Ciberataques
La pandemia que viene
La precipitada migración al teletrabajo en 2020 trajo consigo grandes agujeros en la seguridad informática. Sin embargo no hubo más ciberataques. Es ahora cuando se detecta un aumento exponencial y de los incidentes más graves. Al menos uno por semana es crítico
La próxima pandemia de la que tendrá que curarse la humanidad será un ciberataque. A su lado, esto del coronavirus parecerá un mal menor. «Todos lo sabemos pero todavía no prestamos suficiente atención», avisaba desde Davos el creador del Foro Económico Mundial, el alemán Klaus Schwab, en un mensaje en el que presagiaba el «aterrador escenario» de una ofensiva informática a escala planetaria. A saber, un fundido en negro devastador «que podría provocar el cierre total del suministro eléctrico, del transporte, de los servicios hospitalarios, de nuestra sociedad en su conjunto». Lo más parecido a la muerte en vida.
No hay consenso en si todo esto es el pronóstico de un visionario o de un catastrofista, amigo por cierto de megapolíticos, supermillonarios y vips que harían el agosto de prosperar su iniciativa, la apuesta estrella de Schwab, del ‘Gran Reseteo’ o reinicio del sistema global en nombre de la «sostenibilidad».
Lo que sí sabemos es que en los meses como de ciencia ficción del confinamiento, cuando usted y cientos de miles como usted, y sus jefes y todos los jefes, tuvieron que coger de la noche a la mañana y ponerse en casa con las claves, que si la nube, videoconferencia, acceso cifrado a la aplicación de la empresa, hacer como si estuviera en el despacho pero con lo puesto, con su wifi que se corta, con su ordenador particular y ese antivirus que protege de aquella manera, en esos meses que ya se han convertido en un año largo, no ha habido ningún apocalipsis. Y esto no era el efecto 2000, con sus 420 millones de euros públicos –70.000 millones de pesetas de entonces– y otros tantos privados invertidos en parar el presunto ‘big bang’ tecnológico del cambio de milenio, para que luego no fallara ni un portátil ni en la última pedanía de España. No. Esto de ahora sobrevino de repen
te y no dio sensación de que pasara gran cosa. Un estudio de Deloitte muestra que el 21 por ciento de las compañías reconocieron estar nada o poco preparadas para el salto.
Pero es un espejismo. El problema es que lo malo está pasando ahora.
En el CCN-CERT, el cerebro gubernamental de respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, adscrito al CNI, certifican que, desde octubre o noviembre, se está notando «un incremento exponencial de los ataques», asaltos además «complejos, que antes eran privativos de Estados y que ahora está haciendo el cibercrimen con ciertas capacidades que antes no tenían para entrar en organizaciones sensibles». Su impacto es, por tanto, «muy alto o crítico», explica el jefe del departamento de Ciberseguridad, Javier Candau, que defiende que estos y no los incidentes menores son los verdaderamente relevantes, los «cuantificables», y atribuye sin duda la situación actual a un factor: «Haber pasado al teletrabajo de forma precipitada».
«Al migrar tan rápidamente a trabajo en remoto no se ha complementado el aumento de la superficie de exposición de las redes corporativas con unas capacidades de vigilancia y auditoría que hubieran sido muy necesarias. Han migrado y punto, y los organismos públicos también», zanja. Y uno de los resultados de esa digitalización forzosa está siendo hoy la venta previo robo de «credenciales comprometidas en la ‘dark web’, en el mercado negro. Estamos viendo que pones un dominio y el ciberatacante puede comprar credenciales por valor de 10 dólares, o de 400, y con eso es usuario legítimo de la red, entra y despliega las herramientas que quiera».
El CCN-CERT pone a disposición de las empresas un catálogo de servicios –sistema de alerta temprana, contención y eliminación de ciberataques, formación...–, máxime si se encuadran en sectores estratégicos –operadores de servicios esenciales y proveedores digitales, unos 400 en total en España–, si bien su competencia decisiva es la gestión de ciberincidentes en los organismos públicos. En este ámbito, la ofensiva es grave. «Estamos bastante al límite de nuestra capacidad de ayudar a las administraciones a recuperarse de los incidentes», avisa Candau. Vienen registrando un ataque de peligrosidad muy alta o crítica a la semana.
En nombre del Covid
Son golpes muy sofisticados. Aquí, el SEPE fue rehén de los ‘hackers’ en marzo durante una semana, en abril se hicieron con el INE y los ministerios de Justicia o Economía y poco antes, en diciembre, los piratas suplantaron la identidad del jefe de la farmacéutica gallega Zendal y en su nombre ordenaron a los empleados veinte transferencias por valor de nueve millones euros. Es el llamado «fraude del CEO».
Pero el aprovechamiento de las brechas de seguridad abiertas por el teletrabajo no afecta ni mucho menos únicamente a España. Son incidentes que se están replicando por todo el primer mundo y cebándose especialmente en las empresas que tienen dinero.
Cinco millones de dólares acaba de pagar Colonial Pipeline, la mayor red de oleoductos de EE.UU., para liberar su sistema informático de un cibersecuestro. En Irlanda, las autoridades insisten en que no cederán a la extorsión aún cuando parte de los sistemas de su Sanidad siguen bloqueados dos semanas después de un ataque registrado el día 14. Es la certificación –con el precedente de la paralización en enero del Hospital de Torrejón de Ardoz (Madrid)– del fin de la tregua de no agresión a instituciones médicas y de salud que muchos grupos del crimen online anunciaron y mantuvieron durante los meses que siguieron al estallido del Covid.
Este aviso no pasó inadvertido en el Centro Criptológico ni tampoco en el Instituto Nacional de Ciberseguridad (Incibe). Su responsable de Ciberseguridad en Servicios Reactivos, Jorge Chinea, reafirma que en este 2020 tan inesperado, si se ha documentado un número más alto de incidentes –106.466 dirigidos a empresas y ciudadanos, un 31,6 por ciento más que en 2019– se debió a la mayor capacidad de detección y por la colaboración de las víctimas que los notifican. Sin más.
Por este orden, fueron y, según la prospectiva, seguirán siendo principalmente ataques de ‘ransomware’, esto es: cuelan un código malicioso que cifra
Credenciales de saldo En la ‘dark web’ se venden por 10 dólares credenciales robadas, con ellas el atacante es usuario legítimo
No hubo catástrofe Incibe contó el año pasado un 31% más de incidentes, porque se detectan mejor y las víctimas comunican más
los datos y exigen un rescate para devolverlos. Conviene no olvidar que de esta familia maliciosa era y es el WannaCry, el gusano aún vivo con el que empezó todo: en 2017 abrió los ojos del mundo a la ciberseguridad, algo así como el Covid a las vacunas, al contaminar 360.000 equipos en 150 países, lo que provocó pérdidas directas e indirectas de 4.000 millones de euros. Luego consta como gran amenaza el ‘phising’, que no pasa de moda: los ‘hackers’ mandan un email haciéndose pasar por cierta empresa y pidiéndole a cada uno sus claves, sobre todo bancarias, y aunque parezca mentira, miles siguen cayendo. Figuran también muy arriba los ataques de denegación de servicio y los dirigidos a la nube.
Incibe precisa que lo que sí hicieron los delincuentes durante la emergencia sanitaria fue «adaptarse» al contexto de coronavirus, pero «del mismo modo que ocurre con ocasión del Black Friday, unas olimpiadas o la muerte de alguna celebridad, reorientaron sus acciones utilizando la pandemia como señuelo».
A saber, entre marzo y abril del año pasado, el Instituto detectó y alertó de correos electrónicos que, por ejemplo, amenazaban con contagios de Covid si no se abonaba una determinada cantidad de bitcoins, u otra de ‘phishing’ que, a través de whatsapp, ofrecía suscripciones gratis a la plataforma líder de televisión con el objeto de robar datos bancarios.
«Al principio de la pandemia veíamos incidentes relacionados con fraude de productos sanitarios, los ERE, con servicios utilizados masivamente durante el confinamiento... a finales de 2020 –resume Chinea–, se añadieron otros relacionados con las medidas restrictivas que se estaban implantando». En otro caso, la promesa de proporcionar mapas para seguir la evolución del coronavirus contenía enlaces que conducían a descargar programas tóxicos capaces de capturar contraseñas personales y financieras, como el Agent Tesla, o troyanos, como el bancario Cerberus, que permitían a los gángster tomar el control de los dispositivos.
Tuvieran una distribución limitada o masiva, para el Incibe cada una de estas campañas cuenta como un único incidente y sus estadísticas dicen que solo el 0,34 por ciento de los que gestionaron el pasado año explotaron el oportunismo del Covid. Google dijo en abril de 2020 que diariamente bloqueaba una media de 18 millones de emails que hacían referencia al coronavirus con fines de engaño. Y desde luego que hubo quien pinchó en el enlace maldito que se le proponía camuflado de otra cosa y puso en jaque a través de su lista de emails a toda la compañía.
Con un poco de mala suerte pudo incluso ser con Emotet, el ‘malware’ –programa malicioso– de tipo polimórfico –muta él solo para esquivar los antivirus– estrella de la temporada y más destructivo de los últimos tiempos. Lo dijo Europol, que lideró la operación interna
cional que este enero consiguió desmantelar la infraestructura criminal que estaba tras este código fatal. Conviene reparar en que la peligrosidad de Emotet ha sido su capacidad para robar credenciales de usuario, como esas que hoy se ofertan a puñados en el lado oscuro de internet.
Y es que una cosa es que las empresas inviertan en protegerse en términos de ciberseguridad y otra que sus empleados estén listos para saber qué hacer y qué no. Respecto a lo primero, el análisis de Deloitte revela que el 57 por ciento ha reducido su presupuesto anual en ciberseguridad debido a la pandemia, que continúa la tendencia a externalizar este servicio –el 76 por ciento utiliza ese modelo– y que una de cada cuatro empresas no proporciona ningún tipo de formación en esta materia a su plantilla.
El error humano
Esta dejación conecta con la falta de adiestramiento del personal –a veces, desde los administradores de redes a los trabajadores más básicos– para haberse enfrentado desde sus despachos caseros al reto de ser ellos custodios de la confidencialidad y la integridad de los datos de la empresa como el que más. «En un día típico de trabajo se dan muchas circunstancias en las que se nos requiere urgencia e inmediatez: periodos de facturación, plazos inamovibles... los ciberdelincuentes lo saben y se valen de ellos para que piquemos en cosas tan cotidianas como descargarnos un archivo adjunto», narra la directora de la central de una firma de servicios a la tercera edad que acabó contaminando con el famoso Emotet a todas sus delegaciones, según un testimonio anonimizado que facilita Incibe.
En este sentido, desde KPMG España, su responsable de Ciberseguridad, Marc Martínez, recuerda que en estos tiempos «se ha dependido mucho del nivel de concienciación: si te llega un ‘phising’ hay dos opciones, que abras el fichero que lleva anexo o no, y las empresas que habían sensibilizado al respecto han salido beneficiadas. Las que no, muchas veces han generado la instalación de ‘malware’ en los equipos y en las redes de los clientes». Actuar correctamente y hacerlo a tiempo es clave y, subraya el experto, ante ello, la diferencia entre grandes empresas y pequeñas es la misma que separa «a dos mundos».
Y aquí la experiencia real de una muy grande: Mapfre. De que «una maquinaria probada y engrasada es la mejor garantía de que todo va a funcionar cuando más se necesita» da cuenta la respuesta que la aseguradora dio al ciberataque masivo que le fue disparado a las ocho de la tarde del viernes 14 de agosto de 2020. Les obligó a desconectar sus sistemas y quedarse a ciegas en una fecha crucial para el tráfico, coincidente entonces con la fallida «desescalada». En cuatro horas estaban rehabilitados los ‘call center’ de atención en carretera y en seis tenían el antídoto para repeler el virus que los atacantes habían diseñado un año antes expresamente para esta tentativa. Y que inocularon gracias a las credenciales robadas a finales de julio a un usuario privilegiado, según revelaron los exámenes forenses.
Pecados íntimos
Mapfre ya había analizado y modelizado un riesgo de este tipo en su plan de crisis, solo hubo que activar el protocolo, y disponía de un ‘backup’ que no lograron vulnerar. Pero igual de importante fue la preparación de sus empleados, empezando por el experto de Seguridad que alertó desde Majadahonda (Madrid) de que un primer equipo comenzaba a encriptarse. El mismo sábado día 15, el incidente fue comunicado a la opinión pública en desafío del habitual oscurantismo que relega los ciberataques a la esfera de los pecados íntimos de las empresas, en tanto estiman que daña su reputación, y airea sus vergüenzas en materia de seguridad. Por el contrario, en este caso, dar la cara aumentó la comprensión ante la crisis, destacan en la compañía.
«Hay quien opta por vías menos transparentes y obvian que, al final, el ataque va a ser conocido porque sus clientes y sus proveedores, que son una parte muy importante del ecosistema
Infectar una compañía Una de cada cuatro empresas no prepara a su plantilla ante un ‘malware’. Un solo click puede ser fatal
de la empresa, no pueden, por ejemplo, acceder a una web, y eso en dos horas va a estar en Twitter. Hay pocas alternativas, las empresas están optando por la transparencia y es una buena política», indican en KPMG.
En ocasiones, son las propias organizaciones criminales las que se exponen como autoras y difunden una determinada incursión como un éxito, aunque el verdadero, el buscado, es sacar dinero. El de los rescates, el de comerciar con la información saqueada –cuentas de correo, códigos de acceso, no olvidar el espionaje industrial...– o con los equipos que han logrado comprometer y que alquilan en modo zombies a redes de ‘botnet’, verdaderos ejércitos informáticos creados para delinquir. Ninguno de los consultados da idea de las tarifas y aseguran no saber de quien haya pagado, lo que al fin y al cabo significa financiar el gansterismo en la red y casi contratarles para que vuelvan. Sí facilitan cifras, y muy preocupantes, marcas que curiosamente venden escudos de protección: dicen que el 58 por ciento de las empresas desembolsan lo requerido, otra fuente lo cifra en un 21 y señala que, a pesar de ello, una de cada tres ni recuperó los datos que le habían distraído. Una más concluye que el 60 por ciento de las pymes damnificadas por un ciberasalto termina cerrando.
Son afirmaciones incontrastables. Como la de Schaw, el del Foro de Davos, de que el caos informático llegará y lo hará «como un tsunami», que por cierto lleva vaticinando desde 2016.
Transparencia Ciberataque era igual a desprestigio. Hoy es positivo publicitarlo, si no lo harán los ‘hackers’
Pagar o no pagar Nadie reconoce haber cedido a la extorsión de los grupos criminales, es tanto como financiarles