Brian Grayek, experto en ciberseguridad: ¡°Las empresas juegan a la ruleta rusa cada d¨ªa apostando a que no van a ser atacadas¡±

A Todd Davis, el CEO de LifeLock, le robaron la identidad al menos 13 veces despu¨¦s de que publicara su n¨²mero de la seguridad social en varias vallas publicitarias en 2010. Su objetivo era demostrar lo segura que era su compa?¨ªa, que promet¨ªa precisamente proteger a los usuarios de los robos de identidad. Este es el ejemplo que utiliza Brian Grayek, un experto en ciberseguridad con m¨¢s de 40 a?os de experiencia, para explicar por qu¨¦ nunca facilita su edad y lugar de nacimiento ¡ªtampoco en las entrevistas¡ª.

¡°Con solo ...

A Todd Davis, el CEO de LifeLock, le robaron la identidad al menos 13 veces despu¨¦s de que publicara su n¨²mero de la seguridad social en varias vallas publicitarias en 2010. Su objetivo era demostrar lo segura que era su compa?¨ªa, que promet¨ªa precisamente proteger a los usuarios de los robos de identidad. Este es el ejemplo que utiliza Brian Grayek, un experto en ciberseguridad con m¨¢s de 40 a?os de experiencia, para explicar por qu¨¦ nunca facilita su edad y lugar de nacimiento ¡ªtampoco en las entrevistas¡ª.

¡°Con solo cuatro datos sobre m¨ª, pueden hacerse pasar por m¨ª¡±, asegura Grayek, que es director de informaci¨®n y ciberseguridad de la compa?¨ªa REDW y ha sido parte de equipos de investigaci¨®n de incidentes de seguridad que han involucrado al FBI y al Servicio Secreto de Estados Unidos. Se refiere a su nombre, fecha y lugar de nacimiento y lugar de residencia. Acto seguido, se saca la cartera del bolsillo y coge su tarjeta de cr¨¦dito: ¡°Si alguien me la roba, solo podr¨ªa usarla un par de veces porque llamar¨ªa a mi banco para que la cancele. Pero no puedo cambiar mi licencia de conducir o mi n¨²mero de la seguridad social¡±. Con esta y otra informaci¨®n personal, ¡°pueden hacerse pasar por m¨ª y solicitar una tarjeta de cr¨¦dito o un pr¨¦stamo bancario¡±.

El n¨²mero de ciberataques no para de crecer, como destaca Grayek en una entrevista realizada en el CyberFit Summit 2022, un evento organizado en Miami al que EL PA?S fue invitado por la empresa de ciberseguridad Acronis. ¡°?Cu¨¢ntas puertas ves aqu¨ª?¡±, pregunta mientras se?ala a un pasillo con unas 20 puertas. ¡°Imagina que algunas van a Espa?a y otras a Estados Unidos, Brasil o Francia. A los hackers eso no les importa, da igual d¨®nde est¨¦s porque lo que buscan es s¨®lamente una puerta abierta¡±, comenta. Con la pandemia de COVID-19 y el auge del teletrabajo, ¡°hay m¨¢s puertas abiertas que nunca¡±: ¡°No s¨¦ si la gente est¨¢ usando m¨¢s la tecnolog¨ªa, si nos estamos volviendo m¨¢s ciegos a c¨®mo las cosas pueden suceder o si est¨¢n consiguiendo formas m¨¢s avanzadas de conseguir nuestra informaci¨®n¡±.

Un ataque de ¡®ransomware¡¯ cada 11 segundos

El ransomware es la principal amenaza a la que se enfrentan las organizaciones, seg¨²n la empresa de ciberseguridad Acronis. Se trata de un programa inform¨¢tico maligno que bloquea el acceso a los archivos alojados en un servidor hasta que se realiza un pago como rescate. Los ciberdelincuentes utilizan este tipo de ataque para extorsionar a empresas, gobiernos y organizaciones. ¡°Es el peor problema que tenemos hoy en d¨ªa¡±, se?ala Grayek, que adem¨¢s ha sido orador en muchos eventos de seguridad en todo el mundo, incluido en la Casa Blanca.

Cada 11 segundos se produce un ataque de este tipo, como indica Acronis. En mayo de 2021, uno de los mayores oleoductos de Estados Unidos suspendi¨® sus operaciones tras sufrir uno. En Espa?a, han sido v¨ªctimas el Consejo Superior de Investigaciones Cient¨ªficas (CSIC), el Hospital Mois¨¨s Brogg, de Barcelona, o la Asociaci¨®n Navarra de Inform¨¢tica Municipal, una empresa p¨²blica que gestiona los servicios online de 179 entidades de la Comunidad foral. ?En alguno de estos casos es aconsejable pagar a los ciberatacantes? ¡°Es complicado¡±, responde Grayek. El experto sostiene que depende de d¨®nde se est¨¦ y de si se tiene una copia de seguridad de los archivos. En Estados Unidos, ¡°si pago a los hackers y est¨¢n conectados a una organizaci¨®n terrorista, mi empresa puede ser demandada y llevada a la c¨¢rcel¡±.

Los riesgos de pagar un rescate

¡°He trabajado con el FBI en varias ocasiones y siempre dicen que lo mejor es consultarles a ellos antes de hacer nada, ya que tienen una lista de los piratas inform¨¢ticos y saben en cu¨¢les se puede confiar¡±, comenta. Cuando las empresas deciden pagar por el rescate de los archivos, a veces sus planes no salen como esperaban. Casi el 40% de las v¨ªctimas que pagan un rescate no recuperan nunca sus datos y el 73% vuelven a ser atacadas m¨¢s adelante, seg¨²n Acronis.

Este tipo de situaciones podr¨ªan evitarse si se tiene una copia de seguridad. ¡°Las empresas saben que la forma principal de ser heridas es el ransomware, pero ?cu¨¢ntas est¨¢n respaldando sus cosas correctamente? Muy pocas¡±, asegura el experto. Lo compara con ¡°jugar a la ruleta rusa apostando que no van a ser heridas¡±: ¡°?Apuntar¨ªas con una pistola a tu cabeza sin saber si tiene una bala dentro? Eso es lo que las empresas est¨¢n haciendo todos los d¨ªas¡±.

Si bien el ransomware es la mayor amenaza para las empresas, hay otros ataques que podr¨ªan tener consecuencias devastadoras. ¡°?Qu¨¦ tienen en com¨²n todos nuestros m¨®viles con los ordenadores? Las bater¨ªas de litio, que si se calientan mucho, pueden explotar¡±, afirma Grayek. De hecho, asegura haber presenciado demostraciones de que es posible hacerlo mediante un ciberataque, por lo que ¡°va a suceder tarde o temprano¡±. ¡°Si consiguen hacer arder un ordenador por la noche, cuando nadie est¨¢ trabajando, podr¨ªan quemar todo un edificio. Es decir, ya no solo van a hackear el ordenador y conseguir la informaci¨®n, sino que pueden volar la empresa despu¨¦s¡±, concluye.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.