Pymes desnudas ante el ciberdelito

Las peque?as y medianas empresas (pymes) caminan descalzas por ese camino plagado de cactus que es Internet. Hace algunas semanas unos hackers consegu¨ªan bloquear 400.000 archivos del recinto ferial de Madrid (Ifema) en cuesti¨®n de segundos. Un falso mensaje que parec¨ªa proceder de la empresa p¨²blica Correos bast¨® para desencadenar el caos. Esa infecci¨®n masiva se expandi¨® a trav¨¦s de un virus (malware) llamado CryptoLocker, un tipo de ataque que se populariz¨® en 2013 y que sigue causando estragos a trav¨¦s de versiones renovadas. Es lo que Alfonso Mur, socio director de Riesgos Tecnol¨®gicos de Deloitte, califica como ¡°el fraude directo m¨¢s com¨²n¡±, parecido a los secuestros reales de personas. ¡°A trav¨¦s de una descarga imprudente entran en el ordenador de tu empresa, bloquean la informaci¨®n y piden un rescate en un breve periodo de tiempo mediante una cuenta de Paypal¡±, explica. Suelen exigir peque?as cantidades, de 1.000 o 3.000 euros, a cambio de restablecer los archivos de sus v¨ªctimas si ¨¦stas acceden al chantaje, algo que afortunadamente no sucedi¨® en el Ifema gracias a que conservaban los datos en copias de seguridad.

Seg¨²n un estudio del fabricante de antivirus Symantec, en Espa?a las p¨¦rdidas anuales por robos de informaci¨®n en empresas alcanzan los 482 millones de euros (datos de 2013). La memoria de 2014 de la Fiscal¨ªa General del Estado recoge un aumento de las estafas inform¨¢ticas en un 60% (se tramitaron m¨¢s de 9.000 procedimientos). Sabotajes en la red, accesos sin autorizaci¨®n, descubrimiento y revelaci¨®n de secretos y falsificaci¨®n de documentos son otros delitos cada vez m¨¢s comunes. I?aki Ortega, director de programas de Deusto Business School, cree que las grandes multinacionales son conscientes de sus puntos d¨¦biles. ¡°Su preocupaci¨®n es buena, demuestra que est¨¢n dispuestas a tomar decisiones¡±. Sectores como el financiero o empresas energ¨¦ticas invierten enormes recursos en su seguridad.En cambio, las pymes, seg¨²n la quincena de expertos consultados, ni est¨¢n preocupadas ni preparadas. Incluso las que utilizan internet para vender sus productos y tienen en sus bases de datos informaci¨®n confidencial de clientes o proveedores.

¡°Si tienes una tienda pones una alarma, una verja, y quiz¨¢ contrates un furg¨®n de seguridad que retire el dinero de la caja. Si te tomas estas molestias, ?por qu¨¦ no haces lo mismo en el mundo digital?¡±, se pregunta Mario Garc¨ªa, director para la pen¨ªnsula de Checkpoint. ¡°La tecnolog¨ªa sobra, pero es necesario invertir en medios f¨ªsicos y humanos, en procedimientos. Conozco a empresas peque?as que se protegen de forma muy efectiva, todo depende de si se lo toman en serio o esperan a tener un problema¡±. Para ¨¦l la cuesti¨®n no es si se va a producir un ataque, porque eso ocurrir¨¢ tarde o temprano, sino c¨®mo reaccionar¨¢ la empresa ante el acoso. Lo mismo piensa Alexandros Triantafyllou, director de fraude e identidad de Experian en Espa?a, que advierte de que ¡°nada en Internet es realmente seguro¡±. Cree que las pymes se han centrado en tomar medidas para identificar a las personas que interact¨²an en sus p¨¢ginas web, pero los procesos de identificaci¨®n no son eficaces. ¡°Si tu cliente es v¨ªctima de ingenier¨ªa social y sus datos acaban en manos de un defraudador, tu empresa no se podr¨¢ defender por mucho que hayas establecido largos procesos de autenticaci¨®n¡±, reflexiona.

El negocio del sector que se dedica a ofrecer soluciones contra la ciberdelincuencia ronda, seg¨²n varios expertos, los 150 millones de euros en Espa?a. Telef¨®nica, Indra, Unitronics, Nextel, Dimension Data, HP o IBM se llevan la parte del le¨®n de este mercado junto a firmas m¨¢s especializadas como Grupo Sia, Cisco, Checkpoint, Fortinet, Paloalto Networks, S21Sec y gigantes de los antivirus, am¨¦n de las big four: Deloitte, PwC, KPMG y EY. Siempre un paso por detr¨¢s de organizaciones criminales, afrontan las mil caras de la ciberdelincuencia: al d¨ªa se identifican 160.000 webs que tienen puntos d¨¦biles de seguridad; m¨¢s de 320.000 direcciones IP registran actividad maliciosa (la mayor¨ªa pertenecientes a botnets, redes de equipos infectados que act¨²an como robots para enviar mensajes de correo electr¨®nico no deseados, propagar virus, atacar equipos y servidores o cometer otros fraudes). Los incidentes m¨¢s habituales, seg¨²n datos del Instituto Espa?ol de Ciberseguridad (Incibe) consisten en accesos no autorizados a informaci¨®n confidencial (un 37% de los casos) y fraudes tipo phishing (suplantaci¨®n de identidad para robar datos o informaci¨®n personal como n¨²meros de tarjetas de cr¨¦dito, contrase?as o datos de cuentas bancarias). La Polic¨ªa registr¨® en 2014 hasta 70.000 ataques en Espa?a.

Pymes de producci¨®n y distribuci¨®n de contenidos de v¨ªdeo, televisi¨®n, m¨²sica, sonido o editoriales son las que m¨¢s incidentes de seguridad presentan en Espa?a detr¨¢s de las grandes tecnol¨®gicas y los bancos, aunque est¨¢n menos protegidas que ¨¦stas seg¨²n el an¨¢lisis del Incibe. En un escal¨®n por debajo se encuentran agencias de viajes, empresas de contenido cient¨ªfico o t¨¦cnico que utilizan nuevas tecnolog¨ªas y que est¨¢n registrando numerosas incidencias de seguridad. Las microempresas del comercio y la hosteler¨ªa, por ¨²ltimo, son las m¨¢s despreocupadas por mantener a salvo informaci¨®n confidencial.

Deloitte tiene en Alcobendas un centro de seguridad en el que trabajan 200 personas los 365 d¨ªas del a?o. Recientemente tuvieron que enfrentarse a un ataque dirigido a una financiera que enviaba remesas de divisas a otros pa¨ªses a trav¨¦s de una treintena de oficinas en Espa?a. Una ma?ana todas las sucursales recibieron un paquete postal personalizado acompa?ado de un programa inform¨¢tico y una carta firmada supuestamente por el director de la compa?¨ªa. Todo parec¨ªa real. El ejecutivo les ped¨ªa amablemente que ejecutasen el dispositivo para actualizar los sistemas. S¨®lo una lo hizo, pero desat¨® un virulento ataque masivo que inmediatamente provoc¨® el desv¨ªo del dinero de cuentas de sus clientes a un banco de Ruman¨ªa. Esa jornada perdieron 300.000 euros.

Fue un ataque planificado, estudiado y dirigido probablemente por un grupo criminal que hab¨ªa estudiado durante meses las debilidades de la empresa. Lo que se conoce en sus siglas inglesas como APT Amenazas Persistentes Avanzadas. ¡°Los que est¨¢n detr¨¢s tienen muy claro lo que quieren y planifican su ataque. Buscan una patente, un desarrollo, una informaci¨®n concreta e intentan entrar por todas partes, a trav¨¦s de spam, por debilidades de la web, por los empleados. Utilizan la ingenier¨ªa social. El mayor problema es cuando esas incursiones no dejan huella¡±, analiza Juan Bautista L¨®pez, de la empresa Tecnocom. Habla de c¨®mo han evolucionado las estrategias para delinquir: ¡°Las pymes suelen ser v¨ªctimas de ataques m¨¢s tradicionales. En el entorno medio no est¨¢ claro que las APT lleguen por el momento a ese nivel. Pero hay que intentar tener una seguridad 360 grados y el punto d¨¦bil aqu¨ª siempre es la persona¡±. La concienciaci¨®n de los empleados es, para el director de ciberseguridad de Prosegur, Isaac Guti¨¦rrez, lo m¨¢s importante. ¡°La persona es el eslab¨®n m¨¢s d¨¦bil. A veces las empresas ni siquiera son conscientes de la fuga de informaci¨®n. M¨¢s all¨¢ de las medidas b¨¢sicas, como antivirus, cortafuegos o copias de seguridad, hay que concienciar de los riesgos de utilizar tel¨¦fonos m¨®viles y otros dispositivos¡±. Los ciberdelincuentes saben que desde un m¨®vil pueden obtener datos cruciales. Su perfil poco tiene que ver con los hackers de anta?o que buscaban notoriedad. ¡°Han evolucionado. Ahora hay una amalgama de perfiles m¨¢s amplia y preocupante¡±, cree el director de ciberseguridad de Indra.

Infectar un ordenador puede tener premio gordo para los ciberdelincuentes. ¡°Descubrir una vulnerabilidad de una gran empresa puede llegar a valer un mill¨®n de euros¡±, asegura Xabier Michelena, consejero delegado de la firma de ciberprotecci¨®n S21Sec. El nivel de riesgos est¨¢ creciendo mucho m¨¢s r¨¢pido que las respuestas para luchar contra ellos. Un fen¨®meno que investigadores del MIT (Instituto Tecnol¨®gico de Massachusetts) bautizaron como ¡°el gran desacople¡± y que el profesor de la universidad de Deusto analiza de este modo: ¡°La tecnolog¨ªa ha generado agujeros de seguridad en una pelea permanente en la que las empresas van por detr¨¢s de los delincuentes. Nadie garantiza la seguridad absoluta. Empezando porque despreciamos las cookies. Todo el mundo las acepta, cuando de alg¨²n modo son un troyano dentro de tu smartphone. Eso que parece tan profano est¨¢ pasando en todos los sectores¡±.

El centro de ciberseguridad de Indra donde trabaja Jorge L¨®pez emplea a 180 personas. La empresa desarrolla su propia I+D, certifica, realiza acreditaciones, monitoriza de forma remota los sistemas de sus clientes y ofrece an¨¢lisis forense cuando el golpe ya se ha producido. ¡°Siempre vamos por detr¨¢s cuando hablamos de ciberseguridad porque somos muy reactivos. Pero la soluci¨®n no est¨¢ solo en la tecnolog¨ªa, implica a personas, pol¨ªticas y procesos en la empresa¡±. Coincide con el responsable de Tecnocom en que el elemento m¨¢s vulnerable es el equipo humano. ¡°Ahora los dispositivos m¨®viles, los smartphones, permiten acceder a los servicios de una empresa, y eso est¨¢ siendo un gran quebradero de cabeza. El mercado de malware para Android ha subido un 600% en el ¨²ltimo a?o¡±.

?D¨®nde van toda esa informaci¨®n? ¡°Se puede llegar a desplazar entre servidores de un pa¨ªs a otro en cuesti¨®n de segundos¡±, explica el responsable de Indra. El material m¨¢s sensible suele terminar a la venta en la Internet profunda, fuera del alcance de cualquier buscador. La tambi¨¦n conocida como deep web es esa parte de la red inaccesible al usuario convencional y que, sin embargo, almacena, seg¨²n algunos c¨¢lculos, el 95% de los recursos que hay en el ciberespacio. Drogas, pedofilia, mutilaciones, venta de ¨®rganos o informaci¨®n para fabricar cualquier tipo de explosivo son contenidos f¨¢ciles de encontrar en esa suerte de tri¨¢ngulo de las Bermudas formado por p¨¢ginas que escapan de los sistemas de indexaci¨®n que utilizan los buscadores convencionales.

¡°Se pagan entre 12 y 80 d¨®lares por los datos de una tarjeta de cr¨¦dito¡±, calcula Carolina Daantje, especialista de ciberriesgos del corredor de seguros Willis. Explica que desde hace un par de a?os las principales compa?¨ªas del sector han comenzado a comercializar en Espa?a seguros espec¨ªficos, conocidos como ciberp¨®lizas, que presentan unas coberturas heterog¨¦neas que abarcan los gastos para la recuperaci¨®n de datos, restauraci¨®n de imagen p¨²blica, desinfecci¨®n, defensa jur¨ªdica, contrataci¨®n de expertos independientes y da?os ante terceros. ¡°Las primas son variables, pueden ir desde los 5.000 hasta los m¨¢s de 500.000 euros. El problema que vemos con las pymes es que no invierten en seguridad, con la crisis han recortado sus gastos y muchas de ellas est¨¢n comercializando sus productos online sin protecci¨®n¡±.

Un buen modo de protecci¨®n empieza por tomar conciencia de los riesgos y ¡°compartir los problemas¡±, seg¨²n el an¨¢lisis de Triantafyllou. ¡°Una gran corporaci¨®n tiene dinero para invertirlo en una tecnolog¨ªa costosa. Una pyme no. Por eso tenemos que profundizar en la cultura de intercambiar inteligencia sobre el fraude y asociarse. Porque hoy no necesitas entrar f¨ªsicamente en un banco para robarlo, y tampoco en una tienda¡±. En eso est¨¢ la Asociaci¨®n Espa?ola para el Fomento de la Seguridad de la Informaci¨®n, que pide a la Administraci¨®n planes espec¨ªficos de concienciaci¨®n entre la poblaci¨®n y medidas m¨¢s all¨¢ de la Estrategia de Ciberseguridad Nacional aprobada en 2013.

El responsable de Checkpoint lo llama ¡°la pena del telediario¡±. ¡°?Cu¨¢l es la mayor condena para un pol¨ªtico? Salir esposado en un informativo. Da igual que despu¨¦s lo absuelvan, esa imagen tiene un gran valor. Con las empresas pasa lo mismo, no quieren verse retratadas como v¨ªctimas de un ciberataque. Pero si todo el mundo tuviese la obligaci¨®n de comunicar estas incidencias, se ver¨ªa de forma normal. E igual que no se pueden fabricar coches sin cinturones de seguridad, no deber¨ªa haber tienda online sin protecci¨®n. Porque esto no ha hecho m¨¢s que comenzar¡±.