Los ciberataques alcanzan su m¨¢ximo hist¨®rico: ¡°No hay nadie a salvo¡±

¡°Estamos bajo un ataque global. Esto se sale de los patrones. Siento ser catastrofista, pero creo que es as¨ª. No es casualidad¡±. Es la explicaci¨®n que encuentra Rafael L¨®pez, de la empresa de ciberseguridad israel¨ª Perception Point, a la sucesi¨®n de ciberataques de los ¨²ltimos 15 d¨ªas. Cada segundo, billones de datos y miles de sistemas inform¨¢ticos caen en manos de mafias organizadas para robar cuentas y exigir dinero a cambio de devolver el control sobre las identidades de los clientes y la infraestructura que sostiene la actividad de una entidad. El cibercrimen ha alcanzado su m¨¢ximo hist¨®rico por la mayor disponibilidad de armas tecnol¨®gicas, por el amplio campo de batalla generado por la digitalizaci¨®n y, sobre todo, porque es un gran negocio. Sumada toda su actividad, equivale a la tercera econom¨ªa del mundo,

El pasado jueves, un grupo criminal asegur¨® haberse hecho con millones de datos de usuarios del gigante de la venta de entradas Ticketmaster. D¨ªas antes, la casa de subastas Christie¡¯s y tres grandes empresas espa?olas sufr¨ªan la misma amenaza. ¡°Solo hay dos tipos de empresas, las atacadas y las que no saben que lo han sido¡±. Este dicho com¨²n en ciberseguridad se atribuye a John Thomas Chambers, veterano exjefe de seguridad de la tecnol¨®gica Cisco, quien advirti¨® a principios de a?o de un incremento de las agresiones inform¨¢ticas que se ha confirmado en solo seis meses. Y no solo las compa?¨ªas. Cualquier instituci¨®n o persona es objetivo de las mafias. ¡°El 94% de la poblaci¨®n espa?ola entre 16 y 74 a?os tiene un dispositivo m¨®vil, lo que le convierte en v¨ªctima potencial de un ciberataque¡±, asegur¨® Gabriel Gonz¨¢lez, fiscal delegado de Criminalidad Inform¨¢tica en el ¨²ltimo 5G Forum de Sevilla.

Los ¨²ltimos ejemplos de esta hiperactividad delictiva con mayor repercusi¨®n, por la dimensi¨®n de las v¨ªctimas, son las posibles brechas de seguridad en Banco Santander, Telef¨®nica, Iberdrola o la DGT. Pero son solo las conocidas porque, hasta que entre en vigor a final de a?o la directiva europea NIS2, que obliga a tener sistemas de seguridad robustos y comunicar los ataques, la mayor¨ªa de las entidades privadas sobrelleva en la intimidad la virulenta epidemia de infecciones en sus sistemas, favorecida por nuevos vectores como la inteligencia artificial o in¨¦ditas vulnerabilidades.

Diferentes estudios calculan que el aumento de los ciberataques este a?o se sit¨²a entre el 25% y el 30%, un incremento del que no se libra Espa?a, donde el Informe de Seguridad Nacional del ¨²ltimo ejercicio recoge que el Centro Criptol¨®gico Nacional registr¨® en solo nueve meses una cifra r¨¦cord de 940.776 cibercr¨ªmenes, un 21,5% m¨¢s que el a?o anterior.

Marc Rivero, jefe de investigaci¨®n de Kaspersky, coincide en que la actividad actual del cibercrimen no tiene precedentes y lo defiende con los datos de su equipo de respuesta a incidentes, que ha observado un incremento de los ataques, en especial de secuestros y robos de datos seguidos de extorsi¨®n (ransomware). Coincide Jakub Kroustek, tambi¨¦n director de investigaci¨®n de programas maliciosos de Gen, el grupo de empresas que comercializa Avast: ¡°Durante este 2024 se ha alcanzado la mayor ratio de riesgo cibern¨¦tico de la historia, es decir, la probabilidad m¨¢s alta de que cualquier individuo sea el objetivo de un ciberataque¡±.

Esta mayor actividad se refleja en el mercado clandestino de herramientas y datos, donde la disponibilidad de armas inform¨¢ticas crece sin parar. ¡°Las ¨²ltimas semanas est¨¢n siendo absolutamente ca¨®ticas. Se nota much¨ªsimo el aumento de actividad. Est¨¢ siendo exponencial¡±, confirma Rafael L¨®pez. Lo sabe bien porque est¨¢ infiltrado donde se mueve este ingente negocio criminal: en la dark web (la parte de internet que no est¨¢ indexada por los motores de b¨²squeda convencionales) y en los canales de ciberdelincuencia de Telegram, la plataforma de mensajer¨ªa que intent¨® cerrar sin ¨¦xito el juez de la Audiencia Nacional Santiago Pedraz el pasado marzo.

¡°Es como la selva. Hay de todo. Desde activistas rusos, que buscan voluntarios para campa?as de propaganda o para ataques de denegaci¨®n de servicios esenciales, hasta gente que ofrece cursos para ser hacker (pirata inform¨¢tico) o que vende los datos robados o los programas para hacerlo. Pero, como en toda selva, si no vas preparado, las fieras te comen¡±, explica.

Ingentes beneficios

Los motores que mueven esta industria son tres: espionaje, ideol¨®gicos y econ¨®micos. El primero es el menos habitual y busca solo acceder a informaci¨®n confidencial de entidades de la competencia o adversarios. El ataque con motivaciones ideol¨®gicas (hacktivismo), aunque ha crecido desde la guerra en Ucrania y Gaza, se mantiene estable en lo alto de la tabla de incidencias. Pero la raz¨®n del estallido reciente, facilitado por la mayor disponibilidad de herramientas y v¨ªctimas, es el dinero. ¡°La principal causa (93%) que impulsa a los ciberatacantes es conseguir un r¨¦dito econ¨®mico¡±, ratifica Igor Unanue, jefe de tecnolog¨ªa de S21sec (del grupo Thales) en Espa?a y Portugal. Los datos justifican esta conclusi¨®n. El volumen de negocio del cibercrimen supera los 10,5 billones de euros anuales.

Marc Rivero considera que el panorama responde a las peores previsiones y se?ala que las alarmas actuales se deben a la repercusi¨®n que genera la relevancia de las compa?¨ªas afectadas: ¡°Cuando tienen [los delincuentes] la suerte de encontrar alg¨²n fallo de seguridad en grandes empresas, lo utilizan y acaba impactando¡±.

Es el caso de Ticketmaster, la mayor plataforma de venta de entradas online para eventos de ocio y conciertos, como los de Taylor Swift en Espa?a. El grupo criminal ShinyHunters ha amenazado con vender los datos de 560 millones de usuarios y Australia, donde tiene la sede la compa?¨ªa, ha abierto una investigaci¨®n. Lo mismo le ha sucedido a Christie¡¯s.

En Espa?a, el primer gigante afectado este mes de mayo ha sido el Banco Santander, que comunic¨® a la Comisi¨®n Nacional del Mercado de Valores un ¡°acceso no autorizado¡± a un proveedor con informaci¨®n de los clientes de la entidad en Espa?a, Chile y Uruguay. La entidad bancaria asegura que no se ha tenido acceso a ¡°informaci¨®n transaccional ni credenciales de acceso o contrase?as de banca por internet¡±.

Pocos d¨ªas despu¨¦s, la empresa de seguridad HackManac inform¨® de una supuesta oferta ilegal de datos de 120.000 clientes de Telef¨®nica, pero la compa?¨ªa investiga ¡°la legitimidad de la informaci¨®n que dice tener este actor en internet [el ciberdelincuente que ha amenazado con difundir los datos]¡± y niega que, de haberse conseguido el acceso, este incluya ¡°datos sensibles¡±, como claves y cuentas bancarias.

Al grupo se ha sumado la energ¨¦tica Iberdrola, que comunic¨® a la Agencia Espa?ola de Protecci¨®n de Datos y a la polic¨ªa la filtraci¨®n desde los servidores de un proveedor de nombres completos y documentos de identidad de 850.000 de sus casi 12 millones de clientes. ¡°Los ciberdelincuentes no han logrado acceder a la informaci¨®n m¨¢s sensible y la brecha se cerr¨® de forma inmediata¡±, responde un portavoz de la compa?¨ªa.

El ¨²ltimo caso ha sido una supuesta oferta de datos procedentes de la DGT que la Guardia Civil investiga. El hacker afirma vender informaci¨®n de millones de veh¨ªculos, con sus matr¨ªculas, titulares, DNI y datos del seguro vigente.

El eslab¨®n m¨¢s d¨¦bil

Los ¨²ltimos casos de brechas en empresas espa?olas tienen un denominador com¨²n: los ataques llegan a trav¨¦s de terceros, porque los sistemas internos de las grandes compa?¨ªas son muy robustos. La inversi¨®n en seguridad de las empresas espa?olas ronda los 1.200 millones de euros (200.000 en el mundo). Pero el 90% de este gasto se corresponde con entidades de gran tama?o, mientras que las peque?as y medianas empresas realizan inversiones m¨ªnimas, a pesar de que todas est¨¢n digitalizadas en mayor o menor medida (ampliando as¨ª el campo de vulnerabilidades) y forman parte del ecosistema econ¨®mico de las primeras como subcontratistas y suministradoras de bienes y servicios.

Rafael L¨®pez explica que los atacantes buscan el acceso ¡°en los eslabones m¨¢s d¨¦biles de la cadena, que suelen ser proveedores con sistemas de seguridad insuficientes, cuando los tienen¡±. En la misma l¨ªnea, Sergio de los Santos, director del ¨¢rea de Innovaci¨®n y Labs en Telef¨®nica Tech que tambi¨¦n particip¨® en el ¨²ltimo 5G Forum, defiende que ¡°las peque?as y medianas empresas tienen que entender que van a ser atacadas y que la ciberseguridad no es una utop¨ªa¡±.

Pero el atacante no solo busca la parte de la muralla m¨¢s vulnerable, sino tambi¨¦n al vigilante menos diligente. En m¨¢s de la mitad de los casos (68%) hay un error humano detr¨¢s de cada ataque; basta con abrir un simple correo electr¨®nico con un enlace encubierto que activa un programa malicioso en solo 60 segundos.

Mark Rivero precisa: ¡°Cuando a una persona le roban las credenciales de sus cuentas y de las empresas con las que trabaja, esa informaci¨®n se vende a los grupos de ransomware para, directamente, facilitar las campa?as de fraude y el acceso a las redes comprometidas¡±.

Las grandes empresas cuentan con sistemas de defensa robustos, aunque, seg¨²n De los Santos, adem¨¢s de muros preventivos, ¡°han asumido que van a sufrir ataques exitosos, por lo que ahora la importancia recae en c¨®mo recuperarse¡±. Pero la diana final de los ladrones de informaci¨®n de esas compa?¨ªas con millones de clientes es el usuario, v¨ªctima del 84% de las estafas por internet. ¡°No hay nadie a salvo, pero lo que m¨¢s me preocupa¡±, se?ala Rafael L¨®pez, ¡°es el ciudadano de a pie, porque los datos robados son los que sirven para campa?as masivas de fraude que suplantan a bancos, la Agencia Tributaria o la polic¨ªa¡±.

Ra¨²l S¨¢nchez, economista de 56 a?os residente en Sevilla, a¨²n recuerda la ¨²ltima aciaga ma?ana de Navidad cuando, como tiene por costumbre, revis¨® la aplicaci¨®n de su banco: ¡°Descubr¨ª que hab¨ªan comprado con los datos de mi tarjeta 2.500 euros de publicidad en Snapchat, una red social que hasta ese momento desconoc¨ªa. Supongo que la vender¨ªan luego. Llegaron al l¨ªmite de cr¨¦dito¡±. Denunci¨® en comisar¨ªa para poder reclamar a la entidad financiera. ¡°El polic¨ªa se encogi¨® de hombros cuando le pregunt¨¦ si pod¨ªan hacer algo¡±, recuerda.

Pagar al delincuente

La mayor¨ªa de las empresas, instituciones y particulares siguen sufriendo los ciberataques m¨¢s habituales, que generalmente se producen de forma combinada y secuencial. Aunque hay decenas de modalidades espec¨ªficas, se pueden agrupar en tres categor¨ªas: el enga?o (phishing) para acceder a credenciales de acceso cuando no se puede acceder por lo que se denomina ¡°fuerza bruta¡±; denegaci¨®n de servicio (DDoS, por sus siglas en ingl¨¦s), para inhabilitar en solo cinco minutos los sistemas de cualquier entidad (59% de los casos); y el secuestro de datos y extorsi¨®n (ransomware). Si la empresa no paga, la informaci¨®n se ofrece en la web oscura para que los ciberdelincuentes adquieran una base de datos para lanzar campa?as de fraude.

Si se consuma el secuestro, la primera norma es no pagar. ¡°Cada vez que se hace, se financia el crimen¡±, advierte Rafael L¨®pez. Sin embargo, muchas empresas prefieren abonar el rescate, generalmente en criptomonedas, para evitar la crisis reputacional y salvaguardar a sus clientes. ¡°Sospechamos que, cuando no se difunden los datos de una entidad atacada, es porque han pagado. Los criminales no hacen amigos¡±, asegura L¨®pez.

Cada vez que se paga un rescate, se financia el crimen

Rafael L¨®pez, de la empresa de ciberseguridad israel¨ª Perception Point

No existen estad¨ªsticas fiables sobre cu¨¢ntas entidades pagan, pero la compa?¨ªa de seguridad Veeam calcula que un 76% abona las cantidades reclamadas. La delegaci¨®n andaluza de un bufete nacional de abogados, que se niega a ser identificada, sufri¨® un secuestro de todo el sistema y pag¨® por la informaci¨®n confidencial robada. ¡°Nunca se recuper¨® el sistema, pero los datos no se difundieron¡±, admite uno de sus responsables.

Aunque las armas tienen el mismo mecanismo, se han sofisticado gracias a la irrupci¨®n de la inteligencia artificial (IA), capaz de crear en solo segundos un programa malicioso, recrear un correo exactamente igual al de un remitente habitual y de confianza o incluso suplantar voces e im¨¢genes. Por fortuna, seg¨²n Juan Miguel Pulpillo, Coordinador del Centro de Ciberseguridad Industrial, ¡°la IA tambi¨¦n desempe?a un papel esencial en la ciberseguridad al ayudar a identificar, prevenir y responder a las amenazas cibern¨¦ticas de manera m¨¢s r¨¢pida y precisa¡±.

Tampoco ha cambiado mucho el mapa de las ciberamenazas. Seg¨²n una investigaci¨®n publicada en Plos One, el ?ndice Mundial de Ciberdelincuencia se concentra principalmente en un peque?o n¨²mero de pa¨ªses con China, Rusia, Ucrania, Estados Unidos, Ruman¨ªa y Nigeria a la cabeza, aunque la lista completa alcanza a 97 Estados, cada uno con su especialidad. ¡°Por ejemplo, los delitos cibern¨¦ticos relacionados con productos o servicios t¨¦cnicos fueron la categor¨ªa principal en China; el robo de datos o identidad, en los EE UU; y los ataques y la extorsi¨®n, en Ir¨¢n¡±, explica Miranda Bruce, investigadora de la Universidad de Oxford y autora principal. No son individuos aislados, sino organizaciones criminales, en la mayor¨ªa de los casos, con apoyo de los Gobiernos o dependientes de ellos, como los grupos de Corea del Norte.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.