C¨®digo rojo, nos han hackeado: as¨ª son los ciberataques empresariales

El d¨ªa que cay¨® Sony, sus empleados todav¨ªa no lo sab¨ªan. La multinacional del entretenimiento hab¨ªa sufrido uno de los peores ciberataques de la historia ¡ªperpetrado por un misterioso grupo llamado Guardianes de la Paz, af¨ªn al Gobierno norcoreano¡ª, pero no fue hasta finales de noviembre de 2014 cuando los trabajadores, al llegar a la oficina, se dieron cuenta de ello: los sistemas estaban bloqueados, en las pantallas aparec¨ªa un terror¨ªfico mensaje de alerta y los atacantes, despu¨¦s de haber robado toda la informaci¨®n que quisieron sin ser descubiertos, hicieron p¨²blicas sus demandas: entre ellas, que se retirase la pel¨ªcula The Interview, una comedia sobre dos americanos que tienen la misi¨®n de asesinar a Kim Jong-un. El origen y el momento en el que empez¨® el ciberataque son todav¨ªa objeto de controversia, pero lo que qued¨®, tras la grave crisis diplom¨¢tica y de seguridad que prosigui¨® a las demandas de los atacantes, fue una lecci¨®n importante para el mundo corporativo: no solo las grandes empresas tienen que invertir en ciberseguridad, sino tambi¨¦n las peque?as y medianas, puesto que las amenazas pueden venir de todos lados, desde algo tan ines?perado como una pizzer¨ªa. En el caso de Sony, una de las sospechas es que el programa malicioso se instal¨® en los dispositivos de los empleados a trav¨¦s de la red de un restaurante cercano donde iban a comer.

El crimen cibern¨¦tico no es un fen¨®meno nuevo. De hecho, en el primer caso considerado como tal no tuvieron nada que ver ni ordenadores ni cables ni chips, pero s¨ª datos: en 1834, dos banqueros corruptos sobornaron a un operador del sistema telegr¨¢fico franc¨¦s, que por entonces funcionaba con unas torres con brazos m¨®viles de madera que transmit¨ªan mensajes visuales, para que introdujese errores en la comunicaci¨®n de datos financieros, mientras ellos, con la informaci¨®n correcta, ganaban dinero. Tiempo despu¨¦s, en 1962, tuvo lugar el primer ciberataque a un ordenador del Massachu?setts Institute of Technology (MIT) que funcionaba con tarjetas perforadas, y que ya ped¨ªa una contrase?a para dosificar el tiempo de uso. Uno de los estudiantes se las ingeni¨® para piratearlo, hacerse con todas las contrase?as y poder usar el ordenador tanto como quisiera. A partir de los setenta, con las primer¨ªsimas versiones de internet, aparecieron los primeros virus, los programas troyanos (para sacar informaci¨®n de un sistema) y los gusanos inform¨¢ticos (para replicarse en otros equipos), y tambi¨¦n los primeros ataques de guerra cibern¨¦tica: la explosi¨®n en 1982 de un gasoducto siberiano se debi¨® a programas inform¨¢ticos defectuosos introducidos por la agencia de inteligencia estadounidense (CIA).

Flancos d¨¦biles

Pero ha sido en la ¨²ltima d¨¦cada cuando la ciberdelincuencia se ha convertido en una amenaza cada vez m¨¢s extendida y apremiante. El problema ha adquirido una gran magnitud por la cantidad de personas que son vulnerables a estos ataques: desde el empresario al que le atacan el sistema y le piden un rescate hasta las administraciones, universidades u hospitales que son hackeados, pasando por todos los usuarios cuyos datos personales son el bot¨ªn robado por los ciberdelincuentes. La alta penetraci¨®n de tel¨¦fonos inteligentes entre la poblaci¨®n, la digitalizaci¨®n de procesos, actividades y empresas, y el auge del trabajo en remoto acelerado por la pandemia son factores de progreso para la sociedad, pero a la vez forman un gran mapa agujereado por el que los atacantes pueden entrar. Sin ir m¨¢s lejos, esta semana un hacker prorruso denominado NoName057 bloqueo durante horas las p¨¢ginas webs de varios bancos espa?oles

El auge del cibercrimen se da, adem¨¢s, en un contexto geopol¨ªtico en el que, en paralelo a guerras como la de Ucrania, se libran de forma soterrada guerras virtuales, y a menudo lo que parece solo un crimen con motivo econ¨®mico tiene detr¨¢s tambi¨¦n una filiaci¨®n ideol¨®gica. Los gobiernos ya consideran el espacio cibern¨¦tico como el quinto dominio militar (que se suma a los de tierra, mar, aire y espacio), y los ataques coordinados en la guerra de Ucrania lo demuestran: seg¨²n un estudio de Microsoft, entre junio de 2020 y junio del a?o siguiente las infraestructuras de Ucrania, sus empresas y las cadenas de suministro recibieron el 20% de los ataques cibern¨¦ticos perpetrados por agentes vincu?lados a Estados en el mundo. Las compa?¨ªas, pues, tambi¨¦n est¨¢n expuestas a sufrir ataques por las conexiones directas o indirectas que tienen con objetivos militares.

La magnitud del problema se agrava tambi¨¦n por la parte econ¨®mica. Un informe de la empresa especializada en ciberseguridad Secure IT apunta que el valor global del dinero movido por la ciberdelincuencia alcanza ya el 1,5% del PIB mundial, m¨¢s que las cifras del tr¨¢fico de armas, drogas y trata de personas combinados. En Estados Unidos, seg¨²n un estudio de IBM, el coste medio de las filtraciones va en aumento y en 2021 fue de 4,24 millones de d¨®lares, un 12% m¨¢s que en 2015. El da?o reputacional tambi¨¦n es un factor a tener en cuenta. Estudios acad¨¦micos apuntan que firmas que est¨¢n en el 25% m¨¢s elevado en t¨¦rminos de reputaci¨®n pasan a estar por debajo de la media dos a?os despu¨¦s del ataque. ¡°No te juzgar¨¢n por ser atacado, pero s¨ª por c¨®mo respondes al ataque¡±, advert¨ªa a Bloomberg el directivo de una empresa atacada.

El auge de la delincuencia cibern¨¦tica lleva, pues, a la pregunta de c¨®mo pueden las empresas prepararse ante posibles ataques y, sobre todo, si son conscientes de cu¨¢nto les va a costar. Un estudio reciente que elabor¨® Citi para analizar el aumento de la demanda de profesionales de la ciberseguridad explica c¨®mo es cada vez m¨¢s dif¨ªcil contratar a personal de este ¨¢mbito y c¨®mo han incrementado los costes en equipamiento, programas y personal. Apunta dos causas sobre este auge: por un lado, el impacto de la geopol¨ªtica en la emergencia de las guerras cibern¨¦ticas y, por otro, la conciencia cada vez mayor de los usuarios de que los datos que prestan a las empresas tienen que estar bien asegurados. No es para menos: el 75% de las filtraciones de datos tiene que ver con el cibercrimen, y de media las empresas tardan 287 d¨ªas en descubrir que han sido atacadas, as¨ª que en este tiempo los datos son objeto de actividades ilegales sin que los propietarios lo sepan.

Para prepararse, primero hace falta ponerse en la piel del ciberdelincuente. ¡°Hay que entender qui¨¦n es el atacante y qu¨¦ motivaci¨®n tiene: si es econ¨®mica para lograr un rescate, si lo hace por activismo o si tiene que ver con la guerra. En el primer caso, lo m¨¢s rentable es atacar a los sectores que con mayor probabilidad pagar¨¢n el rescate, como el sanitario, la Administraci¨®n p¨²blica o la industria. Y lo m¨¢s habitual es que accedan a ellos mediante sus proveedores, m¨¢s peque?os y con menos medidas de seguridad¡±, explica Francisco Valencia, director general de Secure IT. El informe de Citi indica que el sector sanitario es donde m¨¢s han crecido los ciberataques, con mucha diferencia, y pese a ello es uno de los sectores m¨¢s desatendidos en inversi¨®n en ciberseguridad. El ataque en el Hospital Cl¨ªnic de Barcelona del pasado mes de marzo, que oblig¨® a anular visitas y que todav¨ªa colea con filtraciones y peticiones de rescate, es un ejemplo.

La forma en la que se lanzan los ataques var¨ªa mucho, pero su sencillez conceptual asusta. ¡°Una de las maneras es atacando la contrase?a, y hay dos formas de hacerlo: por fuerza bruta, probando las contrase?as m¨¢s usadas por la ciudadan¨ªa como fechas de cumplea?os u otras, o creando diccionarios espec¨ªficos: los atacantes rastrean las redes sociales de las personas y prueban con nombres y conceptos que tienen relaci¨®n con la v¨ªctima¡±, explica Valencia. Hay una tercera manera, la m¨¢s utilizada: ¡°La gente suele poner la misma contrase?a en el trabajo que en redes y sitios web que no est¨¢n tan asegurados. Es tan f¨¢cil como atacar a estos sitios y ya tienes acceso a la empresa. Estas bases de datos de contrase?as de sitios no seguros se cuelgan de forma ilegal en la dark web y ah¨ª se compran y se venden¡±.

Es precisamente en la dark web, el internet al margen de la ley donde hay un buscador parecido a Google, donde se pueden comprar o alquilar tambi¨¦n listas de correos electr¨®nicos y usarlas para cazar v¨ªctimas con la t¨¦cnica del phishing, el env¨ªo masivo de correos en los que, si uno hace clic, da entrada a un virus o a un programa malicioso. ¡°Esto es lo m¨¢s usual, aunque tambi¨¦n crean p¨¢ginas web falsas, por ejemplo de agencias de viajes, en las que se pide identificarse y crear una contrase?a: lo m¨¢s probable es que esta contrase?a sea la misma que en el trabajo y de ah¨ª sacan el acceso¡±, explica Valencia.

Retrato robot

Los atacantes suelen ser j¨®venes, muchas veces menores, que desde cualquier punta del mundo trabajan para los grupos de cibercrimen. ¡°Estos grupos generan virus ¡ªahora en parte lo hacen con inteligencia artificial¡ª como LockBit, desarrollado por un grupo ruso. El esfuerzo del atacante es m¨ªnimo: alquila el virus, contrata una lista de correos, manda el spam y espera a que alguien pique¡±, abunda el director general de Secure IT. En verano hay m¨¢s ataques, porque los hackers se aprovechan de que los inform¨¢ticos se van de vacaciones. Ante este panorama, ?est¨¢n preparadas las empresas en Espa?a? ¡°Aplican medidas de seguridad seg¨²n su tama?o, porque tiene que ver con el presupuesto y el personal. En las peque?as y medianas muchas veces no tienen recursos para hacerlo, pero, adem¨¢s, no conocen c¨®mo funciona: confunden la ciberseguridad con el personal de inform¨¢tica, y son dos cosas distintas¡±, explica Valencia. La ciberseguridad, detalla, suele tener un coste equivalente al 10% de lo que cuesta la inversi¨®n en inform¨¢tica.

Invertir en ciberseguridad consiste en una parte t¨¦cnica ¡ªir m¨¢s all¨¢ de medidas de seguridad b¨¢sicas como el antivirus, un sistema de correo cerrado o la autenticaci¨®n en dos pasos¡ª, pero sobre todo en labores de prevenci¨®n: organizar bien los datos, tener protocolos sobre los proveedores y la informaci¨®n que se comparte con ellos, formar a los empleados o establecer protocolos sobre contrataci¨®n y despido de personal. ¡°Sorprende ver grandes compa?¨ªas, administraciones p¨²blicas y hospitales que no tienen ni las medidas de seguridad b¨¢sicas, y esto tiene que ver con la falta de conciencia de la alta direcci¨®n, que cree que es un problema de los inform¨¢ticos. Estamos en seguridad cibern¨¦tica como est¨¢bamos hace 25 a?os en seguridad laboral¡±, concluye Valencia.

Caer en la trampa

En Espa?a, el Instituto Nacional de Ciberseguridad (Incibe) gestion¨® el a?o pasado 118.820 incidentes, un 8,8% m¨¢s que el a?o anterior, tanto a particulares y empresas como a operadores esenciales o a la red acad¨¦mica. M¨¢s de 57.000 ataques fueron a empresas y, de estos, 9 de cada 10 estaban relacionados con sistemas vulnerables. Incibe tiene un canal abierto con recursos para empresas tanto en prevenci¨®n como en reacci¨®n y una herramienta donde las compa?¨ªas pueden autodiagnosticar su situaci¨®n de vulnerabilidad. La mayor¨ªa de las llamadas, explica la instituci¨®n, tienen que ver con casos de phishing y smishing (env¨ªo de un mensaje SMS simulando una entidad leg¨ªtima) o sobre suplantaci¨®n de identidad. La l¨ªnea de ayuda es an¨®nima, por el recelo de las empresas a contar que han sido atacadas. Bajo ese anonimato, un peque?o empresario que provee de servicios a empresas industriales cuenta su experiencia: ¡°Es muy frustrante y, una vez que te ocurre, temes perder a tus clientes¡±. En su caso, el ataque lleg¨® por el m¨¦todo del phishing, y aunque lograron solucionarlo relativamente r¨¢pido, el afectado admite que la empresa no estaba preparada: ¡°Ten¨ªamos algunas medidas, pero result¨® que no bastaba con esto. Lo que falt¨® tambi¨¦n fue que los empleados estuviesen formados para evitar caer en la trampa¡±.

¡°La ciberseguridad es y seguir¨¢ siendo una asignatura pendiente para las pymes porque la ciberdelincuencia avanza con m¨¦todos y t¨¦cnicas cada vez m¨¢s sofisticados. La clave para enfrentarse a ello pasa porque tanto direcci¨®n como empleados est¨¦n concienciados¡±, afirma Mar¨ªa Eugenia L¨®pez, responsable de ciberseguridad para empresas en Incibe. ¡°Por desgracia¡±, a?ade, ¡°hay compa?¨ªas que no se percatan de ello hasta que no se ven afectadas por un incidente de ciberseguridad. Sin embargo, invertir en soluciones es m¨¢s rentable que paliar las consecuencias que puede conllevar un incidente¡±.

En Espa?a, el 95% del tejido empresarial est¨¢ formado por pymes y su nivel de seguridad depende mucho de cu¨¢nto hayan avanzado en el proceso de digitalizaci¨®n. ¡°Es un desaf¨ªo global y es relativamente nuevo, as¨ª que siempre vas un pasito m¨¢s lento que la amenaza¡±, reconoce Francisco Vidal, director de econom¨ªa de Cepyme, que recuerda que hay una parte importante de las empresas que todav¨ªa funciona de forma completamente anal¨®gica. En Espa?a hay 1,1 millones de empresas con menos de 10 trabajadores. La encuesta del INE sobre el uso de las tecnolog¨ªas de la informaci¨®n y telecomunicaciones indica que un 24% de estas compa?¨ªas no trabaja con ordenadores. En las que tienen m¨¢s de 10 trabajadores, dos tercios de los empleados usan ordenadores con fines empresariales, y las empresas que tienen conexi¨®n a internet o una p¨¢gina web son el 78,5%. ¡°Si no tienen ordenador, ?c¨®mo les va a preocupar la ciberseguridad? En ocasiones hay un m¨ªnimo de presencia digital, por ejemplo el uso del m¨®vil como un ordenador, del WhatsApp para mandar facturas¡­ Son empresas que est¨¢n a medio camino¡±, apunta Vidal.

El directivo de Cepyme admite que ¡°cuanto m¨¢s peque?a es la empresa, menor es la demanda de ciberseguridad¡±, lo que explicar¨ªa las peticiones residuales de ayudas relacionadas con la ciberseguridad en el kit digital (una iniciativa del Gobierno, cuyo objetivo es subvencionar la implantaci¨®n de soluciones para conseguir un avance significativo en el nivel de madurez digital) entre las empresas peque?as ¡ªen cambio, en las empresas de entre 10 y 49 trabajadores, el 12% de las ayudas del kit digital demandadas ten¨ªan que ver con la ciberseguridad¡ª. ¡°Cuando te aumenta la demanda, empiezas a tener varias sucursales conectadas, una p¨¢gina de comercio electr¨®nico y un portal para clientes, crece la necesidad de invertir en ciberseguridad¡±, explica.

Una encuesta de Google a pymes de m¨¢s de tres trabajadores da algunos datos ilustrativos: 3 de cada 10 responsables de inform¨¢tica confiesan no conocer el concepto de ciberseguridad, y en dos tercios de los casos la empresa se encarga internamente de este tema, siendo la mayor¨ªa de las veces el propio responsable de la gesti¨®n quien asume estas funciones. Poco m¨¢s de la mitad de las empresas encuestadas cambia su contrase?a cada tres meses o menos, y un tercio de las pymes no tiene implementado el protocolo b¨¢sico de seguridad https en sus p¨¢ginas web. ¡°Las pymes creen que no van a ser objeto de un ataque, no creen que tengan nada interesante que se pueda robar, y de hecho solo un 17% declaran haber sufrido un ciberataque, aunque lo m¨¢s probable es que ni se den cuenta¡±, concluye Vidal.

Protecci¨®n de datos y prevenci¨®n

Uno de los primeros pasos para la prevenci¨®n es entender la ley y cumplirla. La normativa de protecci¨®n de datos es la m¨¢s b¨¢sica y cumplir con ella permite poner un primer coto a los ciberataques. Pero hay distintas estrategias, como indica un reciente informe del banco estadounidense Citi: en Europa, Espa?a era en 2018 la que puso m¨¢s multas (471), pero la suma total fue una de las m¨¢s bajas, con 56 millones de euros. Francia, en cambio, puso solo 28 multas y con ellas recaud¨® 271 millones. Varios estudios indican que la estrategia de grandes multas ejerce m¨¢s presi¨®n a las compa?¨ªas para que cumplan las normas, aunque la estrategia de sanciones m¨¢s peque?as aunque m¨¢s numerosas consigue homogeneizar un nivel de seguridad en empresas de diferentes tipos y tama?os.

Los despachos de abogados se han ido adaptando a la demanda creciente de asesoramiento. Leticia L¨®pez-Lapuente es directora del ¨¢rea de protecci¨®n de datos y ciberseguridad en el despacho Ur¨ªa Men¨¦ndez: ¡°Llevamos m¨¢s de una d¨¦cada ayudando a empresas en la prevenci¨®n y la reacci¨®n a ciberataques, pero de forma m¨¢s recurrente desde hace cinco. Nuestros clientes son de distintos tama?os y sectores, y encontramos variedad de casos: empresas que sufren ataques de ransomware (secuestro de datos), de incidentes que vienen a trav¨¦s de proveedores, errores humanos¡­¡±. Esta experta se?ala que en el plano de la prevenci¨®n asesoran a las compa?¨ªas para tener protocolos de cumplimiento normativo claros: ¡°Por ejemplo, pol¨ªticas claras de uso de los dispositivos, el establecimiento de restricciones, pol¨ªticas de gesti¨®n de brechas, y tambi¨¦n elaboramos materiales formativos¡±. Una vez que ya se ha sufrido el ataque, el ¨¢ngulo jur¨ªdico es uno de los m¨¢s importantes. La filtraci¨®n puede implicar que la empresa est¨¦ incumpliendo contratos o da?ando a clientes, y esto deriva en reclamaciones. ¡°Otra de las funciones que se nos encarga habitualmente en caso de ciberincidentes es la gesti¨®n con los seguros de ciberresponsabilidad, cada vez m¨¢s habituales en las empresas y que ayudan a mitigar algunos riesgos¡±, apunta L¨®pez-Lapuente. Seg¨²n una encuesta de Google, solo un 12% de las pymes espa?olas tiene una p¨®liza contratada. La especialista de Ur¨ªa Men¨¦ndez cree que las empresas est¨¢n cada vez m¨¢s concienciadas y se van reforzando los equipos, aunque tambi¨¦n falta dar un paso m¨¢s en regulaci¨®n. La directiva europea NIS2, aprobada hace pocos meses, ser¨¢ de obligado cumplimiento por parte de los organismos gubernamentales, servicios esenciales y por parte de empresas de m¨¢s de 250 empleados y facturaci¨®n superior a 50 millones de euros. Le falta, pues, transversalidad en el tejido empresarial, ¡°seguramente para no cargar m¨¢s a las empresas peque?as¡±, apunta la abogada.

Sigue toda la informaci¨®n de Econom¨ªa y Negocios en Facebook y Twitter, o en nuestra newsletter semanal