Cibercrimen. Ciberguerra. Ciberespionaje. Nadie est¨¢ a salvo en Internet

OSCAR DE LA CUEVA lleg¨® como siempre el primero a trabajar. A las siete de la ma?ana del viernes 21 de abril de 2017, aparc¨® el Mercedes gris a la puerta de su empresa, Pl¨¢sticos de La Mancha, un negocio dedicado al material de riego en Las Pedro?eras, Cuenca. Lo primero que hizo fue encender los cuatro ordenadores. No not¨® nada extra?o. Pero a las ocho de la ma?ana, cuando ya hab¨ªan llegado el resto de empleados y los clientes se arremolinaban pidiendo tuber¨ªas y aspersores, los equipos empezaron a funcionar con lentitud. Decidi¨® llamar al t¨¦cnico: ¡°Vente pac¨¢. Tengo la tienda llena de gente y no puedo hacer un dichoso albar¨¢n¡±. Fue entonces cuando la pantalla se puso en negro y apareci¨® el mensaje que a hoy d¨ªa el empresario manchego todav¨ªa recuerda palabra por palabra: ¡°Su ordenador ha sido secuestrado. No intente ponerse en contacto con nadie¡±. Hab¨ªa sido v¨ªctima de un ramsonware, un tipo de virus que secuestra la informaci¨®n del sistema y pide a su due?o un rescate para devolv¨¦rsela. Cuando se puso en contacto con la empresa que les hac¨ªa copias de seguridad diarias, le anunciaron que todo lo que hab¨ªa en la nube tambi¨¦n hab¨ªa sido encriptado. La polic¨ªa no pudo ayudarle (¡°los malos siempre van tres o cuatro meses por delante de nosotros¡±) y le recomend¨® que no cediese al chantaje. Nadie le aseguraba que fuese a recuperar sus archivos.

¡°Pero decid¨ª pagar porque me dejaban en la ruina¡±, dice hoy De la Cueva, de 47 a?os, sentado tras la mesa de su modesto despacho. En las paredes, p¨®steres de Los Simpson, Madonna y un recuerdo de las casas colgantes de Cuenca. Sobre la mesa, una foto de sus dos hijos, montones de papeles y uno de los ordenadores atacados. El virus secuestr¨® las fichas de 3.500 clientes y 5.500 productos, adem¨¢s de toda la facturaci¨®n. El empresario no sab¨ªa cu¨¢nto costaban sus art¨ªculos ni qui¨¦n le deb¨ªa dinero. Y cada d¨ªa la cifra del rescate sub¨ªa. Tard¨® dos semanas en cambiar los mil euros que pag¨® en bitcoins (la criptomoneda preferida por los cibercriminales porque resulta dif¨ªcil rastrearla). Fueron unos d¨ªas de infierno que De la Cueva pas¨® sin comer ni dormir. Perdi¨® cinco kilos. Diez minutos despu¨¦s de hacer el ¨²ltimo ingreso le devolvieron sus archivos. Lo primero que hizo fue imprimirlo todo. De la Cueva podr¨ªa rebautizar su empresa como Papeles de La Mancha, su oficina est¨¢ cubierta de facturas y albaranes. Ahora solo tiene Internet en un ordenador para mirar el correo. ¡°Recuper¨¦ mi negocio y mi vida y me sal¨ª del dichoso Internet. Es un peligro¡±.

La Red parece seguir siendo una ciudad sin ley a la que ya tiene acceso la mitad de la poblaci¨®n mundial. La ciberseguridad se ha convertido en un quebradero de cabeza para Gobiernos y grandes empresas. Mientras, la mayor¨ªa de pymes y ciudadanos siguen pensando que este problema les toca de lejos. El Gobierno espa?ol considera que las ciberamenazas son junto con el terrorismo yihadista los dos mayores peligros que desaf¨ªan la seguridad del pa¨ªs. Dentro de las ciberamenazas se encuentra el ciberespionaje y el cibercrimen, con casos como el que sufri¨® el empresario ?scar de la Cueva. Pero tambi¨¦n el hacktivismo o el ciberterrorismo. El pasado mes de septiembre, Joaqu¨ªn Castell¨®n Moreno, director operativo del Departamento de Seguridad Nacional, advert¨ªa en el Congreso que cualquier incidente, ya sea un ciberataque o un mal uso de la tecnolog¨ªa, pod¨ªa originar una crisis y afectar a la econom¨ªa, los servicios esenciales, la salud, el agua, la energ¨ªa o el transporte. Castell¨®n explic¨® que cuando se elabor¨® la Estrategia de Seguridad Nacional de 2013 se comprob¨® que, tras a?os de lucha antiterrorista, Espa?a contaba con ¡°excelentes capacidades¡± en ese terreno, pero que en materia de ciberseguridad, como en la mayor¨ªa de pa¨ªses de nuestro entorno, solo se hab¨ªan construido los cimientos.

Hoy d¨ªa el edificio tiene tres pilares fundamentales: el Instituto Nacional de Ciberseguridad (INCIBE), con sede en Le¨®n, que enfoca su labor en ciudadanos, empresas e infraestructuras cr¨ªticas; el Centro Criptol¨®gico Nacional (CCN), dentro del Centro Nacional de Inteligencia, focalizado en la Administraci¨®n p¨²blica, y el Mando Conjunto de Ciberdefensa. Adem¨¢s, la Polic¨ªa Nacional y la Guardia Civil cuentan con unidades centradas en el cibercrimen. Todos estos organismos coinciden en que los incidentes crecen d¨ªa a d¨ªa y aun as¨ª es imposible saber qu¨¦ porcentaje de todo lo que realmente sucede est¨¢ recogido en las estad¨ªsticas oficiales. Existe una cifra negra de hechos que no se denuncian o no se detectan. El INCIBE pas¨® de 18.000 casos en 2014 a m¨¢s de 120.000 en 2017. Alberto Hern¨¢ndez, director del centro, matiza que una parte de ese aumento se debe a que cada vez son capaces de detectar m¨¢s hechos y a que ciudadanos y empresas colaboran m¨¢s. Para Hern¨¢ndez hay un episodio que supuso un antes y un despu¨¦s en esa toma de conciencia: ¡°Nosotros lo llamamos la crisis del Wannacry¡±.

¡°La ciberdelincuencia grave campa a sus anchas¡±, resume un teniente coronel
de la Guardia Civil

El 12 de mayo del a?o pasado, el INCIBE lleg¨® a su nivel de alerta m¨¢s alto hasta la fecha, un 90%. Una cifra que se calcula seg¨²n el n¨²mero de incidentes y su gravedad, y en aquel momento varias infraestructuras cr¨ªticas estaban siendo atacadas. Una de ellas, Telef¨®nica. Una parte de sus empleados tuvo que apagar sus ordenadores y marcharse a casa porque un virulento ramsonware se extend¨ªa por el sistema. Wannacry adquiri¨® escala mundial, 200.000 equipos de 150 pa¨ªses se vieron afectados. Uno de los casos m¨¢s graves fue el del sistema sanitario brit¨¢nico. El virus aprovechaba una vulnerabilidad del sistema Windows para la que ya se hab¨ªa difundido un parche. Entonces, ?por qu¨¦ una empresa como Telef¨®nica no hab¨ªa actualizado sus sistemas? ¡°De nada sirve tener un servicio si no est¨¢ disponible y puede dejar de estarlo si una actualizaci¨®n de seguridad falla¡±, explica Chema Alonso, conocido hacker y chief data officer (jefe de la estrategia de datos) de la compa?¨ªa. Lleva puesto el gorro a rayas azules y marrones, convertido en se?a de identidad. Su despacho en la sede madrile?a de la empresa est¨¢ lleno de cables y papeles. Sobre la mesa, su inseparable port¨¢til cubierto de pegatinas. El hacker aclara que antes de una actualizaci¨®n se hacen test para comprobar que no va a haber problemas. Los ordenadores de la compa?¨ªa que estaban en ese periodo de pruebas fueron los que resultaron infectados.

Los expertos coinciden en que Wannacry fue muy medi¨¢tico, pero bastante chapucero. ¡°Sospechamos incluso que se les escap¨®. Era como si estuviese sin acabar¡±, cuenta Alonso, que analiz¨® con su equipo este malware. La teor¨ªa m¨¢s extendida es que un grupo llamado Shadow Brokers rob¨® el exploit (un fragmento de c¨®digo que permite aprovechar una vulnerabilidad) a la NSA (la Agencia de Seguridad Nacional de EE UU). Y aqu¨ª reside la gravedad de este ataque. ¡°Se hizo de dominio p¨²blico una vulnerabilidad encontrada por un Estado¡±, explica Javier Candau, jefe del departamento de ciberseguridad del CCN. Los autores crearon Wannacry uniendo aquella vulnerabilidad a un ramsonware que secuestraba los archivos de los ordenadores infectados. Hoy d¨ªa, el nombre que m¨¢s se repite como posible autor es el de Corea del Norte. Se cree que el pa¨ªs asi¨¢tico cuenta con un ej¨¦rcito de 6.000 hackers dedicado a robar dinero e informaci¨®n, seg¨²n revel¨® The New York Times. Algunos de los hechos que se les suelen atribuir son el robo de 81 millones de d¨®lares de un banco de Banglad¨¦s el pasado a?o y un ataque a Sony Pictures en 2014 en el que se rob¨® una gran cantidad de informaci¨®n. La productora estaba a punto de estrenar La entrevista, una pel¨ªcula en la que se parodiaba el r¨¦gimen de Kim Jong-un.

¡°La atribuci¨®n es siempre dif¨ªcil porque se hace siguiendo los patrones de comportamiento del atacante o analizando el software, y esto es algo que se puede imitar¡±, explica Joel Brenner, que a lo largo de su carrera ha trabajado como jefe de contrainteligencia de EE UU e inspector general de la NSA. Los cibercriminales saben que pueden llegar a ganar mucho dinero con poco riesgo. Las vulnerabilidades sobran. Una aplicaci¨®n de m¨®vil tiene de media 14, seg¨²n un estudio de la firma de seguridad Trustwave. Y cada d¨ªa hay m¨¢s dispositivos conectados a la Red, lo que se conoce como el Internet de las cosas (IoT, en sus siglas en ingl¨¦s). No existe ninguna regulaci¨®n de la seguridad de estos aparatos y ya se han dado casos que han sacado provecho de ello. En octubre de 2016, un ataque en EE UU contra el proveedor de Internet Dyn interrumpi¨® el funcionamiento de las webs de Twitter, Netflix y Amazon, entre otros. Para ello se utiliz¨® una botnet, un grupo de dispositivos infectados (impresoras, c¨¢maras o monitores de beb¨¦) que saturaron los servidores de Dyn: es lo que se conoce como un ataque de denegaci¨®n de servicio.

¡°En el caso del cibercrimen, muchas veces todas las evidencias est¨¢n fuera de Espa?a y para acceder a ellas hace falta que el pa¨ªs en cuesti¨®n quiera cooperar¡±, cuenta un inspector de la unidad de investigaci¨®n tecnol¨®gica de la Polic¨ªa Nacional. Joel Brenner se?ala que una gran parte de la criminalidad m¨¢s sofisticada procede de Rusia: ¡°Solo podemos detenerlos cuando salen del pa¨ªs. Pero el Gobierno ruso advierte a los cibercriminales de que no vayan de vacaciones a pa¨ªses que tienen acuerdos de extradici¨®n con EE UU¡±. Otro de los aspectos que complican la investigaci¨®n es que una vez que se ha dado con el autor del delito, todav¨ªa queda la tarea de asignarle a la identidad digital del criminal una identidad real para poder llevar a cabo una detenci¨®n. Adem¨¢s, es posible utilizar equipos de terceros para ocultar el rastro o falsear la ubicaci¨®n. En 2016, entre Polic¨ªa Nacional y Guardia Civil se registraron 66.586 hechos y se esclarecieron 20.452. En total, hubo 4.799 detenciones o impu?taciones, en un 84% de espa?oles. El teniente coronel Juan Antonio Rodr¨ªguez ?lvarez recita estos n¨²meros sentado en su despacho del Grupo de Delitos Telem¨¢ticos de la Guardia Civil. Advierte de que las cifras solo ?reflejan el delito com¨²n: ¡°De la ciberdelincuencia grave no existe ning¨²n tipo de registro, campa a sus anchas¡±.

El teniente coronel explica que para obtener grandes beneficios econ¨®micos, estos grupos necesitan millones de v¨ªctimas. ¡°Y es muy f¨¢cil. Puedes enga?ar a todo el planeta desde tu casa¡±, resume. Existen multitud de fraudes, pero el ramsonware es el m¨¢s habitual. M¨¢quinas atacando m¨¢quinas de manera indiscriminada. Es por ello que los ciudadanos y las pymes, que piensan que no tienen nada valioso y prestan menos atenci¨®n a la protecci¨®n de sus equipos, son el blanco m¨¢s f¨¢cil. ?Qui¨¦n va a pagar por mis archivos, por mis fotos? La respuesta es t¨² mismo. ¡°Lo que menos imaginaba es que a m¨ª, una se?ora de a pie, me iban a meter un virus en el ordenador¡±, se lamenta Lourdes Casas, una mujer de 73 a?os de A Coru?a. Su ordenador fue secuestrado hace cuatro a?os. El t¨¦cnico le dijo que era irrecuperable y no se le ocurri¨® denunciar a la polic¨ªa. Le robaron todas las fotos de 15 a?os de viajes con su marido, los libros y las recetas de cocina. ¡°Ten¨ªa toda mi vida metida en el aparatito tonto y lo perd¨ª todo¡±. Cree que ten¨ªa instalado un antivirus, pero quiz¨¢ no estaba actualizado. ¡°Qu¨¦ se yo. Bastante es que s¨¦ usar el ordenador¡±, comenta.

¡°Los que trabajamos en seguridad no se lo hemos puesto f¨¢cil al usuario de a pie. Si accedes a una red privada virtual para proteger tus conexiones y lo primero que te preguntan es si la quieres PPTP o L2TP¡­ Eso no est¨¢ al alcance de cualquiera¡±, reconoce Chema Alonso. Y a?ade que la seguridad deber¨ªa estar incluida por defecto en todos los servicios y ser f¨¢cil de gestionar. Uno de los puntos d¨¦biles son las contrase?as. ¡°Por naturaleza no son seguras. La gente las reutiliza una y otra vez para distintas webs y servicios¡±, expone Stephan ?Micklitz, responsable de privacidad y seguridad de Google Europa. Adem¨¢s, muchas veces las claves no son demasiado elaboradas. La contrase?a m¨¢s utilizada en 2016 fue 123456, seg¨²n un estudio de la consultora Keeper Security. Y aunque se utilicen f¨®rmulas complejas con espacios, letras y s¨ªmbolos, si alguien se introduce en nuestro equipo, podr¨¢ robar la clave cuando la tecleemos. Micklitz recomienda usar siempre que sea posible un segundo factor de autenticaci¨®n; por ejemplo, un mensaje que nos llega al m¨®vil para confirmar un inicio de sesi¨®n que hemos hecho con el ordenador. Los expertos coinciden en que falta cultura digital, una de las recomendaciones m¨¢s repetidas es tener sentido com¨²n. ¡°Muchas veces en Internet la gente se vuelve confiada y comete imprudencias en las que no caer¨ªa en la vida real¡±, explica Javier Berciano, responsable de respuesta a incidentes del INCIBE. Berciano dice tener constancia de equipos infectados en Espa?a con el mismo virus desde 2007. Por eso otro de los consejos m¨¢s repetidos es actualizar los programas e instalar antivirus. As¨ª como informar a la polic¨ªa y el INCIBE de cualquier incidente.

La falta de denuncias es algo que se da tambi¨¦n en los casos de ataques a grandes compa?¨ªas. Aqu¨ª el motivo suele ser el miedo a perder la confianza de los clientes si estos descubren que sus datos se han visto expuestos. ¡°Tenemos conocimiento de casos de empresas que han sufrido una extorsi¨®n de un mill¨®n de euros y han preferido no presentar la denuncia para que no se hiciera p¨²blico¡±, cuenta el teniente coronel de la Guardia Civil Rodr¨ªguez ?lvarez. Este problema se resolver¨¢ en gran medida el a?o que viene cuando se empiece a aplicar la Directiva de Seguridad de las Redes y Sistemas de Informaci¨®n de la Uni¨®n Europea (conocida como directiva NIS), que obligar¨¢ a las compa?¨ªas que proveen servicios digitales o esenciales a notificar los ataques m¨¢s graves y a poner medidas para evitarlos. ¡°En las grandes empresas, los problemas de seguridad vienen derivados de su complejidad, no de su falta de inversi¨®n. Luego existe en Espa?a un tejido industrial mediano, con todas aquellas que no son las del Ibex 35 ni tampoco son pymes; ah¨ª s¨ª que hay una disparidad bestial¡±, describe Mario Garc¨ªa, director general para Espa?a y Portugal de la empresa de ciberseguridad Check Point. Wannacry tambi¨¦n desempe?¨® aqu¨ª un papel concienciador. Seg¨²n Garc¨ªa, a ra¨ªz del ataque, muchos directores generales se interesaron por la situaci¨®n de la ciberseguridad de sus firmas y se crearon canales de comunicaci¨®n entre distintas empresas para compartir informaci¨®n. ¡°Esto es algo que el sector financiero lleva haciendo tiempo¡±, explica el responsable de Check Point. ¡°Conocen el fraude en todas sus versiones, tambi¨¦n en temas cibern¨¦ticos. Es uno de los sectores m¨¢s avanzados en ciberseguridad de Espa?a¡±.

Una de las mayores amenazas a las que se enfrentan las empresas es el robo de propiedad intelectual. Y es precisamente el ciberespionaje lo que m¨¢s preocupa al Gobierno espa?ol porque detr¨¢s de ¨¦l suele haber Estados. Fuentes de inteligencia cuentan que todos los pa¨ªses esp¨ªan, pero que hay casos m¨¢s graves como los de China y Rusia. China se dedica a robar informaci¨®n industrial. Rusia, en cambio, busca una ventaja pol¨ªtica. EE UU y Francia han denunciado los intentos del pa¨ªs gobernado por Vlad¨ªmir Putin de interferir en sus elecciones. Los holandeses decidieron contar los votos de sus ¨²ltimos comicios a mano por temor a una manipulaci¨®n. Y el Gobierno espa?ol afirma que Rusia est¨¢ detr¨¢s de una campa?a de desinformaci¨®n en redes sociales sobre el conflicto separatista catal¨¢n. El expresidente de Estonia Toomas Hendrik Ilves afirm¨® en una entrevista para EL PA?S que el objetivo de Rusia es debilitar Europa. Hendrik convirti¨® a su pa¨ªs durante los a?os que estuvo en el poder en el m¨¢s digitalizado del continente. En 2007 sufrieron un potente ciberataque ruso contra organismos p¨²blicos y entidades privadas como bancos. Tras aquel episodio, el peque?o pa¨ªs b¨¢ltico trabaj¨® en sus defensas y hoy es uno de los m¨¢s ciberseguros del mundo.

El ciberespionaje es la mayor preocupaci¨®n del Gobierno espa?ol. Detr¨¢s de ¨¦l suele haber otros Estados?

¡°En el ciberespacio no hay paz. Es un dominio donde la actividad es incesante¡±, explica Carlos G¨®mez, comandante jefe del Mando Conjunto de Ciberdefensa. A?ade que cualquier conflicto tiene su traducci¨®n en este nuevo terreno que la OTAN reconoce como ¨¢mbito operativo desde 2016. Es lo que se conoce como guerra h¨ªbrida. Un buen ejemplo de esto es el caso de Ucrania, que lleva a?os recibiendo ciberataques de supuesto origen ruso. Semanas despu¨¦s del Wannacry se propag¨® un virus que utilizaba la misma vulnerabilidad, pero que los expertos se?alan que era mucho m¨¢s sofisticado. En un primer momento se pens¨® que era un ramsonware, pero despu¨¦s se comprob¨® que destru¨ªa los archivos de los equipos que infectaba. Lleg¨® a varios pa¨ªses, pero el m¨¢s afectado fue Ucrania. Otro ejemplo: en 2014, el virus BlackEnergy dejo 80.000 hogares ucranios sin luz durante seis horas en pleno invierno. ¡°Es probable que quien est¨¦ detr¨¢s de un ataque contra infraestructuras cr¨ªticas sea un Estado. Son los que pueden acceder al conocimiento t¨¦cnico, los recursos y la motivaci¨®n¡±, explica Rub¨¦n Santamarta, un hacker leon¨¦s que trabaja para IOActive y que ha encontrado vulnerabilidades en sensores de centrales nucleares o sistemas de aviaci¨®n. En este terreno, el caso que sigue resultando m¨¢s sorprendente es Stuxnet: una ciberarma atribuida a Estados Unidos e Israel que se introdujo mediante un pendrive en Ir¨¢n y consigui¨® sabotear gran parte de las centrifugadoras de uranio del pa¨ªs.

Los Gobiernos buscan recetas para poner a salvo su ciber?espacio. El pasado mes de octubre se celebr¨® el foro de ciberseguridad CYBERSEC en Cracovia (Polonia), al que acudieron decenas de expertos de todo el mundo. Una de las ideas m¨¢s repetidas fue la importancia de la cooperaci¨®n internacional. Otra, la necesidad de fomentar la colaboraci¨®n p¨²blico-privada. En Espa?a, m¨¢s del 80% de los servicios esenciales est¨¢n en manos del sector privado. Un ejemplo de lo fruct¨ªfera que puede llegar a ser esta relaci¨®n es el caso de Beersheba. Una ciudad nacida en el desierto israel¨ª en torno a la ciberseguridad en la que la universidad, 40 empresas de todo el mundo y el Gobierno trabajan estrechamente. Roni Zehavi, CEO de CyberSpark, una de las compa?¨ªas que investigan en este campus, cuenta que, por ejemplo, existe un hospital universitario en el que estudian c¨®mo se puede asegurar un sistema sanitario. ¡°En Israel tenemos 430 compa?¨ªas de ciberseguridad que generan al a?o 6.000 millones de d¨®lares [5.175 millones de euros]. Eso es bastante para un pa¨ªs de siete millones y medio de habitantes¡±, resume Zehavi con orgullo en Cracovia. Aunque en Espa?a las cifras de esta industria son m¨¢s modestas (existen unas 500 compa?¨ªas que generan 600 millones de euros al a?o), en la ¨²ltima clasificaci¨®n de seguridad de la Uni¨®n Internacional de Telecomunicaciones ocupamos el puesto 19? a nivel mundial y el s¨¦ptimo dentro de la Uni¨®n Europea. La falta de capital humano es uno de los principales retos. La Comisi¨®n Europea calcula que en el sector tecnol¨®gico falta personal para cubrir 825.000 empleos hasta 2020. Rub¨¦n Santamarta destaca que, pese a este d¨¦ficit, en Espa?a hay muy buenos profesionales reconocidos internacionalmente, y a?ade: ¡°La tecnolog¨ªa est¨¢ avanzando y la seguridad inform¨¢tica tiene que avanzar con ella. Esto es una carrera a largo plazo, un marat¨®n, y hay que ir guardando fuerzas para lo que est¨¢ por venir¡±.