Autor: ottoreuss

Periodista freelance. Director de 'El Enemigo Anónimo', la primera serie documental sobre ciberseguridad hecha en España. Periodista de reportajes, economía, tecnología y datos en El Confidencial. También hago contenidos para empresas. Twitter: @ottoreuss

Españoles, la privacidad en internet ha muerto: ¿por qué les regalamos nuestros datos a las empresas tecnológicas?

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

«Yo asumí hace tiempo que la privacidad ha desaparecido, es muy difícil mantener una privacidad en internet en el sentido amplio, aunque intentes usar herramientas de todo tipo». Así de tajante lo dice Alfonso Muñoz en el capítulo 10 de El Enemigo Anónimo. No rebaja mucho menos la tensión Jorge Louzao: «La privacidad se está reduciendo al mínimo, es prácticamente un milagro pensar que algún día podamos recuperarla».

No parecen afirmaciones demasiado exageradas. Hace dos años, El Confidencial hizo un experimento: demostrar a sus lectores qué podrían descubrir sobre ellos teniendo uno solo de sus datos. Solo uno: el nombre, el DNI, su perfil de Linkedin o incluso su email o su teléfono. Los resultados hablaban por sí solos: cualquiera puede descubrir sobre ti mucho más de lo que crees.

Pero, ¿es cierto que la privacidad en internet ha muerto? ¿Nos preocupamos por ella? Y si lo hacemos, ¿por qué tantas empresas tecnológicas acaban teniendo acceso a nuestros datos?

Nos preocupa nuestra privacidad…

A los ciudadanos nos preocupa nuestra privacidad. O, al menos, decimos que nos preocupa nuestra privacidad. Así lo asegura el informe Internet Security & Trust 2019, elaborado por el CIGI, que revela que los ciudadanos de todas las partes del mundo están cada vez más preocupados por el uso que hacen las empresas de sus datos personales:

De hecho, si comparamos estas cifras con las de hace un año, veremos que hay zonas geográficas en las que la preocupación está creciendo muy significativamente:

… pero no hacemos casi nada para protegerla

A una preocupación de ese tamaño debería acompañarle una reacción acorde, ¿no? Pues no del todo, la verdad: el Cyber Safety Insights Report de NortonLifeLock pone negro sobre blanco las medidas que están tomando los usuarios para preservar su privacidad online. Entre ellas, gestionar las cookies, tener cuidado con lo que publican en redes sociales, no usar Wifis públicas o recurrir a seudónimos en las aplicaciones y servicios web que utilizan a diario.

Aquí es donde se ve que la teoría está muy bien, pero la práctica es otra cosa. Si tanto decimos que cada vez nos preocupa más nuestra privacidad, ¿de verdad hacemos algo para protegerla? No lo parece. Otro ejemplo: según el estudio The Blinding Effect of Security Hubris on Data Privacy, elaborado por Malware Bytes, solo el 47% de los usuarios sabe qué apps tienen acceso a su móvil, y apenas un 32% se lee los famosos términos y condiciones:

Esta minúscula preocupación por los permisos que concedemos a ciertas empresas tecnológicas también aparecen en otros estudios como el IT Risk/Reward Barometer 2013 de ISACA, que da cuenta de que el 30,6% rara vez se lee los permisos y el 29,4% no lo hace absolutamente nunca.

El mayor espía del mundo es tu móvil

Hay un dispositivo que se ha convertido, de lejos, en el mayor peligro para nuestra privacidad: el móvil. En una época en que los ciudadanos estábamos cada vez más concienciados del riesgo que corren nuestros datos al navegar desde el ordenador, está claro que con el móvil hemos bajado la guardia.

A Juan Tapiador, profesor de la Universidad Carlos III de Madrid (UC3M), no le cabe la menor duda: «El móvil es el mayor instrumento de espionaje que probablemente hayamos desarrollado nunca. Hablamos de un dispositivo que llevamos 24h al día encima. El móvil es lo último que la mayor parte de la población mira antes de acostarse y lo primero que mira cuando se levanta por la mañana. Lo llevas pegado a ti. Es capaz de tomar fotos, de registrar audio, es capaz de saber cómo te relacionas, con quién, quiénes son tus amigos, lo utilizas para trabajar, ahora también sabe tu pulso sanguíneo, si estás nervioso, si te comunicas con mucha o poca frecuencia, a dónde viajas… Sabe más de nosotros que nosotros mismos».

«El móvil es el mayor instrumento de espionaje que probablemente hayamos desarrollado nunca»

Juan Tapiador, UC3M

En este uso del móvil, por desgracia, se cuelan infinidad de ilegalidades. Solo un dato: en 2018, Symantec bloqueó un promedio de 10.573 aplicaciones móviles maliciosas por día. Además, según un informe de RSA, el 60% de las ciberestafas se producen en el entorno móvil. Y las apps de productividad, juegos y entretenimiento son las más peligrosas:

Hemos hablado de los usos ilegales que hacen algunas apps para vulnerar nuestra privacidad, pero hay algo peor: los usos legales. Jorge Louzao nos recuerda que «la gente no es consciente de que se baja aplicaciones a las que les da permiso de cámara, permisos de grabación de audio, permisos de geolocalización…». Y lo peor de todo no es que demos según qué permisos, sino que esos permisos no sean en absoluto necesarios para lo que hace la app en cuestión: «¿Qué tiene que ver un programa de edición de fotos con mi lista de amigos? ¿Por qué la aplicación de cita médica me pide acceso a mi micrófono?», se pregunta Svetlana Miroshnichenko.

Grabar los aplausos de tus vecinos o a los DJ’s de balcón es una pésima idea: cualquier podría localizar tu casa fácilmente

Pongamos un ejemplo concreto: ¿te acuerdas cuando en el confinamiento veías a gente en redes sociales grabando los aplausos de sus vecinos o las sesiones de los DJ’s de balcón? Pues Clara García Palacios nos recuerda que esa fue una pésima idea: «A día de hoy es muy fácil subir una foto y que te digan exactamente dónde estás; estamos publicando una cantidad masiva de datos continuamente en redes sociales».

Podríamos poner muchos más ejemplos de aplicaciones a las que das voluntariamente permisos para que cojan tus datos… pero que no lo harías si realmente supieras lo que van a hacer con ellos. El mejor ejemplo es el de FaceApp, la aplicación que en 2019 calculaba cómo serías de mayor y en 2020 cómo serías si tuvieras el sexo contrario.

En 2019 ya se informó de que FaceApp podría ser una estupendísima herramienta que aprovecharía su hype para entrenar algoritmos de reconocimiento facial, entre otras muchísimas cosas, pero nada de eso impidió que en 2020 la gente volviese a bajársela. Y lo peor de todo es que mucha de la gente que se la bajó la segunda vez ya sabía a lo que se estaba exponiendo, pero ¿qué importa tu privacidad cuando puedes jugar con una aplicación?

¿Tenemos la culpa los usuarios? En realidad no

El caso de antes es especialmente paradigmático: si sabemos que un app o red social trafica con nuestros datos, ¿por qué seguimos usándola?

Culpar al usuario es la opción fácil, pero no por ello es la más acertada. Siempre se señala que los usuarios no nos leemos los términos y condiciones de las apps y redes sociales que usamos, pero seamos sinceros, ¿hay alguien que lo haga? ¿Hay alguien capaz? En Visual Capitalist han calculado el número de palabras que tienen los términos y condiciones de Facebook, Instagram, Spotify, Twitter, Apple, Amazon… y el tiempo que se tarda en leerlos. Si eres valiente, pincha en el pie de foto de la imagen de abajo para verla entera.

Pincha aquí para ver la imagen entera.

Volvamos a una pregunta que antes dejamos colgando: si sabemos que una red social nos pide más datos de los que serían aceptables, ¿por qué la seguimos usando? «Yo no me puedo salir de Facebook si toda mi familia está en Facebook o si tengo una abuela que solo está en Facebook», nos cuenta Marilín Gonzalo. «Los usuarios somos conscientes de lo que pasa con nuestros datos, pero el problema es tan gordo, está tan poco en nuestras manos salirnos del sistema…».

Yoya Silva también defiende a los usuarios, ya que, para ella, «la gente no está concienciada… y no debería estarlo. Cuando alguien se va a comprar una lavadora no mira que cumpla todos los requisitos de seguridad. Debería ser algo normativo: no puedes vender aplicaciones, no puedes vender terminales, no puedes vender dispositivos si no cumplen unas determinadas condiciones de seguridad».

«Si no te importa la privacidad porque no tienes nada que ocultar… es como si no te interesa la libertad de expresión porque no tienes nada que decir»

Román Ramírez también invierte la carga de la culpa: «Cuando vas a la cocina, coges un vaso, abres el grifo y bebes agua, ¿alguien te ha dicho que pongas un antivirus que detecte bacterias en el caño del grifo y que te asegures de conocer bien cómo funciona la infraestructura distribución de agua? ¿Y que llames al tío de aguas de Madrid para decirle ‘Oye, dame tu cuenta de correo por si te tengo que reportar una amenaza’? ¿A que no? ¿Y por qué tiene que ser diferente en la informática?».

Echarle la culpa al usuario, por tanto, tiene su parte de razón, pero no parece precisamente justo. Eso sí, los usuarios tampoco debemos permanecer al margen de nuestros derechos. Ya lo dijo Snowden: «Si dices que no te importa la privacidad porque no tienes nada que ocultar… es lo mismo que decir que no te interesa la libertad de expresión porque no tienes nada que decir«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

El día en que España espió a sus rivales políticos: esta es la historia del malware Careto

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Febrero de 2014. Kaspersky anuncia que ha descubierto un malware espía que lleva activo desde 2007 y que ha afectado a más de 1.000 IP’s de 31 países en todo el mundo. La noticia no tendría por qué ser especialmente relevante, ya que el descubrimiento de un nuevo malware (por desgracia) no es algo nuevo, pero en este caso es diferente: ese malware ‘habla’ español. Y todo el mundo apunta hacia España como su principal origen.

Pero, ¿por qué todo el mundo está tan seguro de que este malware ha salido de España? Para saberlo necesitamos conocer a fondo Careto y analizar su forma de actuación y sus víctimas. Esta es la historia del día en que España decidió espiar a 31 países de todo el mundo, según todos los pronósticos.

¿Qué es Careto y cómo actuaba?

En 2013, un año antes de hacer públicas sus revelaciones, Kaspersky detectó un malware que estaba intentando explotar antiguas vulnerabilidades de productos suyos para no ser descubierto. Durante un tiempo, de hecho, parece que lo consiguió: según sus investigaciones, llevaba activo desde 2007. Le pusieron de nombre Careto, ya que era la palabra que se repetía varias veces en algunos de sus módulos.

Careto llegaba a través de phishing, haciendo que sus víctimas pinchasen en un enlace que les hacía pasar por webs con exploits para infectar sus equipos. Una vez producida la infección, Careto interceptaba los canales de comunicación del equipo y recopilaba toda la información que podía.

Además, su ámbito de actuación a nivel tecnológico era más que amplio: los ingenieros de Kaspersky detectaron su presencia en Windows y en MacOS, y también encontraron posibles restos en sistemas operativos iOS y Android, con lo que la infección podía producirse tanto en un ordenador como en un móvil o un tablet. En el capítulo 8 de El Enemigo Anónimo ya tratamos la existencia de Careto:

¿A quién espió?

Los investigadores detectaron la presencia de Careto en más de 1.000 IP’s de 31 países, pero aseguraron que, dada la naturaleza de su actuación, es probable que hubiese muchas más víctimas. Dichas víctimas fueron de distintos tipos:

  • Instituciones gubernamentales
  • Oficinas diplomáticas y embajadas
  • Empresas de energía, petróleo y gas
  • Instituciones de investigación
  • Fondos de inversión privados
  • Activistas

Si segmentamos por países, Marruecos es el más afectado, con 383 víctimas, seguido de Brasil (173), Reino Unido (109), España (61), Francia (59), Suiza (33), Libia (26), Estados Unidos (22), Irán (14), Venezuela (10) y así hasta llegar a un total de 31 países repartidos por todo el mundo, entre los que hay sorpresas como la presencia de Gibraltar. En el siguiente mapa puedes ver el reparto de países afectados y sus víctimas.

¿Qué consiguió robar?

Según los investigadores de Kaspersky, Careto recopilaba una gran lista de documentos, incluidas claves de cifrado, configuraciones de VPN, claves SSH y archivos RDP. También había varias extensiones desconocidas que podrían estar relacionadas con herramientas de cifrado a nivel militar y/o gubernamental. La lista completa de extensiones conocidas es la siguiente:.

*AKF, *. ASC, *. AXX, *. CFD, *. CFE, *. CRT, *. DOC, *. DOCX, *. EML, *. ENC, *. GMG, *. GPG, *. HSE, *. KEY, *.M15, *. M2F, *. M2O, *. M2R, *. MLS, *. OCFS, *. OCU, *. ODS, *. ODT, *. OVPN, *. P7C, * .P7M, *. P7Z, *. PAB, *. PDF, *.PGP, *. PKR, *. PPK, *. PSW, *. PXL, *. RDP, *. RTF, *. SDC, *. SDW, *. SKR, *. SSH, *. SXC, *. SXW, *. VSD, *.WAB, *. WPD, *. WPS, *. WRD, *. XLS, *. XLSX

«Careto graba conversaciones de Skype, ve todo lo que tecleas, saca pantallazos, roba archivos… todo un arsenal para espiar»

Además, un analista de Kaspersky aseguró a eldiario.es que «el malware permite grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa en tu equipo… En fin, todo un arsenal para espiar«.

¿Por qué se le atribuye a España?

Como casi siempre pasa, la atribución de Careto resulta complicada, pero son muchos los analistas que en su momento –y aún a día de hoy– aseguran que Careto procede de España. Y no de un grupo de cibercriminales, sino directamente del gobierno español. ¿Por qué están tan seguros? Veamos los indicios que hay:

1.- IDIOMA

En los análisis internos de Careto se han descubierto líneas de código escritas en español. Esto por sí solo no tendría por qué ser incriminatorio, ya que hay muchos países en los que se habla español y, además, la presencia de este idioma podría haberse puesto como una pista falsa.

«No debemos excluir falsa bandera, pero mientras la mayoría de ataques usan idiomas como el chino o el inglés, lo cierto es que el alemán, el francés o el español aparecen muy raramente»

Sin embargo, Kaspersky aseguró en su momento que «no debemos excluir la posibilidad de una operación de falsa bandera, donde los atacantes escribieron intencionalmente palabras en español para confundir», pero «mientras la mayoría de los ataques conocidos hoy en día usan idiomas como el chino o el inglés», lo cierto es que «el alemán, el francés o el español aparecen muy raramente en ataques APT«.

Hay otro detalle curioso: Careto simulaba llevar a sus víctimas a periódicos online de diversa índole, pero predominan los españoles. Estos son algunos de los subdominios que usó:

2.- ATAQUE DE UN ESTADO

Podríamos pensar que, aunque Careto proceda de España, su origen puede estar en un grupo cibercriminal. Sin embargo, los analistas de Kaspersky aseguran que este malware tiene «un altísimo grado de profesionalidad, incluido el monitoreo de su infraestructura, evitar miradas curiosas mediante reglas de acceso, usar el borrado de archivos de registros, etc».

«Este nivel de seguridad operativa no es normal en grupos de ciberdelincuentes. Esto nos hace creer que puede ser una campaña patrocinada por un estado»

Este nivel de seguridad operativa, en su opinión, «no es normal en los grupos de ciberdelincuentes. Este y otros factores nos hacen creer que esta podría ser una campaña patrocinada por un estado«.

3.- GEOGRAFÍA

Cuando analizamos el reparto geográfico de las víctimas de Careto vemos cuatro zonas especialmente relevantes:

  • Norte de África
  • Latinoamérica
  • Europa
  • Gibraltar

Te dejamos de nuevo el mapa de víctimas para que puedas analizarlo pormenorizadamente. ¿Qué gobierno puede estar interesado en espiar a zonas geográficas tan dispares como el norte de África, Latinoamérica, Europa y, sobre todo, un territorio tan particular como Gibraltar?

Para Txarlie Axebra, «a día de hoy es bastante evidente que Careto fue desarrollado por el gobierno español y, sin embargo, no ha existido ningún tipo de investigación sobre quién financió y cómo se llevó a cabo un sistema de infección para robar credenciales supuestamente a aliados del propio Estado español».

En su opinión, este tipo de circunstancias son muy representativas de hasta qué punto la ciberguerra llega a todos los países: «Hace 20 años hubiera sido impensable que el Gobierno español montara un espía en cada embajada o en cada empresa competidora de sus grandes empresas, pero a día de hoy con la tecnología es posible y, por tanto, todos lo están haciendo».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Los villanos de la ciberguerra: estos son los países que más atacan (y los mercenarios que les hacen el trabajo sucio)

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Una mañana cualquiera, en una cumbre internacional, los presidentes del Gobierno de dos países distintos se dan la mano y charlan efusivamente. La situación no sorprende a nadie, ya que son dos países aliados y han colaborado infinidad de veces. Lo que quizá sorprenda más es que esa misma tarde, apenas unas horas después, se haga público que uno de esos dos países lleva meses ciberatacando al otro para espiar sus comunicaciones, acceder a sus secretos estratégicos y perjudicar a sus empresas.

Esta situación, aunque nos la acabemos de inventar, no tiene nada de irreal. En realidad sucede a diario. Es lo que tiene la ciberguerra: que ya no sabes si tus aliados en el mundo offline pueden ser tus enemigos en el online. Y, como hemos podido ver esta semana en el capítulo 8 de El Enemigo Anónimo, todos los países son atacados… y todos atacan. No hay más que ver cómo los ciberataques geopolíticos entre países no paran de crecer cada año.

Estos son los villanos de la ciberguerra

La semana pasada hablábamos de los países más perjudicados por la ciberguerra, pero ¿y los más beneficiados? Si vivimos en ciberguerra, ¿quiénes son los mayores cibervillanos? Para Yolanda Quintana, «en este top estarían Estados Unidos, Rusia, China, Corea e Irán: son los países que controlan un mayor número de tecnologías para una parte esencial de la ciberguerra, que es la guerra de la información, y también tienen a los mayores expertos».

El pronóstico de Andrea G. Rodríguez es similar: «Los que suelen estar siempre en el grupo son China y Rusia, pero también podríamos incluir a Estados Unidos, Israel o Corea del Norte. Son países que han demostrado tener grupos de personal capaz de desarrollar operaciones de penetración en muy pocos segundos. Con cifras tan locas como, por ejemplo, los rusos, que pueden hacerlo en 20-25 segundos«.

Las elecciones de nuestros entrevistados no difieren demasiado de las apuestas generales. Privacy Affairs se hace eco de los ataques geopolíticos más frecuentes en los últimos años y, como vemos, en los primeros puestos aparecen los sospechosos habituales:

Si obviamos a los países atacados y nos centramos en los atacantes, de nuevo, China, Rusia y Corea del Norte aparecen a la cabeza del ránking:

¿Podemos tomar estos datos como absolutos e inequívocos? En realidad no, ya que responden a los ciberataques cuyo origen se conoce; los desconocidos, evidentemente, quedan en la sombra y dejan la duda de si hay algún país que debería aparecer más arriba en el ránking y no lo hace porque consigue no ser descubierto (al menos de manera oficial).

En cualquier caso, resulta interesante analizar varios países juntos y ver cómo ha evolucionado el número de ciberataques que se les han atribuido en los últimos años. La siguiente tabla recoge los ataques con origen en China, Rusia, Corea del Norte, Irán y Estados Unidos entre 2008 y 2018:

Pero lo más interesante, sin duda, es ver a dónde dirigen sus ‘armas’ estos atacantes. Como podemos ver en los siguientes gráficos, los conflictos geopolíticos de cada país tienen una relación directa con los destinos de sus ciberataques (una curiosidad: Estados Unidos es el único que se ‘autoataca’):

¿Villanos o héroes? Depende de quién lo mire

Estamos usando el término ‘cibervillanos’ para referirnos a los países qué más ataques ejecutan, pero lo cierto es que en este asunto resulta complejo decidir quiénes son los buenos y quiénes los malos. ¿Por qué? Porque todo depende de nuestras propias afinidades y de la perspectiva política desde la que miremos.

«Entre los cibercriminales más buscados del FBI hay generales condecorados del ejército chino. Para los chinos, ¿son delincuentes? No, allí son héroes nacionales»

Daniel J. Ollero (El Mundo)

«Si tú te vas a la lista de los cibercriminales más buscados del FBI», nos cuenta Daniel J. Ollero, «ahí te encuentras a señores con uniforme militar que son generales condecorados del ejército chino. Esa gente tiene unos cartelitos muy parecidos a los que hemos visto en las películas del lejano oeste, del ‘Wanted’, ‘Se ofrece una recompensa’, se dice quiénes son, y es gente a la que le caerían condenas de muchísimos años de cárcel. Pero, para los chinos, ¿un general condecorado es un villano? ¿Es un delincuente? No, allí son héroes nacionales«.

«¿Quién es el bueno y quién es el malo?», se pregunta Luis Fernández. «Quienes aún tenemos memoria nos acordamos de que Obama espiaba a Angela Merkel, por ejemplo. Entonces, ¿cuáles son mis amigos o mis compañeros de viaje? Todo depende de los intereses».

Y es que, como reconoce Marilín Gonzalo, «nos gustaría encontrar un gran cibervillano para ponernos todos en contra de él y decir ‘Esto es blanco, esto es negro, estos son buenos, estos son malos’, pero no es tan fácil».

El atacante oculto: mercenarios que se venden al mejor postor

Pero cuando un país es ciberatacado, no necesariamente recibe el ataque de otro país. O mejor dicho: recibe un ataque ordenado por otro país, pero quienes lo ejecutan son otros: los llamados cibermercenarios.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea», nos cuenta José Manuel Ávalos, que reconoce que «los gobiernos están detrás de estos grupos para realizar distintos ataques». Y es que «en el momento en que entras en estos conflictos no convencionales tienes actores no convencionales detrás. Muchos países necesitan hacer acciones que no pueden asumir como propias de su Estado y recurren a estas organizaciones o empresas que hacen este tipo de actividades sin usar su nombre», añade Txarlie Axebra.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea»

José Manuel Ávalos (Telefónica)

¿Y quiénes son estos grupos de cibermercenarios al servicio del primer gobierno que pase por delante y les pague una cantidad millonaria de dinero? El CCN-CERT recurre a un listado internacional para nombrar a los más activos de este 2020:

Y es que los actores de ataque, en definitiva, pueden ser variados. Pueden ser gobiernos que den más o menos la cara o, en algunos casos, son los grupos de cibermercenarios los que se venden al mejor postor. El objetivo, en cualquier caso, siempre es el mismo: atacar geopolíticamente a los países rivales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

España está en ciberguerra: quién nos ataca, por qué y qué métodos utiliza

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El 7 de marzo de 2011, el español David López Paz se plantó en la RootedCON con un hallazgo impresionante: había encontrado un afuste de misiles, lo había hackeado y había podido cambiar las coordenadas a las que se disparaba esos misiles. (Si quieres más detalles, mírate esta slide, especialmente la diapositiva 42.)

Para lograr esto, López Paz se tiró una cantidad de tiempo indeterminada escaneando servidores vulnerables en todo internet. Su investigación demostró que, en el desarrollo de la ciberguerra, el hacking puede servir para hacerte con las armas de tu enemigo sin haberte gastado ni el 1% de su dinero. Y todos los países del mundo son vulnerables a este tipo de prácticas. España, por supuesto, también.

Los ataques se duplican en apenas tres años

Nuestro país no es ajeno a la ciberguerra que hay en todo el mundo. En el informe Ciberamenazas y tendencias 2020, elaborado por el CCN-CERT, queda constancia de cómo los ataques críticos a España han ido creciendo de manera exponencial en los últimos años:

Dentro de esos ataques, además, observamos un aumento en su gravedad: los ataques críticos, muy altos y altos crecen, mientras que los medios y bajos van perdiendo protagonismo:

¿Quién nos ataca? Estados y cibermercenarios

¿Quién puede querer ciberatacar a un país como España? El CCN-CERT identifica hasta cinco tipo de perfiles interesados en ejecutar ataques geopolíticos hacia nuestro país:

LOS QUE ATACAN A ESPAÑA
1.- Estados y cibermercenarios. Los más peligrosos. Suyos son los ataques de mayor gravedad y riesgo, acudiendo tanto al ciberespionaje como a las acciones híbridas, la interrupción de servicios e incluso la manipulación de sistemas.
2.- Ciberdelincuentes. Similar al grupo anterior, aunque sin motivaciones necesariamente geopolíticas. Eso sí, su marco de actuación y delitos, aunque ligeramente menos grave, es mucho más numeroso.
3.- Ciberterroristas. Por suerte, según el CCN-CERT, todavía no representan un altísimo peligro, limitando sus acciones al sabotaje.
4.- Hacktivistas. Más peligrosos que los ciberterroristas, ya que también recurren a la interrupción de servicios, a la manipulación y al robo de información.
5.- Insiders (personal interno). Sin intenciones necesariamente malas, sus errores conllevan, sobre todo, la interrupción de servicios y el robo de información.

Conviene detenernos en un tipo de atacante concreto: los grupos de ciberdelincuentes generalmente asociados a otros estados. El CCN-CERT identifica en su informe a los siete más activos durante 2019 a la hora de atacar a España:

¿Qué formas de ataque utilizan?

A la hora de atacar, el informe habla de varios métodos:

  • Ransomware
  • Botnets
  • Código dañino
  • Ataques a sistemas de acceso remoto
  • Ataques web
  • Ingeniería social
  • Ataques contra la cadena de suministro
  • Ataques contra sistemas ciberfísicos

De todos ellos, las intrusiones de malware y el código dañino suelen estar a la cabeza:

Sin embargo, fijémonos especialmente en una tendencia al alza: las redes de bots. Según el estudio Botnet Threat Report, de Spamhaus Malware Labs, este método de ataque creció un 71,5% en 2019. El listado de las familias de botnets más activas en todo el mundo dan buena cuenta de este crecimiento:

Lo que se avecina: ataques a farmacéuticas, laboratorios, dispositivos…

En el informe del CCN-CERT también encontramos algunas de las tendencias que el organismo ve de cara al futuro inmediato de 2020. En dichas previsiones apunta a las farmacéuticas y los laboratorios de investigación como las mayores víctimas de los ciberataques geopolíticos que va a sufrir España. Tampoco hay que olvidarse de las intrusiones en redes domésticas, dispositivos conectados o herramientas de teletrabajo.

Fuente: CCN-CERT.

El panorama, por tanto, parece claro. Ningún país del mundo escapa a la ciberguerra sucia que se está librando entre los estados, y España no es ninguna excepción. Los datos demuestran la existencia de ciberataques geopolíticos hacia nuestro país. Dentro de unos años veremos si estábamos realmente preparados para ellos… o si habrá llegado la hora de lamentarse.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

La ciberguerra, en cifras: ciberataques, países más atacados y hacking psicológico

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El debate sobre la existencia (o no) de una ciberguerra es una constante en los últimos años, pero, a tenor de los datos, la ciberguerra es real. Como poco, vivimos en una ciberguerra fría, y ese es el tema que nos hemos propuesto analizar en el capítulo 7 de El Enemigo Anónimo, en el que abordamos cómo de cerca estamos de una Tercera Guerra Mundial, quiénes son los países más atacados, quiénes los más atacantes y cómo se producen estos ataques. Y nos ha quedado una cosa clara: la ciberguerra está cambiando las relaciones de poder. Cualquier país, independientemente del dinero que tenga, puede hacer daño a otro. Mucho daño.

Y es que, aunque «el concepto de guerra que tenemos es un concepto físico», nos cuenta Ofelia Tejerina, «ha ido transformándose poco a poco con el tiempo, después de la Segunda Guerra Mundial, pero ahora la guerra está en la red». De hecho, incide Andrea G. Rodríguez, «desde que el mundo digital entró a formar parte de las agencias de inteligencia y de los ejércitos, podemos hablar de ciberguerra», ya que «se utilizan armas cibernéticas o software maligno para conseguir unos objetivos finales que están dentro de unas estrategias de los países».

Así crecen la ciberguerra y los países más atacados

Al hablar de la evolución de la ciberguerra podemos acudir a varios datos. Varios de los más interesantes los ha recopilado Privacy Affairs, que da buena cuenta de cómo los ciberataques geopolíticos han ido creciendo en la última década. Como muestra un botón: entre 2009 y 2019 han crecido nada menos que un 440%.

Al hablar de las víctimas –al menos de las oficiales y reconocidas– tenemos un claro ‘ganador’: Estados Unidos, que se sitúa muy por delante de los países que le suceden en el ránking: Alemania, Corea del Sur, Reino Unido e India.

Merece la pena detenerse en Estados Unidos. ¿Quién está tan interesado en ciberatacar geopolíticamente al país? Proceden de los habituales países sospechosos: Rusia y China están muy por delante del resto.

La gran ventaja de la ciberguerra: no responder ante tus ciudadanos

En este capítulo de El Enemigo Anónimo cabe detenerse en una de las reflexiones de Txarlie Axebra sobre una de las mayores motivaciones que tiene la ciberguerra: «Los estados son mucho menos auditables por la ciudadanía. Mientras una decisión de invadir un país es algo que tiene que pasar por un Congreso, hacer un ataque como Stuxnet, que paraliza la actividad del programa nuclear de Irán de una forma en la que nunca se hace público quiénes son los estados que han participado, permite que esos gobiernos no tengan que hacer una rendición de cuentas ante sus ciudadanos sobre qué tipo operaciones hacen».

«La decisión de invadir un país es algo que tiene que pasar por un Congreso, pero hacer un ataque como Stuxnet, donde no se sabe quién está detrás, permite que los gobiernos no tengan que rendir cuentas a sus ciudadanos»

Txarlie Axebra

En su opinión, esto «es un problema; como ciudadanía debería preocuparnos que los estados opten por mecanismos que no permitan rendición de cuentas sobre sus acciones». Y es que, como recuerda Jorge Louzao, la ciberguerra «es algo que no vemos, no es como una guerra tradicional donde ves tanques, helicópteros y gente muriendo por las calles, pero tienes a un montón de países atacando a otros».

La ciberguerra lowcost: del SMS al hacking psicológico

A menudo se suele decir que la Tercera Guerra Mundial será online, una frase que alguno tachan de catastrofista. Sin embargo, hay un factor que juega en favor de esta teoría: ya no hace falta tener presupuestos multimillonarios para participar en una guerra, algo que podría verse tanto desde el punto de vista negativo como desde el positivo:

  • El negativo: cualquier país, por pequeño que sea, te puede atacar.
  • El positivo: si los países grandes siempre han aprovechado su poder para atacar a los pequeños, ¿no es justo poder equilibrar un poco la balanza?

Sea como fuere, lo cierto es que la ciberguerra lowcost se ha convertido en la mejor arma para los países con menos recursos. En 2014, Juan Antonio Calles (Zerolynx) y Pablo González (EleventPaths) acercaron este concepto aludiendo a ciberataques de denegación de servicio en países como Georgia y Azerbaiyán. Puedes ver la charla aquí debajo:

Además, ambos compartían algunas ideas sobre cómo los estados con poco dinero podían usar los recursos cibernéticos de sus propios ciudadanos para atacar a otros países. «Si conseguimos que toda nuestra ciudadanía nos apoye cediendo su capacidad de cómputo de sus ordenadores, móviles y sus conexiones de internet, tendremos la mayor ciberarma que pueda tener un país», nos cuenta Calles. Esto «posibilita que casi cualquier estado tenga capacidad de ataque: simplemente debe tener hackers con conocimientos adecuados y que pongan sus conocimientos para ayudar a su país».

«Si toda nuestra ciudadanía nos da la capacidad de cómputo de sus ordenadores y móviles, tendremos la mayor ciberarma que puede tener un país»

Juan Antonio Calles, Zerolynx

Pero no es la única forma de atacar a un enemigo con un escasísimo presupuesto. En nuestra charla con Borja Pérez (Stormshield) pudimos conocer otros ejemplos de ciberguerra lowcost que Ángel Gómez de Ágreda relata en su libro Mundo Orwell: Manual de supervivencia para un mundo hiperconectado.

Técnicas de hacking psicológico con un simple SMS:

  1. El SMS desmotivador. «Mandar SMS a los teléfonos que están en la zona, muchos de ellos de combatientes, con mensajes como ‘Soldado ucraniano: Oriente te considera un traidor, Occidente no se va a acordar de ti'».
  2. El SMS fraudulento. «Enviar un SMS a los combatientes diciéndole que se les ha hecho un cargo en su cuenta de una cantidad grande de dinero».
  3. El SMS desestabilizador. «Mandar mensajes a los familiares de los combatientes diciendo que su familiar ha caído en combate… y justo después iniciar un bombardeo».

Borja Pérez lo tiene claro: «En una situación de estrés, por el propio combate, te están haciendo pensar otro tipo de cosas que te incomodan y no puedes resolver. Esto es el hacking psicológico«. Y todo por una ínfima cantidad de dinero.

«NO SE LE PUEDE LLAMAR ‘CIBERGUERRA’ A ESTO Y ‘OPERACIÓN ANTITERRORISTA’ A LO QUE PASÓ EN DOMBÁS»
Daniel J. Ollero se muestra receloso en cuanto al término ‘ciberguerra’: «Llamamos guerras a cosas que no son guerras; y a cosas que son guerras como lo que está sucediendo en Afganistán, donde mueren 40.000 personas al año, ¿no se le llama guerra? O lo que sucedió hace unos años en Dombás, en el este de Ucrania: desplazamiento de tropas, bombardeos, muertos, heridos, desplazados, gente traumatizada, estrés postraumático… A eso no se le llama guerra, se le llama ‘operación antiterrorista’«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

Así se puede hackear el sistema eléctrico español y otras infraestructuras críticas

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

Jueves, 5 de marzo de 2020. 19 horas. Al escenario de la RootedCON se sube Gonzalo J. Carracedo, consultor de ciberseguridad de la empresa española Tarlogic. Tiene un bombazo que dar: tras una larga investigación, su empresa ha descubierto que más de 13 millones de contadores de luz inteligentes que hay en España tienen una grave vulnerabilidad que puede dejar un barrio entero totalmente a oscuras. Y en apenas unos minutos.

¿Cómo podía ser esto? Investigando, Carracedo y su equipo se dieron cuenta de que cerca de la mitad de los contadores inteligentes que hay en España tenían un sistema de acceso al control con contraseñas genéricas y fácilmente descifrables. Además, los cables eléctricos estaban transmitiendo una información que no estaba cifrada al 100%.

Imagen de los contadores conectados al concentrador de Tarlogic.

Partiendo de esta información, Tarlogic diseñó un pequeño laboratorio en un entorno seguro y se propuso provocar cortes en varios contadores de este tipo mediante una táctica ensayada: en primer lugar, romper las contraseñas y acceder al control de los dispositivos; en segundo, hacer que el suministro se apagase y encendiese sin parar hasta que se produjese un corte espontáneo. Javier Rodríguez, miembro también de la empresa, nos explica el funcionamiento con una comparación sencilla: «Cuando apagas y enciendes muchas veces una bombilla, puede llegar a fundirse. Pues aquí sucede lo mismo: forzamos la infraestructura de la red eléctrica para provocar el corte». Dicho y hecho: en este vídeo puedes ver el experimento a pequeña escala:

«Puedes dejar sin luz a un barrio entero«, nos reconoce Javier Rodríguez en el capítulo 6 de El Enemigo Anónimo. De hecho, la empresa se encargó de notificar esta brecha de seguridad a las energéticas españolas aludidas. Si quieres ver la charla entera de Carracedo, la tienes aquí abajo.

Carracedo no es el primer español que consigue vulnerar la seguridad informática del sistema eléctrico español. Nueve años antes, en marzo de 2011, Rubén Santamarta se propuso echar abajo el sistema eléctrico español mediante otra táctica: acceder a los Controladores Lógicos Programables que dirigen el sistema de la red eléctrica española y cambiar sus parámetros de actuación. Hacía cambios pequeños e intercalados en el tiempo para que no se notasen diferencias bruscas, pero poco a poco, sin que nadie se diese cuenta, iba debilitando el suministro hasta hacerse con el control total. Si quieres, puedes ver su charla aquí.

Sí, en España ha habido ataques a infraestructuras críticas

Los que acabamos de contar son dos ejemplos realizados por expertos que no pretenden tirar abajo nuestro sistema eléctrico, sino mostrar sus debilidades para que sean corregidas. Pero, ¿ha pasado alguna vez lo mismo… con intenciones maliciosas? ¿Ha perpetrado alguien ataques contra infraestructuras críticas españolas… y lo ha conseguido? Lo cierto es que sí.

Al menos así lo asegura Román Ramírez: «En España ha habido intentos de ataques a infraestructuras críticas, y en algunos casos ha habido ataques exitosos. Esto no se comenta en abierto ni se pueden identificar los casos porque te metes en un problema muy gordo pero haberlos los ha habido. Yo he visto en directo cómo se entra a una infraestructura crítica donde puedes hacer determinadas cosas».

Esta teoría la confirma el periodista Manuel Ángel Méndez, de El Confidencial, que asegura que, «fuentes del CNI reconocieron que había habido intentos de penetración de la red eléctrica en España. No es una cuestión de si va a ocurrir, es una cuestión de que ya ha ocurrido, está ocurriendo y va a ocurrir más».

Estos hechos no son precisamente desconocidos para el Gobierno español. El 7 de enero de 2019, el Ministerio del Interior adjudicó a Eulen un contrato de 318.991 euros para reforzar el cuidado de las infraestructuras críticas españolas, ya que, como reconocía el propio Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), «el crecimiento de incidentes de ciberseguridad con impacto en los operadores críticos y los servicios esenciales (…) requiere de una potenciación y continuidad que permita operar las 24 horas del día, los 7 días de la semana y los 365 días del año». Este tipo de labores «no puede prestarse directamente por el CNPIC ni por las Direcciones Generales de la Policía y Guardia Civil, al carecer de las capacidades descritas para el tratamiento y la gestión de la ciberseguridad».

España, preocupada por posibles ciberataques

España, al igual que la mayoría de países de todo el mundo, tiene motivos de sobra para preocuparse por la seguridad de infraestructuras críticas que gestionan suministros como el de la luz o el del agua. En nuestro país, de hecho, incluso tenemos cifras que avalan dichos motivos.

Según el Informe de Seguridad Nacional, España sufrió 89 incidentes efectivos (es decir, que realmente comprometieron la seguridad física en los sectores estratégicos) en 2019, frente a los 22 registrados en 2018 y los 54 del año 2017.

Mirando una perspectiva mucho más amplia, el Estudio sobre la Cibercriminalidad en España, editado por el Incibe, muestra unos datos mucho más peligrosos, con miles de ciberataques dirigidos hacia nuestras infraestructuras críticas.

A nivel gubernamental, los posibles ataques a infraestructuras críticas preocupan y mucho. De hecho, la Estrategia de Seguridad Nacional, elaborada en 2017, ya reconocía este tipo de operaciones como una de las que más puede comprometer la seguridad de nuestro país.

Fuente: Estrategia de Seguridad Nacional (2017).

El tema, evidentemente, también preocupa a las diversas empresas. El Cybersecurity Snapshot Global, realizado por Isaca, preguntó a diversos profesionales de infraestructuras críticas qué posibilidades creían que tenía España de sufrir un incidente en el año siguiente. Los datos hablan por sí solo: apenas el 15% aseguró que dicha posibilidad era baja.

Lo que inquieta a todos los países del mundo

Como decíamos, España es un país con motivos para preocuparse, pero no es la excepción, ni mucho menos, sino más bien la regla. «En el mundo cíber hay dos cosas que se temen más que nada: un ’11 de septiembre cibernético’ y un ‘cíber Pearl Harbor’, nos cuenta Andrea G. Rodríguez. «Imaginaos hasta qué punto son vulnerables y débiles».

El miedo a nivel mundial también viene respaldado por las cifras. El Global Risk Report 2020 del Foro Económico Mundial revela que el 76,1% de las empresas cree que el riesgo de ataques contra este tipo de entornos aumentará en 2020, situándose por delante incluso de los ataques que buscan robar dinero o datos.

¿Y cuáles son los sectores de actividad más afectados por posibles ciberataques a infraestructuras críticas? Un informe de la OECD y otro de Hornet Security dan diversos ránkings, aunque tampoco son muy diferentes entre ellos. Ambos sitúan a la cabeza de estos peligros al sector energético.

Para Ofelia Tejerina, «la guerra está en la red. Y no es una guerra global declarada, pero se están librando batallas muy potentes y hay riesgos muy graves con infraestructuras críticas». A este tipo de infraestructuras Andrea G. Rodríguez les añade otro problema: «Muchas están interconectadas, con lo que un ciberataque a una se puede llegar a propagar a otras«. La OECD avala esta información: el 36% de las infraestructuras de sus países son interdependientes de otras, un porcentaje lo suficientemente significativo como para tenerlo en cuenta.

Con todo ello, el resultado es que la seguridad informática de las infraestructuras críticas es un gran foco de criminalidad, pero también de negocio, con un mercado que no para de crecer.

Fuente: MarketsAndMarkets.

La joya de la corona: atacar a EEUU

Si hay un país especialmente colocado en el centro de la diana, ese quizá sea Estados Unidos. No solo por las amenazas ajenas, sino también por la propia sensación interna. Una sensación, no nos vamos a engañar, provocada también por la incesante participación de su gobierno en distintos ataques (su papel esencial en Stuxnet parece fuera de toda duda).

Sea como fuere, en diciembre del año pasado, el President’s National Infrastructure Advisory Council (NIAC), formado por altos ejecutivos de grandes empresas y organismos públicos, instó al presidente Trump a mejorar su estrategia «para prevenir las terribles consecuencias de un ciberataque catastrófico en las infraestructuras energéticas, de comunicaciones y financieras», ya que «las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar contra los estados nacionales que intentan interrumpir o destruir nuestra infraestructura crítica».

«Las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar»

La preocupación es tal que, desde 1970, el Gobierno incluye en un completo estudio la totalidad de ataques que han sufrido sus infraestructuras críticas, así como su letalidad.

Fuente: Gobierno de Estados Unidos.

Entre los sectores más afectados, los habituales: los servicios de salud pública y los financieros son los que han sufrido más ataques en sus infraestructuras.

Ataques: «Los ha habido, los hay y los habrá»

La protección de las infraestructuras críticas no es sencilla, ya que, como asegura Roman Ramírez, «se soporta en instalaciones que a lo mejor tienen un ciclo de vida de 30 años y con dispositivos que estiras hasta los 30-40 años. Y cambiar un cacharro está muy bien, pero cuando has comprado 20 millones de cacharros, los tienes distribuidos por todo el país y encuentras vulnerabilidades, ¿eso quién lo cambia? ¿Los ciudadanos van a querer pagar 30 euros más en la factura eléctrica para que las empresas los reemplacen?».

¿Hay alguna noticia positiva en este sentido? Sí. Daniel Creus, analista de malware de Kaspersky, recuerda que «hemos conseguido tener cada vez más conocimiento sobre los adversarios, y eso significa que no solamente podemos saber los procedimientos que utilizan para atacar, sino que además podemos intuir si somos objetivos o no en función de movimientos geopolíticos o puros intereses estratégicos».

«No hay que negar la evidencia: tenemos una situación de riesgo. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático»

Román Ramírez (RootedCON)

En cualquier caso, «es importante seguir avanzando en ciberseguridad de infraestructuras críticas para estar siempre a la última vanguardia y que no nos pille desprevenidos», nos cuenta David Carrero Fernández-Baillo, cofunder y VP Sales de Stackscale. «Es realmente importante que España y Europa hagan un gran esfuerzo en temas de ciberseguridad porque esta es la materia con la que vamos a poder competir mucho más en el mundo».

Ahora bien, Román Ramírez recuerda que «lo que no hay que hacer es negar la evidencia: tenemos una situación de riesgo, que es que las infraestructuras se pueden atacar. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

El email maldito: por qué los empleados somos los mayores aliados del cibercrimen

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Un email puede acabar con todo. Da igual que nuestra empresa se preocupe por la ciberseguridad, da igual que nos haya dado consejos para evitar intrusiones, da igual que se haya gastado un dineral en la tecnología más avanzada… Al final nos llega un email, lo miramos muy por encima, no nos fijamos en los detalles, pinchamos donde no debemos o nos descargamos un fichero adjunto… y ya se ha liado.

La realidad, aunque duela, es evidente: la mayoría de las veces, los empleados somos los mayores aliados del cibercrimen, tal y como hemos comprobado en el capítulo 5 de El Enemigo Anónimo. Casi siempre lo somos de manera involuntaria y otras pocas de manera voluntaria, pero lo cierto es que la mayoría de ciberataques y brechas de seguridad se producen tras un error humano.

Los datos avalan esta realidad. Debajo de estas líneas puedes ver las cifras de tres estudios que lo corroboran: uno es el informe An integrated approach to insider threat protection, de IBM; otro el International Trends in Cybersecurity, de Azure; y el tercero el The Global State of Information Security Survey 2018, de PwC. Ambos sitúan al empleado como la mayor fuente de incidentes de ciberseguridad (PwC mete en la misma categoría a empleados y exempleados).

Sea como fuere, lo cierto es que la forma en que dichos empleados se desenvuelven frente a los posibles ataques preocupa (y mucho) a las empresas. De hecho, según EY, los trabajadores son la mayor vulnerabilidad que puede tener una compañía.

¿Y por qué los empleados iban a ser tan preocupantes? Porque, según el informe de IBM, de los empleados que provocan un ciberataque, el 74,2% lo hace de manera deliberada, siendo totalmente conscientes de ello.

A su vez, IBM establece hasta cuatro tipos de empleados que, voluntaria o involuntariamente, pueden acabar provocando ciberataques (en los nombres otorgados en esta clasificación nos hemos permitido alguna licencia creativa a la hora de traducir):

LOS CUATRO TIPOS DE INSIDERS
1.- El involuntario. No es consciente de lo que está haciendo. Alguien le ha engañado para que se descargue malware o entregue información confidencial. No tiene maldad y es una pura víctima.
2.- El listillo. No tiene intención de perjudicar a la compañía, pero las normas no van con él. Elude los consejos de ciberseguridad porque a él no le van a engañar. Es ese compañero que te dice que no seas pardillo con ese correo de Netflix pero luego chatea en Facebook con una aparente modelo rusa que le pide que encienda la webcam. (Sí, es un poco cuñado.)
3.- El traidor. Sabe de sobra lo que está haciendo y trabaja para el atacante, que puede ser un competidor o cualquier otro agente externo. Ha decidido vender la seguridad informática de su empresa.
4.- El lobo solitario. No ha sido coaccionado ni sobornado por nadie: simplemente ha decidido sacar información. Tiene un cargo privilegiado y está motivado o por pura maldad o por estar en contra de la actividad de su empresa (el mejor ejemplo es Edward Snowden).

¿Qué hacemos mal? De la contraseña regulera a charlar con el enemigo

¿Qué hacemos mal los empleados para dar el pistoletazo de salida (aunque sea de manera involuntaria) de un ciberataque? En realidad nada que no haga casi cualquier usuario normal en su día a día, pero cuando lo hacemos con el correo de la empresa estaremos generando la fórmula para que todo salte por los aires.

«Reutilizamos contraseñas continuamente», nos cuenta Clara García Palacios, de 4IQ, «y seguramente mucha gente esté utilizando su contraseña de cualquier red social en el correo corporativo». Incide en ello Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, quien recuerda que «a todos nos ha pasado que pones una contraseña muy fácil de replicar. Todavía hay gente que deja un ‘psot it’ pegado a su ordenador con el usuario y la password, y te dice ‘Es que si no, me olvido'». Eso es lo que hay que evitar.

Clara García Palacios (4IQ).

Tenemos varios ejemplos de ello. En 2018, una auditoría externa del Gobierno de Australia Occidental reveló que el 26% de los cargos públicos tenía contraseñas débiles o de uso muy común. Entre las más frecuentes, ‘Pasword1234’ (utilizada por 1.464 personas), ‘password1’ o simplemente ‘password’.

No es el único ejemplo. Un informe de Positive Technologies reveló también algunos datos que demuestran que existe un claro problema de formación en ciberseguridad en los empleados, ya que:

  • 1 de cada 3 empleados se arriesga a ejecutar malware en un ordenador de trabajo
  • 1 de cada 7 habla con un impostor y revela información confidencial
  • 1 de cada 10 metió sus credenciales en un formulario de autenticación falso

La joya del crimen: el Fraude del CEO

El phishing es quizá el intento de estafa cibernética más viejo de la historia: ¿quién no se acuerda del príncipe nigeriano heredero de una fortuna o de la millonaria que busca novio con el que disfrutar de su dinero? Sin embargo, aunque este tipo de estafas sigue vigente, hay una especialmente peligrosa en los últimos años: el Fraude del CEO.

Infografía: Europol.

«Hemos tenido muchísimos casos de denuncias y no hemos podido recuperar el dinero, sobre todo en estafas del CEO», nos cuenta Juan Antonio Calles, CEO de Zerolynx, ya que «montan cuentas en paraísos fiscales o en sitios que no colaboran con la justicia». Y lo peor es que la tendencia no hace más que crecer: «Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO», reconoce.

«Montan cuentas en paraísos fiscales. Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO»

Juan Antonio Calles, Zerolynx

Estas estafas son de las que más dinero cuestan a las grandes y no tan grandes empresas. En el gráfico de abajo puedes ver algunos ejemplos, recopilados por knowbe4, de estafas del CEO, el dinero perdido y el recuperado.

Tampoco se queda muy atrás el spoofing, sobre todo por lo sencillo y asumible que es. Según Bromium, por apenas 20 dólares puedes contratar un mes entero de campañas de spoofing por SMS. La facilidad para llegar a este tipo de cibercrimen es tal que, según un estudio de Caida, existen casi 30.000 ciberataques de spoofing al día.

¿Cómo se puede evitar todos estos tipos de casos? Siempre se habla de la concienciación, pero parece un mantra en el que pocos concretan medidas exactas y que, por desgracia rara vez funciona. Y es que «aunque hagas una campaña de concienciación, hay un porcentaje de la población que sigue cayendo«, asegura Daniel González, de Osane Consulting. «Esto es como las estafas de la lotería o del príncipe nigeriano: hay gente que cae y el que cae, cae varias veces, no le vale solo con una».

No, la culpa no es (casi nunca) de los empleados

Llegados a este punto, ¿no estaremos siendo un poco injustos con los empleados? Vale que la mayoría de los ciberataques se desencadena tras el error humano de un empleado, pero ¿acaso es justo ‘culpar’ a alguien que no está especializado en ciberseguridad? Pues quizá no.

Para Yoya Silva, ISO Tower Lead en DXC, «el empleado es el eslabón más débil, pero no debería serlo. Si la empresa está bien protegida, para un ciberatacante debería ser muchísimo más difícil llegar a un empleado cualquiera para poder hacer fraude. Esto debería pararse en alguna capa anterior«.

Yoya Silva (Woman in Cybersecurity Spain, WiCS).

No le falta razón. Si echamos un ojo a los datos veremos que, aunque los empleados podrían ser más cuidadosos, en muchas ocasiones sus empresas no les han ayudado a serlo.

Para empezar, el informe Global Corporate IT Security Risks Survey (ITSRS) de Kaspersky muestra una realidad evidente: el 88% de las compañías españolas afirma haber sufrido algún incidente de seguridad causado por la actuación de sus empleados… pero solamente el 38% ofrecen a su plantilla algún tipo de formación en este ámbito.

El 88% de las empresas españolas ha sufrido ciberincidentes por la actuación de sus empleados… pero solo el 38% les ofrece formación en este ámbito

Y es que muchas empresas son las primeras en culpar a sus empleados de sus ciberataques… a la vez que no protegen su seguridad informática. En 2019, PwC hizo una encuesta a más de 9.500 directivos de empresas de todo el mundo y sacó una peligrosísima conclusión: el 48% de estos ejecutivos reconoció que su empresa no tiene un programa de formación en ciberseguridad para sus empleados.

Por otro lado, otro informe, en este caso elaborado por Azure, muestra otra cifra muy a tener en cuenta: el 57% de las empresas encuestadas están pensándose dar formación a sus empleados, un porcentaje que a todas luces resulta demasiado bajo.

Pero lo grave no acaba ahí. No solo hay un problema de falta de concienciación entre empleados, sino también de reacción ante cualquier incidente: el informe de PwC revela que el 54% de las empresas ni siquiera tiene un proceso de respuesta ante ciberataques.

Y estos son los mimbres con los que los empleados, además de hacer su trabajo diario, deben evitar los ataques que les usan como puerta de entrada. Todo ello en un contexto en el que el 64% de las empresas reconoce haber sufrido un ataque de phishing en el último año y, según Verizon, el 94% del malware enviado en todo el mundo llega a través de correo electrónico.

Pero, ¿cómo puede ser tan efectivo el phishing si las empresas suelen contar con filtros antispam? Comparitech nos da la clave: muchos ciberatacantes consiguen burlar estos filtros. Una de las formas más eficaces de hacerlo es coger la dirección de email de una persona y registrarla en alguna web. Como el correo de confirmación será transaccional no será tratado como spam, así que los ciberdelincuentes incluyen ahí el enlace en el que quieren que pinche la víctima.

¿Es, entonces, simplemente una cuestión de fallos humanos por parte de los empleados? Evidentemente no. Los directivos también fallan y lo hacen en dos direcciones: en primer lugar, no invirtiendo en dar formación en ciberseguridad a sus empleados; y en segundo, asumiendo ellos también riesgos mucho más comprometedores que sus propios subalternos. De hecho, como nos cuenta Daniel Zapico, CISO de Globalia, «los puestos más sensibles de una organización no son los empleados medios, sino precisamente los directivos, ya que los ciberdelincuentes van a por ellos».

«Los puestos más sensibles no son los empleados medios, sino los directivos; los ciberdelincuentes van a por ellos»

Daniel Zapico, CISO de Globalia

Al final, en definitiva, se trata de un problema de muy difícil solución. Y es que, como asegura Zapico, «los ciberdelincuentes saben que el fallo humano existe, es inevitable, y lo que buscan es ese fallo humano. Cuando se insiste de forma masiva en intentar comprometer a través de una persona, antes o después acaba cayendo, es casi inevitable. Al final todas las organizaciones acabamos teniendo algún incidente, en mayor o menor medida, de mayor a menor impacto, con mayor o menor repercusión… pero al final todas tenemos algo. Y los incidentes menores son prácticamente a diario, a todas las organizaciones nos pasa«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

El ciberespionaje en España existe: quién lo hace, quién lo sufre y qué pinta el CNI en todo esto

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Todo empezó hace cerca de dos años. Varias empresas españolas, entre ellas nuestra protagonista (llamémosla Empresa Alpha, por ejemplo) concurren a un concurso público y presentan sus respectivas ofertas. Una vez publicados los resultados, la ganadora (llamémosla Empresa Beta) se ha llevado la victoria por un margen muy pequeño. A Empresa Alpha le resulta una victoria sospechosa, ya que, además, la oferta y el pliego de Empresa Beta se parecen mucho a los suyos. Se hacen la pregunta en voz alta: ¿y si nos han espiado? O peor, ¿y si directamente nos han robado nuestra documentación y la han presentado como suya?

Para responder a la pregunta acudieron a Zerolynx, cuyo CEO, Juan Antonio Calles, nos cuenta lo sucedido en el cuarto episodio de El Enemigo Anónimo, la primera serie documental sobre ciberseguridad hecha en España: «Al hacer la pericia tecnológica vimos que una persona había hecho un envío de una información marcada como confidencial, había una fuga de información, así que evaluamos técnicamente lo sucedido, emitimos el informe y lo presentamos», nos cuenta.

Un tiempo más tarde supieron la verdad: «Se demostró que una persona del área comercial había cedido la oferta que se iba a presentar a una empresa de la competencia a cambio de dinero«. Sorprendente, ¿no? Pues no tanto como parece. Como vamos a ver a continuación, el ciberespionaje entre empresas rivales que compiten por un mismo contrato es muy común. Y no hay que irse muy lejos para comprobarlo: en España hay ejemplos de sobra.

El ciberespionaje industrial, en cifras

Según el Data Breach Investigations Report 2020 elaborado por Verizon, el ciberespionaje industrial no para de aumentar cada año. Y si lo segmentamos por sectores, el manufacturero es el que más sufre este delito, seguido del profesional y –ojo– el público.

¿Y en España? La Memoria de la Fiscalía General del Estado sitúa el ataque contra la propiedad industrial y/o intelectual como el quinto ciberdelito más frecuente en nuestro país, representando un 4,2% del total.

La cifra porcentual puede parecernos baja, pero ¿qué pasa si analizamos la evolución? Que encontramos motivos de sobra para preocuparnos: desde 2015 los ataques contra la propiedad industrial y/o intelectual venían bajando significativamente… hasta el año pasado, en el que hubo 555 casos, multiplicando por más de 10 los del año anterior.

¿Quién espía, a quién y por qué?

¿Qué lleva a una empresa a querer espiar a otra? La respuesta parece evidente: el robo de información para tener una ventaja competitiva. «Siempre que existen datos y competición hay maneras para aprovecharse, generando un informe de inteligencia sobre qué es lo que tienen otros y qué es lo que tú puedes ofrecer», nos cuenta Andrea G. Rodríguez, investigadora del CIDOB. «Y si quieres echarle mala baba y aprovechar lo que tienen los otros, es muy probable que lo intentes robar«.

¿Son casos aislados? En absoluto, en su opinión «es una práctica completamente extendida». Coinciden en ello Javier Rodríguez, de Tarlogic, para quien «el ciberespionaje es público y notorio«, y Yoya Silva, de Woman in Cybersecurity Spain (WiCS), que reconoce que «todos suponemos cosas, pero no hay una confirmación oficial nunca. Si nadie quiere levantar la mano y decir lo que ha ocurrido no nos vamos a enterar del todo».

Andrea G. Rodríguez, investigadora del CIDOB.

Jorge Louzao incluso nos da más detalles: «Entre empresas rivales que compiten por un mismo mercado o por los mismos contratos se da mucho», pero, evidentemente, «no es una cosa que ninguna empresa te vaya a reconocer públicamente».

De hecho, «grandes empresas españolas transnacionales están padeciendo ciberespionaje industrial día a día«, añade Luis Ramírez, editor de la revista SIC. Esto nos lleva a pensar en un grupo de empresas a las que menciona Alfonso Muñoz, de GFI Digital Risk: «El espionaje industrial existe para contratos muy grandes. Las grandes empresas, por ejemplo las del IBEX 35, tienen que proteger bien su propiedad industrial por robo de organizaciones, empresas… y, en algunos casos, gobiernos extranjeros».

Los gobiernos también espían; ¿qué hace el CNI en España?

Un momento, ¿qué es eso que ha dicho Alfonso Muñoz de que los gobiernos extranjeros también espían? Sabemos que muchos gobiernos se espían entre sí (lo veremos en los capítulos 7 y 8 de El Enemigo Anónimo), pero ¿qué es eso de que un gobierno espíe a una empresa?

Pues sí, hay gobiernos que espían a empresas extranjeras: «Si tú tienes una empresa estratégica, llamémosla X, que se dedica a un bien básico que consumimos todos los días y está compitiendo por un contrato en la otra punta del mundo o está compitiendo por comprar una empresa o hacer una OPA hostil, detrás no solamente están esas empresas investigando y tratando de sacar toda la información, también están sus gobiernos«, nos cuenta Jorge Louzao.

«Doy por supuesto que el CNI trabaja en los contratos grandes para defenderlos… pero también para recabar inteligencia con la que ganar a los del otro lado».

Román Ramírez, rootedcon

En estas cosas siempre tendemos a pensar bien de nosotros mismos y mal de los demás, pero Román Ramírez nos tira por tierra esta ingenuidad: «Yo doy por hecho que mi país está lidiando contra otros países para que mis empresas ganen contratos internacionales. Doy por supuesto que el CNI está trabajando en todos los contratos grandes para defenderlos y evitar que te los ‘bicheen’… pero también para recabar inteligencia con la que ganar a los del otro lado. Esto es así y el que crea que no es así…».

¿Es lícito que el gobierno español espíe a empresas extranjeras?

Por muy evidente que resulte el ciberespionaje de grandes gobiernos a empresas extranjeras, no puede dejar de llamarnos la atención. Porque vale que un país como España quiera defender a sus empresas ante ataques extranjeros, pero ¿qué pasa si es la propia España la que se dedica a hacer ciberespionaje a empresas extranjeras para beneficiar a las españolas? ¿Dónde queda la ética en todo este asunto?

Jorge Louzao (@louzaonet).

Román Ramírez se hace la misma pregunta en voz alta: «¿Es lícita la seguridad ofensiva? ¿Es lícito utilizar el ataque como parte de la defensa nacional? Es una pregunta muy complicada», reconoce. «Éticamente está mal: agredir a un ciudadano, a una empresa o a un estado es malo por definición, pero eso forma parte del mundo que yo quiero, no del mundo que tengo. Cualquier país quiere que sus empresas ganen un proyecto y que no lo ganen las del país de enfrente. Y yo, sinceramente, prefiero que se arruine otro país a que se arruine el mío, quiero que haya más puestos de trabajo en el mío y que el que tenga el problema sea otro país, no el mío».

«¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo»

Jorge Louzao (@louzaonet)

Jorge Louzao coincide en este punto, aunque su aceptación de que España pueda espiar a empresas extranjeras quizá sea más resignada: «Desde un punto de vista ético, que un estado esté detrás de este tipo de acciones es francamente reprobable… Pero vámonos al mundo real, vamos a ser pragmáticos, vamos a pensar que esto sucede todos los días, que hay estados más grandes que el nuestro que lo están haciendo y de alguna manera te tienes que defender. ¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo. Tienes que tratar de beneficiar es a tu propio país, a tu gente y es a tus negocios, no a los del contrario».

Las conclusiones de casi todas las personas con las que hemos hablado van en la misma dirección: el ciberespionaje industrial existe, es mucho más frecuente de lo que creemos y a veces incluso viene impulsado por los propios gobiernos internacionales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

El récord más sospechoso del mundo: ¿por qué La Rioja, Ceuta y Melilla no tienen brechas de datos?

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

En lo que llevamos de año, en España ha habido 770 brechas de datos notificadas a la Agencia Española de Protección de Datos (AEPD). ¿Qué comunidades autónomas dirías que son las que más notificaciones han enviado? Los datos de la AEPD nos dejan una estadística previsible: Madrid y Cataluña encabezan el ránking, seguidas de la Comunidad Valenciana y Andalucía.

Lo cierto es que sorprenden para bien los buenos datos de La Rioja (0 brechas), Ceuta (2), Melilla (2) y Cantabria (3), ¿verdad? Está claro que su menor tamaño juega a su favor, pero en cualquier caso es positivo que en sus territorios apenas haya brechas, ¿no?

No tan deprisa. Vamos a echar la vista atrás y a fijarnos en los datos de 2019:

Vaya, pues resulta que las cuatro vuelven a estar a la cola. De hecho, Ceuta y Melilla no tuvieron ni una sola brecha de datos en todo 2019. Es verdaderamente asombroso.

Caray, ya nos ha picado la curiosidad: ¿y en 2018? ¿También tuvieron tan buenas estadísticas? Pues nada, vamos a verlo:

Definitivamente, los datos de Ceuta y Melilla son de absoluto récord, y los de Cantabria y La Rioja no se quedan muy atrás. Estos cuatro territorios cosechan unas cifras buenísimas. De hecho son tan buenas… que no hay quien se las crea.

No notificar brechas de datos no significa que no las haya

¿Por qué estos datos resultan increíbles? Porque que una comunidad autónoma no notifique brechas de datos no significa que no las tenga, sino que no las notifica. Punto. La abogada Icíar López-Vidriero, especialista en protección de datos, mira estas cifras con la misma ironía: «Sorprende, y mucho, que Ceuta y Melilla no ‘tengan’ brechas de datos y que Cantabria y La Rioja ‘tengan’ tan pocas».

¿Y por qué las empresas no notifican las brechas? Es la pregunta que le hemos hecho tanto a López-Vidriero como a Andrés Calvo, este último de la AEPD. Entre los dos nos dibujan las razones más comunes:

1.- Desconocimiento. Algo que a buen seguro pasará en muchas pymes, aunque en las de estas comunidades autónomas ‘sorprende’ especialmente. Para Andrés Calvo las brechas desconocidas «son las más peligrosas, ya que el responsable no será consciente de que está siendo atacado y de que está saliendo información de su organización».

«Las brechas desconocidas son las más peligrosas, ya que el responsable no es consciente de que está saliendo información de su empresa»

Andrés Calvo, agencia española de protección de datos

2.- Asesoría. A veces las brechas no se notifican por una falta de asesoramiento legal, porque las empresas no saben que deben comunicarlas. Aquí López-Vidriero resalta la figura del delegado de protección de datos, que «en su objetividad y en su independencia sí tiene obligación de notificarlo. Por tanto, las empresas que tienen un delegado de protección de datos sí deben llevar a cabo el protocolo».

3.- Nula voluntad. Abordemos el tema de una vez: si algunas empresas no notifican sus brechas de seguridad es, simple y llanamente, porque no quieren hacerlo. Aquí Calvo recuerda que «el Reglamento General de Protección de Datos obliga a los responsables a notificar una brecha cuando consideran que puede afectar a sus derechos y libertades».

La situación pinta complicada. Como ya vimos en el pasado reportaje, las pymes españolas son las grandes perdedores de la batalla por mantener a salvo su ciberseguridad, aunque tampoco ayuda la poca transparencia de algunas, que prefieren dejar la suciedad bajo la alfombra. Y entre unas y otras, la casa sin barrer.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

¿Cómo se caza a un cibercriminal? Así luchan las empresas españolas por proteger su ciberseguridad

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Hace poco tiempo, una empresa española estaba sufriendo una de sus mayores crisis. ¿La razón? Su sistema informático no hacía más que fallar: lo hacía constantemente, cada 3-4 horas, paralizando toda su actividad y afectando seriamente a su negocio, que empezaba a sufrir graves pérdidas económicas. Y por más que miraban, nadie daba con el problema: todo estaba bien, pero el sistema, inexplicablemente, fallaba cada dos por tres.

Pasado un tiempo, cuando la situación ya era casi insostenible para su negocio, llegaron a pensar que estaban sufriendo algún tipo de ciberataque, pero no encontraban nada, así que la empresa decidió acudir a la Guardia Civil. Allí le contaron lo sucedido al equipo de César Lorenzana, que recuerda lo que se encontró al principio: «Cada cada tres, cuatro o cinco horas el sistema se venía abajo, lo restauraban, volvía a funcionar… y a las pocas horas volvía a fallar. La empresa ya había hecho un montón de análisis, pero no encontraba ninguna pieza de malware ni rastros de ningún posible atacante».

César Lorenzana (Guardia Civil)

Fue entonces cuando comenzó la investigación: «Nos preguntábamos quién podía tener el motivo, porque estaba claro que algo raro estaba pasando. En la empresa nos hablaron de ciertos trabajadores del departamento de IT que habían despedido porque estaban descontentos y empezamos a indagar». A partir de ahí fueron avanzando, ya que «sospechamos que uno de esos trabajadores se había llevado tarjetas SIM de la empresa que estaban mal catalogadas y con ellas estaba enviando código para provocar las paradas«. Pero era algo difícil de probar: «Hicimos un estudio comparativo de las tarjetas, de los dispositivos que se habían utilizado, miramos las localizaciones de señales… y al final pudimos demostrar que efectivamente era esa persona, desde su domicilio, la que enviaba los códigos de parada».

«Un informático colocaba bombas lógicas para que el sistema fallase y le llamasen. Se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo»

César Lorenzana, guardia civil

No es el único caso de este tipo al que se ha enfrentado Lorenzana: «Tuvimos un caso parecido de una persona que se dedicaba a dar soporte informático para varias empresas y colocaba bombas lógicas para que el sistema fallase y tuviesen que volver a llamarle. Nadie en la empresa se explicaba qué estaba pasando, pero en los análisis encontramos una pieza de malware. Lo más curioso fue que, cuando estábamos en pleno laboratorio, el atacante se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo, con lo que cogimos los trazos de comunicación, grabamos el tráfico y pudimos identificarlo».

Conocer de cerca estos casos nos puede resultar llamativo por conocer de cerca cómo es una investigación, pero lo cierto es que, como veremos a continuación, las situaciones de este tipo se producen a diario.

La batalla más desigual de la historia: grandes empresas Vs. pymes

A la hora de analizar cómo protegen las empresas su ciberseguridad hay que hacer de entrada una clara distinción: grandes empresas y pymes. Para empezar, analicemos su presencia en España: según los datos del Ministerio de Industria, Comercio y Turismo, las pymes (hasta 250 empleados) son abrumadora mayoría en España, representando al 99,9% de las empresas.

No parece baladí que cualquier tipo de empresa proteja su ciberseguridad, ya que, como vimos en su momento, España es el país más ciberatacado del mundo según el informe de Imperva y el segundo según el de CyberEdge.

Y a la hora de recibir ataques, ¿qué tipo de empresas se ven más afectadas? Un estudio de Tecteco, citando al Incibe como fuente, lo pone negro sobre blanco: en España, el 70% de los incidentes de ciberseguridad van dirigidos a las pymes.

Así pues, la diferencia de preparación entre unas empresas y otras es abismal. El informe Hiscox Cyber Readiness Report 2020 realiza un análisis en función no solo de las capacidades de las empresas españolas, sino también de su tamaño. Las grandes empresas, como vemos, están por encima de pymes y micropymes.

En términos porcentuales, de hecho, el gasto también. El informe de Hiscox también analiza el porcentaje del presupuesto de IT que las grandes empresas destinan a ciberseguridad. En España no solo está creciendo, sino que además supera la media europea.

El drama de la pyme: ni sabe, ni puede invertir ni se siente amenazada

¿Y qué pasa entonces con las pymes? Que, a tenor de los datos expuestos, están muy poco protegidas, especialmente si tenemos en cuenta que, como vimos antes, son las receptoras del 70% de los ciberataques en nuestro país. ¿A qué se debe su escasa protección? Podemos dibujar tres factores principales:

1.- Poca sensación de amenaza

Según un estudio de The Cocktail para Google, el 99,8% de las pymes españolas no se consideran un objetivo atractivo para los ciberdelincuentes. Las cifras son devastadoras y hablan por sí solas (tendrás que afinar el ojo para ver ese 0,2% del ‘Sí’):

2.- Pocos recursos

Por mucho que se insista a las pymes en la necesidad de ciberprotegerse, no nos engañemos: sería ilusorio pensar que una microempresa que sufre para llegar a fin de mes pueda disponer de recursos para tal fin. Según el Hiscox Cyber Readiness Report 2020, las micropymes españolas (de 1 a 9 empleados) dedican el 6,5% su presupuesto de IT a ciberseguridad, significativamente por debajo de otros países europeos:

Además, el informe de The Cocktail nos ofrece otro dato relevante: el 20% de las pymes delegan su ciberseguridad en un familiar o un amigo, mientras que el 12% ni siquiera destina un solo recurso a ello:

3.- Poca concienciación

Siempre se habla mucho de la concienciación de los empleados como freno al cibercrimen, pero aún queda mucho, muchísimo por hacer. The Cocktail revela que la mayoría de empleados de las pymes españolas no sabe o no puede reaccionar ante un incidente de ciberseguridad:

¿Cómo se convence a una pyme?

Todos somos conscientes de que debemos concienciar más a las pymes para que inviertan en ciberseguridad pero, si tiramos de empatía, podemos llegar a entender que para un pequeñísimo negocio esa sea la menor de sus preocupaciones. ¿Hay alguna forma de convencerlas? Los expertos con los que hemos hablado nos dan tres claves:

1.- El cibercrimen sí va a afectar a tu negocio

Es evidente que, en caso de ciberataque, el núcleo del negocio de una pyme no se va a ver tan afectado como el de una gran empresa. Pero eso no quiere decir que no afecte en absoluto: «Las pymes pueden a tener una pérdida de unos 35.000 euros por una brecha de seguridad o un ciberataque», nos cuenta Icíar López-Vidriero, de ICEF Consultores, «y con esas cantidades… igual la empresa no se repone y acaba no teniendo viabilidad económica».

«Las pymes pueden a tener una pérdida de 35.000€ por un ciberataque, y con esas cantidades… igual no son viables»

Icíar López-Vidriero, ICEF Consultores

Las consecuencias económicas también pueden venir derivadas de otro factor a tener muy en cuenta: las sanciones. La Asociación Española de Protección de Datos (AEPD), por ejemplo, impuso 907 sanciones a empresas españolas en 2018 y 338 en 2019.

2.- Tus datos son más valiosos de lo que crees

Si cualquier pyme no se considera un objetivo atractivo para el cibercrimen es porque realmente no cree que sus datos puedan ser relevantes para el delincuente. Sin embargo, la abogada Elena Gil recuerda que «el robo de información y la venta de datos es un negocio lucrativo, y eso ya te pone en la diana de ciberatacantes que saben que ciertas organizaciones están muy protegidas y son muy difíciles de atacar, pero que el gran tejido empresarial de un país –las pymes– están poco protegidas».

Icíar López-Vidriero (ICEF Consultores)

Pero vayamos más allá y asumamos que, efectivamente, los datos de una pyme no son especialmente relevantes para un ciberdelincuente. Da igual: el caso es que seguirán siendo relevantes para la propia pyme, de modo que «te pueden pedir un rescate en criptomonedas. Y si encima pagas, es probable que vuelvan a pedirte dinero», insiste Elena Gil.

3.- Subcontrata lo que puedas y, si no puedes, pide ayuda

Andrés Calvo, de la AEPD, reconoce que «más del 95% de las micropymes en España tienen menos de nueve trabajadores: ¿cómo puede una empresa de este tamaño dedicar esfuerzos a la ciberseguridad? Es complicado». Por tanto, «hay que pensar en la ciberseguridad como un servicio más, tienes que contratar a un experto. No para tenerlo todos los días en la empresa, pero sí para que haga una pequeña política de ciberseguridad y de protección de datos».

Y si una empresa no puede gastarse dinero en esto, siempre puede tirar de recursos públicos y gratuitos. Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, recuerda iniciativas como «la de la Cámara de Comercio de España, que ha creado un plan de ciberseguridad para ayudar a las pymes que quizás son las más débiles, las que menos fuerza tienen para ser capaces de protegerse adecuadamente». Otros organismos, como Incibe, ofrecen un amplio abanico de herramientas de ciberseguridad para pymes, la mayoría de ellas gratuitas, y también contiene un listado de soluciones gratuitas desarrolladas por empresas españolas.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture