Tres lecciones para España en tiempo de ciberguerra
Se pueden identificar similitudes entre los métodos que se están usando en el conflicto de Ucrania y los que utilizan los hackers con las empresas españolas
El conflicto en Ucrania está demostrando cómo el entorno digital es hoy un campo de batalla en toda regla, con ejemplos diarios del modo en que Rusia recurre a la ciberguerra y a la desinformación para tratar de desestabilizar al Gobierno ucraniano. El debate sobre este ciberconflicto no es nuevo si se tienen en cuenta las acusaciones contra el Gobierno ruso de haber dirigido ciberataques en los últimos años contra infraestructuras críticas, bancos y webs gubernamentales ucranianos. Por ejemplo, el 14 de febrero, Ucrania aseguró haber sufrido un ciberataque contra su Ministerio de Defensa, el Oschadbank (la caja de ahorros ucraniana) y el Privatbank, el banco privado más grande del país. Anteriormente, también denunció que el gran apagón sufrido en 2016 en Kiev fue fruto de un ciberataque a su red eléctrica. En cualquier caso, a diferencia del conflicto armado, que no ha escalado fuera de las fronteras ucranianas, la ciberguerra ya lo ha hecho: se están detectando campañas de malware empleando copias falsas de dominios gubernamentales y ataques DDoS, además de supuestas campañas de apoyo a Ucrania a través de correos electrónicos y SMS maliciosos con un claro fin económico. Si bien las amenazas y ciberataques han aumentado tanto para empresas privadas como para organismos públicos bajo el contexto de la guerra, esta dinámica no es un escenario circunstancial y exclusivo de este momento. El Centro Criptológico Nacional (CCN), el Ministerio del Interior e Incibe han registrado un importante aumento de los ciberataques en España desde 2020, el año del apogeo. Según el Incibe, estos crecieron un 24% en 2020. Desde el inicio de la pandemia hemos sido partícipes de varios ciberataques a estructuras críticas españolas. Los ataques sufridos por el SEPE, el Ministerio de Trabajo o el Tribunal de Cuentas son un ejemplo. En esta línea, se han identificado multitud de nuevos ataques no solo a Gobiernos o instituciones públicas, sino también a empresas privadas como Acer, Glovo, Phone House o, más recientemente, Iberdrola. Campañas maliciosas sobre dispositivos IoT, robo o borrado de archivos o acciones de spear phishing: estafas de correo electrónico generalmente orientadas a robar datos de clientes y que normalmente se aprovechan del error humano como clave de su éxito. Ya sea por despistes de los empleados o por la falta de prevención. Y es que, contradiciendo uno de los clichés más extendidos en el sector de la ciberseguridad, los hackers no siempre (de hecho, casi nunca) son genios que emplean la tecnología más sofisticada, sino
Los hackers no siempre (de hecho, casi nunca) son genios sofisticados, sino que aprovechan los descuidos y la falta de formación
que aprovechan los descuidos y la falta de formación de la población para perpetrar sus ataques. No son genios, pero sí insistentes y se aprovechan de un equilibrio asimétrico: para la persona u organización que se defiende basta un solo descuido para poner en riesgo sus datos y activos. Por el contrario, al delincuente le basta un intento exitoso para cumplir sus objetivos, como el clic de un empleado a un mail malicioso dentro de una organización de cientos o miles de trabajadores. En este contexto, es fácil identificar ciertas similitudes en los métodos de ciberguerra rusa y los de los hackers que atacan a las empresas españolas: la importancia de la explotación del factor humano, el eslabón más débil de la cadena de ciberseguridad. Por razones obvias, es este factor humano la parte más importante hoy para la defensa digital de las empresas: el perímetro de ciberseguridad es más amplio que nunca, con más dispositivos conectados y desde más puntos de acceso, a medida que se consolidan las prácticas de trabajo en remoto y políticas como BYOD (trae tu propio dispositivo al puesto de trabajo, por sus siglas en inglés). Por ello, tras un trabajo previo de análisis de la madurez de la infraestructura de ciberseguridad de cada empresa, es vital que estas extraigan tres grandes aprendizajes para las empresas españolas que el actual conflicto ciberbélico nos está dejando:
1 Apostar, sobre todo, por la formación y prevención.
La mejor respuesta ante un ciberincidente es la que no es necesario activar. La seguridad es cosa de todos, no solo del CISO y los usuarios técnicos. Todos los empleados deben conocer su responsabilidad y capacidad de actuación proactiva para proteger a su empresa, por lo que esta debe promover ante todo una robusta cultura de la ciberseguridad en las organizaciones.
2 Detección y monitorización.
La ciberseguridad absoluta, simplemente, no existe. Estamos más conectados que nunca y por tanto más expuestos. No podemos obviar que, si no hemos sufrido ya un ciberataque (más o menos sofisticado), solo es cuestión de tiempo. Por ello, es vital identificar tempranamente las brechas de seguridad y contar con un equipo de monitorización dedicado a velar por ello.
3 Agilidad y solidez en la respuesta.
Cuando todo lo demás falla, no debe haber lugar para la improvisación. Debemos tener listos los planes adecuados de respuesta ante incidentes y esto no es algo que se logre de un día para otro. De nuevo, es importante realizar un concienzudo análisis previo del estado de madurez de la organización, que arroje luz sobre sus fortalezas y, sobre todo, sus debilidades. Para el criminal, el camino más fácil para comprometer una organización siempre ha sido conseguir que desde dentro les abran las puertas. Hoy, la ciberseguridad no es solo cosa del CISO, sino de todos los empleados, incluyendo por supuesto al CEO, que, cada vez más, deberá implicarse proactivamente en crear una sana cultura de la ciberseguridad. Las empresas, al igual que los Gobiernos, corren el mismo riesgo de sufrir amenazas desde dentro. Actuar proactivamente para fomentar esta cultura nunca ha sido más importante de lo que es hoy, y la actual situación de ciberguerra ofrece lecciones que no debemos pasar por alto.