Por José Luis Acedo. Consultor de Comunicación.
Hace unas horas el Ayuntamiento de Sevilla ha reconocido ser víctima de un ciberataque. Los autores han pedido un rescate para recuperar los sistemas informáticos y los efectos del “apagón digital” empiezan a ser percibidos por la ciudadanía. En este contexto ¿Cómo evitar un “hackeo” a la reputación institucional? Es decir, ¿Cómo debería enfocarse la comunicación desde la institución para aminorar el daño a la imagen y a la credibilidad? En este artículo aporto mi experiencia en un caso similar.
A los pocos días de asumir el puesto de Director de Comunicación del Ayuntamiento de Jerez de la Frontera (Cádiz), en octubre de 2019, los sistemas informáticos municipales recibieron un ciberataque cuyos efectos se prolongaron varias semanas.
Se me vienen a la memoria aquellos momentos de incertidumbre y me gustaría compartir con vosotros algunas reflexiones sobre la respuesta comunicativa ofrecida por la institución en aquel contexto de crisis, así como algunos aprendizajes.
Recuerdo aquella situación como uno de los momentos que precisó de una mayor cooperación en el conjunto de la organización y puedo afirmar que el compromiso personal de los trabajadores y trabajadoras municipales fue el mejor antivirus contra el caos. Aquello fue una prueba de fuego para la comunicación interna.
Apagón preventivo
El “apagón preventivo” de la red corporativa se compensó con más comunicación interpersonal, reuniones de equipo presenciales en las delegaciones de gobierno, áreas operativas… y un objetivo compartido: mantener el mayor número de servicios en funcionamiento y la ofrecer la mejor atención a la ciudadanía, si era preciso, con la vieja fórmula del papel y el lápiz, levantando teléfonos, recuperando el fax… . Actuar con agilidad, dar una respuesta, gestionar y conversar con la ciudadanía, buscando vías alternativas. Garantizar el servicio público, aún en las condiciones más complejas.
La acción comunicativa fue planificada y ejecutada de forma responsable y transparente. En todo momento nuestro objetivo fue transmitir la información disponible de forma clara, comprensible y directa, con portavoces técnicos y políticos cualificados para generar un clima de tranquilidad y confianza. Además de las convocatorias y comunicados, nos pusimos a disposición de los medios para atender entrevistas y responder a cuestiones complejas.
A través de todos los canales a nuestro alcance ofrecimos un relato en tiempo real, con todos los datos de los que disponíamos para trasladar a la ciudadanía la información relacionada con este hecho. Ofrecimos una cronología detallada de la detección de la incidencia, describimos la respuesta del departamento de informática para para aminorar el impacto del virus y preservar la información sensible, y fuimos transmitiendo en los días sucesivos el resultado de las medidas que se iban implementando en coordinación con el Centro Criptológico Nacional.
Tanto en la fase de diagnóstico, como en la activación de las primeras medidas de “limpieza” de la red, creo que fuimos capaces de asumir y reflejar en el relato nuestra propia sensación de vulnerabilidad. No éramos los primeros y desde luego, no seríamos los últimos en ser víctimas del chantaje de ciberdelincuentes.
Enemigo invisible
Las instituciones se enfrentan a un enemigo difícil de batir. un enemigo invisible, con gran capacidad para camuflarse y cambiar de forma, que mejora su eficacia y su potencial dañino cada día, que es resistente y persistente y se propaga de una forma muy rápida. La amenaza es cada vez más palpable y el ciberterrorismo perfecciona sus métodos con extraordinaria habilidad. Decía John Chambers, antiguo CEO de la compañía Cisco que “existen dos tipos de organizaciones: las que han sido hackeadas y las que aún no saben que han sido hackeadas. ”
Más allá de los inconvenientes generados, el análisis de daños constató que no hubo robo de datos ni credenciales, y sí que podemos anotar algún efecto positivo de la experiencia: aquel octubre del 2019 exigió de nosotros una gran capacidad de adaptación, nos brindó nuevos conocimientos y nos permitió extraer valiosas enseñanzas que sin duda reforzaron la capacidad de la institución para hacer frente a nuevos retos.
Ningún sistema está perfectamente blindado, ni es inexpugnable… nuestras infraestructuras, nuestro patrimonio, son susceptibles de recibir ataques, sabotajes o sufrir actos de vandalismo. Somos vulnerables y aceptarlo, ser consciente de nuestras debilidades… nos hace más fuertes.
