Los ciberataques alcanzan su máximo histórico: “No hay nadie a salvo”

“Estamos bajo un ataque global. Esto se sale de los patrones. Siento ser catastrofista, pero creo que es así. No es casualidad”. Es la explicación que encuentra Rafael López, de la empresa de ciberseguridad israelí Perception Point, a la sucesión de ciberataques de los últimos 15 días. Cada segundo, billones de datos y miles de sistemas informáticos caen en manos de mafias organizadas para robar cuentas y exigir dinero a cambio de devolver el control sobre las identidades de los clientes y la infraestructura que sostiene la actividad de una entidad. El cibercrimen ha alcanzado su máximo histórico por la mayor disponibilidad de armas tecnológicas, por el amplio campo de batalla generado por la digitalización y, sobre todo, porque es un gran negocio. Sumada toda su actividad, equivale a la tercera economía del mundo,

El pasado jueves, un grupo criminal aseguró haberse hecho con millones de datos de usuarios del gigante de la venta de entradas Ticketmaster. Días antes, la casa de subastas Christie’s y tres grandes empresas españolas sufrían la misma amenaza. “Solo hay dos tipos de empresas, las atacadas y las que no saben que lo han sido”. Este dicho común en ciberseguridad se atribuye a John Thomas Chambers, veterano exjefe de seguridad de la tecnológica Cisco, quien advirtió a principios de año de un incremento de las agresiones informáticas que se ha confirmado en solo seis meses. Y no solo las compañías. Cualquier institución o persona es objetivo de las mafias. “El 94% de la población española entre 16 y 74 años tiene un dispositivo móvil, lo que le convierte en víctima potencial de un ciberataque”, aseguró Gabriel González, fiscal delegado de Criminalidad Informática en el último 5G Forum de Sevilla.

Los últimos ejemplos de esta hiperactividad delictiva con mayor repercusión, por la dimensión de las víctimas, son las posibles brechas de seguridad en Banco Santander, Telefónica, Iberdrola o la DGT. Pero son solo las conocidas porque, hasta que entre en vigor a final de año la directiva europea NIS2, que obliga a tener sistemas de seguridad robustos y comunicar los ataques, la mayoría de las entidades privadas sobrelleva en la intimidad la virulenta epidemia de infecciones en sus sistemas, favorecida por nuevos vectores como la inteligencia artificial o inéditas vulnerabilidades.

Diferentes estudios calculan que el aumento de los ciberataques este año se sitúa entre el 25% y el 30%, un incremento del que no se libra España, donde el Informe de Seguridad Nacional del último ejercicio recoge que el Centro Criptológico Nacional registró en solo nueve meses una cifra récord de 940.776 cibercrímenes, un 21,5% más que el año anterior.

Marc Rivero, jefe de investigación de Kaspersky, coincide en que la actividad actual del cibercrimen no tiene precedentes y lo defiende con los datos de su equipo de respuesta a incidentes, que ha observado un incremento de los ataques, en especial de secuestros y robos de datos seguidos de extorsión (ransomware). Coincide Jakub Kroustek, también director de investigación de programas maliciosos de Gen, el grupo de empresas que comercializa Avast: “Durante este 2024 se ha alcanzado la mayor ratio de riesgo cibernético de la historia, es decir, la probabilidad más alta de que cualquier individuo sea el objetivo de un ciberataque”.

Esta mayor actividad se refleja en el mercado clandestino de herramientas y datos, donde la disponibilidad de armas informáticas crece sin parar. “Las últimas semanas están siendo absolutamente caóticas. Se nota muchísimo el aumento de actividad. Está siendo exponencial”, confirma Rafael López. Lo sabe bien porque está infiltrado donde se mueve este ingente negocio criminal: en la dark web (la parte de internet que no está indexada por los motores de búsqueda convencionales) y en los canales de ciberdelincuencia de Telegram, la plataforma de mensajería que intentó cerrar sin éxito el juez de la Audiencia Nacional Santiago Pedraz el pasado marzo.

“Es como la selva. Hay de todo. Desde activistas rusos, que buscan voluntarios para campañas de propaganda o para ataques de denegación de servicios esenciales, hasta gente que ofrece cursos para ser hacker (pirata informático) o que vende los datos robados o los programas para hacerlo. Pero, como en toda selva, si no vas preparado, las fieras te comen”, explica.

Ingentes beneficios

Los motores que mueven esta industria son tres: espionaje, ideológicos y económicos. El primero es el menos habitual y busca solo acceder a información confidencial de entidades de la competencia o adversarios. El ataque con motivaciones ideológicas (hacktivismo), aunque ha crecido desde la guerra en Ucrania y Gaza, se mantiene estable en lo alto de la tabla de incidencias. Pero la razón del estallido reciente, facilitado por la mayor disponibilidad de herramientas y víctimas, es el dinero. “La principal causa (93%) que impulsa a los ciberatacantes es conseguir un rédito económico”, ratifica Igor Unanue, jefe de tecnología de S21sec (del grupo Thales) en España y Portugal. Los datos justifican esta conclusión. El volumen de negocio del cibercrimen supera los 10,5 billones de euros anuales.

Marc Rivero considera que el panorama responde a las peores previsiones y señala que las alarmas actuales se deben a la repercusión que genera la relevancia de las compañías afectadas: “Cuando tienen [los delincuentes] la suerte de encontrar algún fallo de seguridad en grandes empresas, lo utilizan y acaba impactando”.

Es el caso de Ticketmaster, la mayor plataforma de venta de entradas online para eventos de ocio y conciertos, como los de Taylor Swift en España. El grupo criminal ShinyHunters ha amenazado con vender los datos de 560 millones de usuarios y Australia, donde tiene la sede la compañía, ha abierto una investigación. Lo mismo le ha sucedido a Christie’s.

En España, el primer gigante afectado este mes de mayo ha sido el Banco Santander, que comunicó a la Comisión Nacional del Mercado de Valores un “acceso no autorizado” a un proveedor con información de los clientes de la entidad en España, Chile y Uruguay. La entidad bancaria asegura que no se ha tenido acceso a “información transaccional ni credenciales de acceso o contraseñas de banca por internet”.

Pocos días después, la empresa de seguridad HackManac informó de una supuesta oferta ilegal de datos de 120.000 clientes de Telefónica, pero la compañía investiga “la legitimidad de la información que dice tener este actor en internet [el ciberdelincuente que ha amenazado con difundir los datos]” y niega que, de haberse conseguido el acceso, este incluya “datos sensibles”, como claves y cuentas bancarias.

Al grupo se ha sumado la energética Iberdrola, que comunicó a la Agencia Española de Protección de Datos y a la policía la filtración desde los servidores de un proveedor de nombres completos y documentos de identidad de 850.000 de sus casi 12 millones de clientes. “Los ciberdelincuentes no han logrado acceder a la información más sensible y la brecha se cerró de forma inmediata”, responde un portavoz de la compañía.

El último caso ha sido una supuesta oferta de datos procedentes de la DGT que la Guardia Civil investiga. El hacker afirma vender información de millones de vehículos, con sus matrículas, titulares, DNI y datos del seguro vigente.

El eslabón más débil

Los últimos casos de brechas en empresas españolas tienen un denominador común: los ataques llegan a través de terceros, porque los sistemas internos de las grandes compañías son muy robustos. La inversión en seguridad de las empresas españolas ronda los 1.200 millones de euros (200.000 en el mundo). Pero el 90% de este gasto se corresponde con entidades de gran tamaño, mientras que las pequeñas y medianas empresas realizan inversiones mínimas, a pesar de que todas están digitalizadas en mayor o menor medida (ampliando así el campo de vulnerabilidades) y forman parte del ecosistema económico de las primeras como subcontratistas y suministradoras de bienes y servicios.

Rafael López explica que los atacantes buscan el acceso “en los eslabones más débiles de la cadena, que suelen ser proveedores con sistemas de seguridad insuficientes, cuando los tienen”. En la misma línea, Sergio de los Santos, director del área de Innovación y Labs en Telefónica Tech que también participó en el último 5G Forum, defiende que “las pequeñas y medianas empresas tienen que entender que van a ser atacadas y que la ciberseguridad no es una utopía”.

Pero el atacante no solo busca la parte de la muralla más vulnerable, sino también al vigilante menos diligente. En más de la mitad de los casos (68%) hay un error humano detrás de cada ataque; basta con abrir un simple correo electrónico con un enlace encubierto que activa un programa malicioso en solo 60 segundos.

Mark Rivero precisa: “Cuando a una persona le roban las credenciales de sus cuentas y de las empresas con las que trabaja, esa información se vende a los grupos de ransomware para, directamente, facilitar las campañas de fraude y el acceso a las redes comprometidas”.

Las grandes empresas cuentan con sistemas de defensa robustos, aunque, según De los Santos, además de muros preventivos, “han asumido que van a sufrir ataques exitosos, por lo que ahora la importancia recae en cómo recuperarse”. Pero la diana final de los ladrones de información de esas compañías con millones de clientes es el usuario, víctima del 84% de las estafas por internet. “No hay nadie a salvo, pero lo que más me preocupa”, señala Rafael López, “es el ciudadano de a pie, porque los datos robados son los que sirven para campañas masivas de fraude que suplantan a bancos, la Agencia Tributaria o la policía”.

Raúl Sánchez, economista de 56 años residente en Sevilla, aún recuerda la última aciaga mañana de Navidad cuando, como tiene por costumbre, revisó la aplicación de su banco: “Descubrí que habían comprado con los datos de mi tarjeta 2.500 euros de publicidad en Snapchat, una red social que hasta ese momento desconocía. Supongo que la venderían luego. Llegaron al límite de crédito”. Denunció en comisaría para poder reclamar a la entidad financiera. “El policía se encogió de hombros cuando le pregunté si podían hacer algo”, recuerda.

Pagar al delincuente

La mayoría de las empresas, instituciones y particulares siguen sufriendo los ciberataques más habituales, que generalmente se producen de forma combinada y secuencial. Aunque hay decenas de modalidades específicas, se pueden agrupar en tres categorías: el engaño (phishing) para acceder a credenciales de acceso cuando no se puede acceder por lo que se denomina “fuerza bruta”; denegación de servicio (DDoS, por sus siglas en inglés), para inhabilitar en solo cinco minutos los sistemas de cualquier entidad (59% de los casos); y el secuestro de datos y extorsión (ransomware). Si la empresa no paga, la información se ofrece en la web oscura para que los ciberdelincuentes adquieran una base de datos para lanzar campañas de fraude.

Si se consuma el secuestro, la primera norma es no pagar. “Cada vez que se hace, se financia el crimen”, advierte Rafael López. Sin embargo, muchas empresas prefieren abonar el rescate, generalmente en criptomonedas, para evitar la crisis reputacional y salvaguardar a sus clientes. “Sospechamos que, cuando no se difunden los datos de una entidad atacada, es porque han pagado. Los criminales no hacen amigos”, asegura López.

Cada vez que se paga un rescate, se financia el crimen

Rafael López, de la empresa de ciberseguridad israelí Perception Point

No existen estadísticas fiables sobre cuántas entidades pagan, pero la compañía de seguridad Veeam calcula que un 76% abona las cantidades reclamadas. La delegación andaluza de un bufete nacional de abogados, que se niega a ser identificada, sufrió un secuestro de todo el sistema y pagó por la información confidencial robada. “Nunca se recuperó el sistema, pero los datos no se difundieron”, admite uno de sus responsables.

Aunque las armas tienen el mismo mecanismo, se han sofisticado gracias a la irrupción de la inteligencia artificial (IA), capaz de crear en solo segundos un programa malicioso, recrear un correo exactamente igual al de un remitente habitual y de confianza o incluso suplantar voces e imágenes. Por fortuna, según Juan Miguel Pulpillo, Coordinador del Centro de Ciberseguridad Industrial, “la IA también desempeña un papel esencial en la ciberseguridad al ayudar a identificar, prevenir y responder a las amenazas cibernéticas de manera más rápida y precisa”.

Tampoco ha cambiado mucho el mapa de las ciberamenazas. Según una investigación publicada en Plos One, el Índice Mundial de Ciberdelincuencia se concentra principalmente en un pequeño número de países con China, Rusia, Ucrania, Estados Unidos, Rumanía y Nigeria a la cabeza, aunque la lista completa alcanza a 97 Estados, cada uno con su especialidad. “Por ejemplo, los delitos cibernéticos relacionados con productos o servicios técnicos fueron la categoría principal en China; el robo de datos o identidad, en los EE UU; y los ataques y la extorsión, en Irán”, explica Miranda Bruce, investigadora de la Universidad de Oxford y autora principal. No son individuos aislados, sino organizaciones criminales, en la mayoría de los casos, con apoyo de los Gobiernos o dependientes de ellos, como los grupos de Corea del Norte.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.