Código rojo, nos han hackeado: así son los ciberataques empresariales
La delincuencia informática crece en todo el mundo y las pymes son el eslabón más débil por su menor capacidad de inversión
El día que cayó Sony, sus empleados todavía no lo sabían. La multinacional del entretenimiento había sufrido uno de los peores ciberataques de la historia —perpetrado por un misterioso grupo llamado Guardianes de la Paz, afín al Gobierno norcoreano—, pero no fue hasta finales de noviembre de 2014 cuando los trabajadores, al llegar a la oficina, se dieron cuenta de ello: los sistemas estaban bloqueados, en las pantallas aparecía un terrorífico mensaje de alerta y los atacantes, después de haber...
El día que cayó Sony, sus empleados todavía no lo sabían. La multinacional del entretenimiento había sufrido uno de los peores ciberataques de la historia —perpetrado por un misterioso grupo llamado Guardianes de la Paz, afín al Gobierno norcoreano—, pero no fue hasta finales de noviembre de 2014 cuando los trabajadores, al llegar a la oficina, se dieron cuenta de ello: los sistemas estaban bloqueados, en las pantallas aparecía un terrorífico mensaje de alerta y los atacantes, después de haber robado toda la información que quisieron sin ser descubiertos, hicieron públicas sus demandas: entre ellas, que se retirase la película The Interview, una comedia sobre dos americanos que tienen la misión de asesinar a Kim Jong-un. El origen y el momento en el que empezó el ciberataque son todavía objeto de controversia, pero lo que quedó, tras la grave crisis diplomática y de seguridad que prosiguió a las demandas de los atacantes, fue una lección importante para el mundo corporativo: no solo las grandes empresas tienen que invertir en ciberseguridad, sino también las pequeñas y medianas, puesto que las amenazas pueden venir de todos lados, desde algo tan inesperado como una pizzería. En el caso de Sony, una de las sospechas es que el programa malicioso se instaló en los dispositivos de los empleados a través de la red de un restaurante cercano donde iban a comer.
El crimen cibernético no es un fenómeno nuevo. De hecho, en el primer caso considerado como tal no tuvieron nada que ver ni ordenadores ni cables ni chips, pero sí datos: en 1834, dos banqueros corruptos sobornaron a un operador del sistema telegráfico francés, que por entonces funcionaba con unas torres con brazos móviles de madera que transmitían mensajes visuales, para que introdujese errores en la comunicación de datos financieros, mientras ellos, con la información correcta, ganaban dinero. Tiempo después, en 1962, tuvo lugar el primer ciberataque a un ordenador del Massachusetts Institute of Technology (MIT) que funcionaba con tarjetas perforadas, y que ya pedía una contraseña para dosificar el tiempo de uso. Uno de los estudiantes se las ingenió para piratearlo, hacerse con todas las contraseñas y poder usar el ordenador tanto como quisiera. A partir de los setenta, con las primerísimas versiones de internet, aparecieron los primeros virus, los programas troyanos (para sacar información de un sistema) y los gusanos informáticos (para replicarse en otros equipos), y también los primeros ataques de guerra cibernética: la explosión en 1982 de un gasoducto siberiano se debió a programas informáticos defectuosos introducidos por la agencia de inteligencia estadounidense (CIA).
Flancos débiles
Pero ha sido en la última década cuando la ciberdelincuencia se ha convertido en una amenaza cada vez más extendida y apremiante. El problema ha adquirido una gran magnitud por la cantidad de personas que son vulnerables a estos ataques: desde el empresario al que le atacan el sistema y le piden un rescate hasta las administraciones, universidades u hospitales que son hackeados, pasando por todos los usuarios cuyos datos personales son el botín robado por los ciberdelincuentes. La alta penetración de teléfonos inteligentes entre la población, la digitalización de procesos, actividades y empresas, y el auge del trabajo en remoto acelerado por la pandemia son factores de progreso para la sociedad, pero a la vez forman un gran mapa agujereado por el que los atacantes pueden entrar. Sin ir más lejos, esta semana un hacker prorruso denominado NoName057 bloqueo durante horas las páginas webs de varios bancos españoles
El auge del cibercrimen se da, además, en un contexto geopolítico en el que, en paralelo a guerras como la de Ucrania, se libran de forma soterrada guerras virtuales, y a menudo lo que parece solo un crimen con motivo económico tiene detrás también una filiación ideológica. Los gobiernos ya consideran el espacio cibernético como el quinto dominio militar (que se suma a los de tierra, mar, aire y espacio), y los ataques coordinados en la guerra de Ucrania lo demuestran: según un estudio de Microsoft, entre junio de 2020 y junio del año siguiente las infraestructuras de Ucrania, sus empresas y las cadenas de suministro recibieron el 20% de los ataques cibernéticos perpetrados por agentes vinculados a Estados en el mundo. Las compañías, pues, también están expuestas a sufrir ataques por las conexiones directas o indirectas que tienen con objetivos militares.
La magnitud del problema se agrava también por la parte económica. Un informe de la empresa especializada en ciberseguridad Secure IT apunta que el valor global del dinero movido por la ciberdelincuencia alcanza ya el 1,5% del PIB mundial, más que las cifras del tráfico de armas, drogas y trata de personas combinados. En Estados Unidos, según un estudio de IBM, el coste medio de las filtraciones va en aumento y en 2021 fue de 4,24 millones de dólares, un 12% más que en 2015. El daño reputacional también es un factor a tener en cuenta. Estudios académicos apuntan que firmas que están en el 25% más elevado en términos de reputación pasan a estar por debajo de la media dos años después del ataque. “No te juzgarán por ser atacado, pero sí por cómo respondes al ataque”, advertía a Bloomberg el directivo de una empresa atacada.
El auge de la delincuencia cibernética lleva, pues, a la pregunta de cómo pueden las empresas prepararse ante posibles ataques y, sobre todo, si son conscientes de cuánto les va a costar. Un estudio reciente que elaboró Citi para analizar el aumento de la demanda de profesionales de la ciberseguridad explica cómo es cada vez más difícil contratar a personal de este ámbito y cómo han incrementado los costes en equipamiento, programas y personal. Apunta dos causas sobre este auge: por un lado, el impacto de la geopolítica en la emergencia de las guerras cibernéticas y, por otro, la conciencia cada vez mayor de los usuarios de que los datos que prestan a las empresas tienen que estar bien asegurados. No es para menos: el 75% de las filtraciones de datos tiene que ver con el cibercrimen, y de media las empresas tardan 287 días en descubrir que han sido atacadas, así que en este tiempo los datos son objeto de actividades ilegales sin que los propietarios lo sepan.
Para prepararse, primero hace falta ponerse en la piel del ciberdelincuente. “Hay que entender quién es el atacante y qué motivación tiene: si es económica para lograr un rescate, si lo hace por activismo o si tiene que ver con la guerra. En el primer caso, lo más rentable es atacar a los sectores que con mayor probabilidad pagarán el rescate, como el sanitario, la Administración pública o la industria. Y lo más habitual es que accedan a ellos mediante sus proveedores, más pequeños y con menos medidas de seguridad”, explica Francisco Valencia, director general de Secure IT. El informe de Citi indica que el sector sanitario es donde más han crecido los ciberataques, con mucha diferencia, y pese a ello es uno de los sectores más desatendidos en inversión en ciberseguridad. El ataque en el Hospital Clínic de Barcelona del pasado mes de marzo, que obligó a anular visitas y que todavía colea con filtraciones y peticiones de rescate, es un ejemplo.
La forma en la que se lanzan los ataques varía mucho, pero su sencillez conceptual asusta. “Una de las maneras es atacando la contraseña, y hay dos formas de hacerlo: por fuerza bruta, probando las contraseñas más usadas por la ciudadanía como fechas de cumpleaños u otras, o creando diccionarios específicos: los atacantes rastrean las redes sociales de las personas y prueban con nombres y conceptos que tienen relación con la víctima”, explica Valencia. Hay una tercera manera, la más utilizada: “La gente suele poner la misma contraseña en el trabajo que en redes y sitios web que no están tan asegurados. Es tan fácil como atacar a estos sitios y ya tienes acceso a la empresa. Estas bases de datos de contraseñas de sitios no seguros se cuelgan de forma ilegal en la dark web y ahí se compran y se venden”.
Es precisamente en la dark web, el internet al margen de la ley donde hay un buscador parecido a Google, donde se pueden comprar o alquilar también listas de correos electrónicos y usarlas para cazar víctimas con la técnica del phishing, el envío masivo de correos en los que, si uno hace clic, da entrada a un virus o a un programa malicioso. “Esto es lo más usual, aunque también crean páginas web falsas, por ejemplo de agencias de viajes, en las que se pide identificarse y crear una contraseña: lo más probable es que esta contraseña sea la misma que en el trabajo y de ahí sacan el acceso”, explica Valencia.
Retrato robot
Los atacantes suelen ser jóvenes, muchas veces menores, que desde cualquier punta del mundo trabajan para los grupos de cibercrimen. “Estos grupos generan virus —ahora en parte lo hacen con inteligencia artificial— como LockBit, desarrollado por un grupo ruso. El esfuerzo del atacante es mínimo: alquila el virus, contrata una lista de correos, manda el spam y espera a que alguien pique”, abunda el director general de Secure IT. En verano hay más ataques, porque los hackers se aprovechan de que los informáticos se van de vacaciones. Ante este panorama, ¿están preparadas las empresas en España? “Aplican medidas de seguridad según su tamaño, porque tiene que ver con el presupuesto y el personal. En las pequeñas y medianas muchas veces no tienen recursos para hacerlo, pero, además, no conocen cómo funciona: confunden la ciberseguridad con el personal de informática, y son dos cosas distintas”, explica Valencia. La ciberseguridad, detalla, suele tener un coste equivalente al 10% de lo que cuesta la inversión en informática.
Invertir en ciberseguridad consiste en una parte técnica —ir más allá de medidas de seguridad básicas como el antivirus, un sistema de correo cerrado o la autenticación en dos pasos—, pero sobre todo en labores de prevención: organizar bien los datos, tener protocolos sobre los proveedores y la información que se comparte con ellos, formar a los empleados o establecer protocolos sobre contratación y despido de personal. “Sorprende ver grandes compañías, administraciones públicas y hospitales que no tienen ni las medidas de seguridad básicas, y esto tiene que ver con la falta de conciencia de la alta dirección, que cree que es un problema de los informáticos. Estamos en seguridad cibernética como estábamos hace 25 años en seguridad laboral”, concluye Valencia.
Caer en la trampa
En España, el Instituto Nacional de Ciberseguridad (Incibe) gestionó el año pasado 118.820 incidentes, un 8,8% más que el año anterior, tanto a particulares y empresas como a operadores esenciales o a la red académica. Más de 57.000 ataques fueron a empresas y, de estos, 9 de cada 10 estaban relacionados con sistemas vulnerables. Incibe tiene un canal abierto con recursos para empresas tanto en prevención como en reacción y una herramienta donde las compañías pueden autodiagnosticar su situación de vulnerabilidad. La mayoría de las llamadas, explica la institución, tienen que ver con casos de phishing y smishing (envío de un mensaje SMS simulando una entidad legítima) o sobre suplantación de identidad. La línea de ayuda es anónima, por el recelo de las empresas a contar que han sido atacadas. Bajo ese anonimato, un pequeño empresario que provee de servicios a empresas industriales cuenta su experiencia: “Es muy frustrante y, una vez que te ocurre, temes perder a tus clientes”. En su caso, el ataque llegó por el método del phishing, y aunque lograron solucionarlo relativamente rápido, el afectado admite que la empresa no estaba preparada: “Teníamos algunas medidas, pero resultó que no bastaba con esto. Lo que faltó también fue que los empleados estuviesen formados para evitar caer en la trampa”.
“La ciberseguridad es y seguirá siendo una asignatura pendiente para las pymes porque la ciberdelincuencia avanza con métodos y técnicas cada vez más sofisticados. La clave para enfrentarse a ello pasa porque tanto dirección como empleados estén concienciados”, afirma María Eugenia López, responsable de ciberseguridad para empresas en Incibe. “Por desgracia”, añade, “hay compañías que no se percatan de ello hasta que no se ven afectadas por un incidente de ciberseguridad. Sin embargo, invertir en soluciones es más rentable que paliar las consecuencias que puede conllevar un incidente”.
En España, el 95% del tejido empresarial está formado por pymes y su nivel de seguridad depende mucho de cuánto hayan avanzado en el proceso de digitalización. “Es un desafío global y es relativamente nuevo, así que siempre vas un pasito más lento que la amenaza”, reconoce Francisco Vidal, director de economía de Cepyme, que recuerda que hay una parte importante de las empresas que todavía funciona de forma completamente analógica. En España hay 1,1 millones de empresas con menos de 10 trabajadores. La encuesta del INE sobre el uso de las tecnologías de la información y telecomunicaciones indica que un 24% de estas compañías no trabaja con ordenadores. En las que tienen más de 10 trabajadores, dos tercios de los empleados usan ordenadores con fines empresariales, y las empresas que tienen conexión a internet o una página web son el 78,5%. “Si no tienen ordenador, ¿cómo les va a preocupar la ciberseguridad? En ocasiones hay un mínimo de presencia digital, por ejemplo el uso del móvil como un ordenador, del WhatsApp para mandar facturas… Son empresas que están a medio camino”, apunta Vidal.
El directivo de Cepyme admite que “cuanto más pequeña es la empresa, menor es la demanda de ciberseguridad”, lo que explicaría las peticiones residuales de ayudas relacionadas con la ciberseguridad en el kit digital (una iniciativa del Gobierno, cuyo objetivo es subvencionar la implantación de soluciones para conseguir un avance significativo en el nivel de madurez digital) entre las empresas pequeñas —en cambio, en las empresas de entre 10 y 49 trabajadores, el 12% de las ayudas del kit digital demandadas tenían que ver con la ciberseguridad—. “Cuando te aumenta la demanda, empiezas a tener varias sucursales conectadas, una página de comercio electrónico y un portal para clientes, crece la necesidad de invertir en ciberseguridad”, explica.
Una encuesta de Google a pymes de más de tres trabajadores da algunos datos ilustrativos: 3 de cada 10 responsables de informática confiesan no conocer el concepto de ciberseguridad, y en dos tercios de los casos la empresa se encarga internamente de este tema, siendo la mayoría de las veces el propio responsable de la gestión quien asume estas funciones. Poco más de la mitad de las empresas encuestadas cambia su contraseña cada tres meses o menos, y un tercio de las pymes no tiene implementado el protocolo básico de seguridad https en sus páginas web. “Las pymes creen que no van a ser objeto de un ataque, no creen que tengan nada interesante que se pueda robar, y de hecho solo un 17% declaran haber sufrido un ciberataque, aunque lo más probable es que ni se den cuenta”, concluye Vidal.
Protección de datos y prevención
Uno de los primeros pasos para la prevención es entender la ley y cumplirla. La normativa de protección de datos es la más básica y cumplir con ella permite poner un primer coto a los ciberataques. Pero hay distintas estrategias, como indica un reciente informe del banco estadounidense Citi: en Europa, España era en 2018 la que puso más multas (471), pero la suma total fue una de las más bajas, con 56 millones de euros. Francia, en cambio, puso solo 28 multas y con ellas recaudó 271 millones. Varios estudios indican que la estrategia de grandes multas ejerce más presión a las compañías para que cumplan las normas, aunque la estrategia de sanciones más pequeñas aunque más numerosas consigue homogeneizar un nivel de seguridad en empresas de diferentes tipos y tamaños.
Los despachos de abogados se han ido adaptando a la demanda creciente de asesoramiento. Leticia López-Lapuente es directora del área de protección de datos y ciberseguridad en el despacho Uría Menéndez: “Llevamos más de una década ayudando a empresas en la prevención y la reacción a ciberataques, pero de forma más recurrente desde hace cinco. Nuestros clientes son de distintos tamaños y sectores, y encontramos variedad de casos: empresas que sufren ataques de ransomware (secuestro de datos), de incidentes que vienen a través de proveedores, errores humanos…”. Esta experta señala que en el plano de la prevención asesoran a las compañías para tener protocolos de cumplimiento normativo claros: “Por ejemplo, políticas claras de uso de los dispositivos, el establecimiento de restricciones, políticas de gestión de brechas, y también elaboramos materiales formativos”. Una vez que ya se ha sufrido el ataque, el ángulo jurídico es uno de los más importantes. La filtración puede implicar que la empresa esté incumpliendo contratos o dañando a clientes, y esto deriva en reclamaciones. “Otra de las funciones que se nos encarga habitualmente en caso de ciberincidentes es la gestión con los seguros de ciberresponsabilidad, cada vez más habituales en las empresas y que ayudan a mitigar algunos riesgos”, apunta López-Lapuente. Según una encuesta de Google, solo un 12% de las pymes españolas tiene una póliza contratada. La especialista de Uría Menéndez cree que las empresas están cada vez más concienciadas y se van reforzando los equipos, aunque también falta dar un paso más en regulación. La directiva europea NIS2, aprobada hace pocos meses, será de obligado cumplimiento por parte de los organismos gubernamentales, servicios esenciales y por parte de empresas de más de 250 empleados y facturación superior a 50 millones de euros. Le falta, pues, transversalidad en el tejido empresarial, “seguramente para no cargar más a las empresas pequeñas”, apunta la abogada.
Sigue toda la información de Economía y Negocios en Facebook y Twitter, o en nuestra newsletter semanal