En la ‘dark web’ se venden por 10 dólares credenciales robadas, con ellas el atacante es usuario legítimo
Incibe contó el año pasado un 31% más de incidentes, porque se detectan mejor y las víctimas comunican más
te y no dio sensación de que pasara gran cosa. Un estudio de Deloitte muestra que el 21 por ciento de las compañías reconocieron estar nada o poco preparadas para el salto.
Pero es un espejismo. El problema es que lo malo está pasando ahora.
En el CCN-CERT, el cerebro gubernamental de respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, adscrito al CNI, certifican que, desde octubre o noviembre, se está notando «un incremento exponencial de los ataques», asaltos además «complejos, que antes eran privativos de Estados y que ahora está haciendo el cibercrimen con ciertas capacidades que antes no tenían para entrar en organizaciones sensibles». Su impacto es, por tanto, «muy alto o crítico», explica el jefe del departamento de Ciberseguridad, Javier Candau, que defiende que estos y no los incidentes menores son los verdaderamente relevantes, los «cuantificables», y atribuye sin duda la situación actual a un factor: «Haber pasado al teletrabajo de forma precipitada».
«Al migrar tan rápidamente a trabajo en remoto no se ha complementado el aumento de la superficie de exposición de las redes corporativas con unas capacidades de vigilancia y auditoría que hubieran sido muy necesarias. Han migrado y punto, y los organismos públicos también», zanja. Y uno de los resultados de esa digitalización forzosa está siendo hoy la venta previo robo de «credenciales comprometidas en la ‘dark web’, en el mercado negro. Estamos viendo que pones un dominio y el ciberatacante puede comprar credenciales por valor de 10 dólares, o de 400, y con eso es usuario legítimo de la red, entra y despliega las herramientas que quiera».
El CCN-CERT pone a disposición de las empresas un catálogo de servicios –sistema de alerta temprana, contención y eliminación de ciberataques, formación...–, máxime si se encuadran en sectores estratégicos –operadores de servicios esenciales y proveedores digitales, unos 400 en total en España–, si bien su competencia decisiva es la gestión de ciberincidentes en los organismos públicos. En este ámbito, la ofensiva es grave. «Estamos bastante al límite de nuestra capacidad de ayudar a las administraciones a recuperarse de los incidentes», avisa Candau. Vienen registrando un ataque de peligrosidad muy alta o crítica a la semana.
En nombre del Covid
Son golpes muy sofisticados. Aquí, el SEPE fue rehén de los ‘hackers’ en marzo durante una semana, en abril se hicieron con el INE y los ministerios de Justicia o Economía y poco antes, en diciembre, los piratas suplantaron la identidad del jefe de la farmacéutica gallega Zendal y en su nombre ordenaron a los empleados veinte transferencias por valor de nueve millones euros. Es el llamado «fraude del CEO».
Pero el aprovechamiento de las brechas de seguridad abiertas por el teletrabajo no afecta ni mucho menos únicamente a España. Son incidentes que se están replicando por todo el primer mundo y cebándose especialmente en las empresas que tienen dinero.
Cinco millones de dólares acaba de pagar Colonial Pipeline, la mayor red de oleoductos de EE.UU., para liberar su sistema informático de un cibersecuestro. En Irlanda, las autoridades insisten en que no cederán a la extorsión aún cuando parte de los sistemas de su Sanidad siguen bloqueados dos semanas después de un ataque registrado el día 14. Es la certificación –con el precedente de la paralización en enero del Hospital de Torrejón de Ardoz (Madrid)– del fin de la tregua de no agresión a instituciones médicas y de salud que muchos grupos del crimen online anunciaron y mantuvieron durante los meses que siguieron al estallido del Covid.
Este aviso no pasó inadvertido en el Centro Criptológico ni tampoco en el Instituto Nacional de Ciberseguridad (Incibe). Su responsable de Ciberseguridad en Servicios Reactivos, Jorge Chinea, reafirma que en este 2020 tan inesperado, si se ha documentado un número más alto de incidentes –106.466 dirigidos a empresas y ciudadanos, un 31,6 por ciento más que en 2019– se debió a la mayor capacidad de detección y por la colaboración de las víctimas que los notifican. Sin más.
Por este orden, fueron y, según la prospectiva, seguirán siendo principalmente ataques de ‘ransomware’, esto es: cuelan un código malicioso que cifra los datos y exigen un rescate para devolverlos. Conviene no olvidar que de esta familia maliciosa era y es el WannaCry, el gusano aún vivo con el que empezó todo: en 2017 abrió los ojos del mundo a la ciberseguridad, algo así como el Covid a las vacunas, al contaminar 360.000 equipos en 150 países, lo que provocó pérdidas directas e indirectas de 4.000 millones de euros. Luego consta como gran amenaza el ‘phising’, que no pasa de moda: los ‘hackers’ mandan un email haciéndose pasar por cierta empresa y pidiéndole a cada uno sus claves, sobre todo bancarias, y aunque parezca mentira, miles siguen cayendo. Figuran también muy arriba los ataques de denegación de servicio y los dirigidos a la nube.
Incibe precisa que lo que sí hicieron los delincuentes durante la emergencia sanitaria fue «adaptarse» al contexto de coronavirus, pero «del mismo modo que ocurre con ocasión del Black Friday, unas olimpiadas o la muerte de alguna celebridad, reorientaron sus acciones utilizando la pandemia como señuelo».
A saber, entre marzo y abril del año pasado, el Instituto detectó y alertó de correos electrónicos que, por ejemplo, amenazaban con contagios de Covid si no se abonaba una determinada cantidad de bitcoins, u otra de ‘phishing’ que, a través de whatsapp, ofrecía suscripciones gratis a la plataforma líder de televisión con el objeto de robar datos bancarios.
«Al principio de la pandemia veíamos incidentes relacionados con fraude de productos sanitarios, los ERE, con servicios utilizados masivamente durante el confinamiento... a finales de 2020 –resume Chinea–, se añadieron otros relacionados con las medidas restrictivas que se estaban implantando». En otro caso, la promesa de proporcionar mapas para seguir la evolución del coronavirus contenía enlaces que conducían a descargar programas tóxicos capaces de capturar contraseñas personales y financieras, como el Agent Tesla, o troyanos, como el bancario Cerberus, que permitían a los gángster tomar el control de los dispositivos.
Tuvieran una distribución limitada o masiva, para el Incibe cada una de estas campañas cuenta como un único incidente y sus estadísticas dicen que solo el 0,34 por ciento de los que gestionaron el pasado año explotaron el oportunismo del Covid. Google dijo en abril de 2020 que diariamente bloqueaba una media de 18 millones de emails que hacían referencia al coronavirus con fines de engaño. Y desde luego que hubo quien pinchó en el enlace maldito que se le proponía camuflado de otra cosa y puso en jaque a través de su lista de emails a toda la compañía.
Con un poco de mala suerte pudo incluso ser con Emotet, el ‘malware’ –programa malicioso– de tipo polimórfico –muta él solo para esquivar los antivirus– estrella de la temporada y más destructivo de los últimos tiempos. Lo dijo Europol, que lideró la operación interna