como la proteína de spike sin parecerse a ella”, sentencia. “Al menos no con los métodos conocidos y sin una gran inversión combinando computación y experimentación”.

El problema que queda por resolver, advierte Valencia, es cómo se detectará el nivel de peligrosidad de nuevas construcciones que no se parezcan a nada conocido. “El argumento de Baker y Church, que me parece acertado, es que el propio hecho de registrar las construcciones disminuirá el riesgo, además de hacer posible trazar el origen de las construcciones”. En cualquier caso, concluye, está claro que se debe continuar trabajando para evitar este tipo de escenarios.