¿Son un peligro los dispositivos de Internet of Things? Lo bueno, lo malo y lo terrible

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Una tostadora que por la mañana te prepara el desayuno y por la tarde tumba medio internet, incluido Twitter. ¿Qué más se le puede pedir a un electrodoméstico? Coñas aparte, lo cierto es que toda la industria dela ciberseguridad está de acuerdo en una cosa: el Internet of Things (IoT) es tan beneficioso como peligroso.

Son estos blancos y negros los que hemos analizado en el capítulo 16 de El Enemigo Anónimo. Para empezar conviene hacerse una idea de la magnitud del asunto que estamos tratando: ¿cuántos dispositivos conectados hay en todo el mundo? Según el IoT Analytics Research 2018, 9.900 dispositivos conectados en todo el mundo frente a los 11.300 no conectados. Y ojo, que el año que viene llegará el empate, mientras que en 2025 ya habrá muchos más dispositivos conectados que no conectados. Todo ello dentro de una vorágine asombrosa: cada segundo se conectan 127 nuevos dispositivos basados en IoT.

¿Tiene sentido el auge de los dispositivos conectados? Es decir, pueden estar subiendo por pura moda tecnológica, pero ¿de verdad los usamos? Es lo que se preguntó el informe Internet Trends 2019, que revela que, al margen de ordenadores y smartphones, el uso de otros dispositivos conectados no es tan marginal como pudiera parecer, y eso que los últimos datos recopilados son de 2018:

Y tanto auge… ¿es bueno o malo? Siempre dependerá de por dónde lo queramos mirar, pero no cabe duda de una cosa: hay motivos más que de sobra para preocuparnos por el uso que le damos al IoT. Esto es lo bueno, lo malo y lo terrible que tiene el Internet of Things.

Lo bueno: ciudades inteligentes, recursos repartidos, seguridad…

Andrea G. Rodríguez lo tiene claro: «El IoT nos va a servir para cosas tan maravillosas como controlar el tráfico en las ciudades, distribuir el agua de manera más eficiente entre los ciudadanos, distribuir red eléctrica u operar a distancia».

No le falta razón. Ciudades como Estocolmo ya usan sensores para descongestionar el tráfico rodado (y de paso reducir la contaminación), pero no hace falta irse tan lejos: en Zaragoza, la policía también está empezando a monitorizar dichos movimientos. Y si queremos quedarnos con la boca abierta de verdad podemos acudir a otro ejemplo: el de Antonio de Lacy, jefe del Servicio de Cirugía Gastrointestinal en Hospital Clínic, que en MWC de 2019 practicó la primera cirugía teleasistida.

Antonio de Lacy, del Hospital Clínic de Barcelona, practicó en 2019 la primera cirugía teleasistida

Más allá de las grandes innovaciones, el IoT también puede sernos de mucha utilidad en nuestra seguridad personal: «En épocas de vacaciones, los ladrones suelen inspeccionar qué casas tienen luz encendida y cuáles no», recuerda Pablo San Emeterio, de modo que con el IoT «puedes programar los encendidos de luces para que simule una vida normal en esa casa aunque no haya nadie».

Lo malo: colega, ¿dónde está mi privacidad?

El reverso maligno del IoT está en el uso que le damos los usuarios o, mejor dicho, en el uso que les dan los fabricantes de esos dispositivos a nuestros datos. Hay un aparato que tiene una aceptación muy por encima de la media: los altavoces inteligentes. Según las estimaciones de Loup Ventures, en 2020 se han vendido más de 100 millones de altavoces en todo el mundo (exceptuando el mercado chino), pero es que dentro de apenas cinco años, en 2025, la cifra se multiplicará por tres.

¿Cómo se puede explicar un crecimiento tan abrumador? La respuesta está en el aumento de las cosas que se puede hacer con ellos. El informe Internet Trends da buena cuenta (pág. 52) del progresivo aumento de funcionalidades de su altavoz Echo, mientras que otro estudio de Experian Creative Strategies recoge los usos más frecuentes entre los usuarios de dicho dispositivo:

¿Cuál es el problema de esto? Que la forma de actuar de Amazon respecto a sus altavoces y asistentes inteligentes es más que cuestionable. En 2019 se supo no solo que Alexa escucha de manera pasiva tus conversaciones, sino también que había empleados de Amazon dedicados a la misma tarea.

Y lo de Amazon con Alexa es solo un ejemplo, pero hay infinidad de casos en los que se ha descubierto un uso fraudulento de los datos o la privacidad de los usuarios por parte de sus dispositivos inteligentes:

Lo terrible: suministros bloqueados y empresas atacadas

Las vulneraciones de ciberseguridad en aparatos de IoT de usuarios particulares son muy graves, pero, sinceramente, ojalá ese fuera el mayor problema del Internet of Things. La verdadera catástrofe reside en cuando se vulneran los dispositivos conectados para atacar a una empresa, para bloquear el suministro de agua o para dejar a oscuras una ciudad entera.

Ya lo vimos en el capítulo dedicado a las infraestructuras críticas. La empresa española Tarlogic descubrió que gran parte de los contadores de luz inteligentes que hay en nuestro país eran vulnerables, y no era tan difícil atacarlos. ¿El resultado? Podían dejar un barrio entero a oscuras en apenas unos minutos.

Este tipo de ataques preocupa a las empresas de todo el mundo. De hecho, un estudio de Extreme Networks evidenció que el 70% de las organizaciones ha sufrido ciberataques a través de IoT. Y no es algo que vaya a caer: según otro informe realizado a nivel mundial, la protección de los dispositivos IoT ya era la tercera mayor preocupación de las empresas en 2016.

España no es ni mucho menos ajena a todo este tipo de problemas. Sirva un dato como ejemplo: nuestro país fue el objetivo del 80% de los ciberataques a dispositivos IoT en la primera mitad de 2018. Esto hace que las infraestructuras españolas corran un serio peligro, como evidencia el Estudio sobre la Cibercriminalidad en España, editado por el Incibe:

¿Cómo tener un IoT seguro?

La pregunta está clara: si el Internet of Things puede entrañar un sinfín de vulnerabilidades, ¿cómo podemos hacerlo más seguro? Yolanda Quintana lo tiene claro: «No se debe vender dispositivos que no sean seguros. Hay que establecer responsabilidades tanto para los usuarios que los usan como para las empresas que lo comercializan y se benefician de esta tecnología».

La falta de seguridad también se evidencia en el informe The Endless Possibilities of IoT, elaborado por Telefónica y Gartner. En él se analizan las barreras para que el IoT triunfe o, dicho de otra manera, los retos de seguridad que quedan por delante:

Xabier Mitxelena (Accenture) introduce un concepto esencial, el de «ciberseguridad por diseño«, algo en lo que incide Juan Francisco Cornago Baratech (SIA), para quien, en definitiva, «el loT tiene que existir, pero debemos garantizar que el uso de los datos sea el autorizado».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Crónica de una pulsera fallida: por qué la tecnología contra la violencia machista le hace más daño a la víctima

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

«La tecnología ha ayudado a que la violencia machista se perpetúe en determinadas cuestiones. No a que aumente, pero sí a que se perpetúe». Esta es una de las frases que la criminóloga Patricia Martín nos dice en el capítulo 15 de El Enemigo Anónimo.

La frase quizá te pueda parecer exagerada, pero, como vamos a ir viendo a lo largo de este reportaje, dice la verdad. En ciertas ocasiones, la tecnología diseñada para proteger a víctimas de violencia machista no solo no es todo lo efectiva que debería, sino que incluso puede tener precisamente el efecto contrario y provocarle a la víctima más problemas que soluciones.

Pulsera antimaltrato: fallida, manipulada y sin nadie que la desarrolle

A finales de 2018, un total de 1.037 hombres condenados por un delito de violencia de género llevaban encima una pulsera electrónica que geolocaliza su posición y, gracias a ello, los mantiene alejados de sus víctimas y activa una alarma en caso de que se produzca un acercamiento. Además, la víctima lleva también consigo un dispositivo GPS que cuenta con un ‘botón del pánico’ que puede pulsar en caso de que detecte un peligro. En total hay tres elementos en esta ecuación: la pulsera del agresor, el GPS de la víctima y la vigilancia que lleva a cabo el Centro de Control de Medidas Telemáticas de Alejamiento (Cometa).

Actualmente, esta es la tecnología más puntera y avanzada con la que cuenta el Gobierno español para combatir el maltrato y posmaltrato, pero hay un problema. En realidad, de hecho, hay varios. Concretamente tres:

1.- La pulsera falla demasiado

«La tecnología de la pulsera está obsoleta y falla mucho», nos contaba en 2018 en El Confidencial una trabajadora de Cometa, que se quejaba de que, en estas circunstancias, la señal de dicha pulsera «se pierde y falla muchísimo. La mayoría de las veces pueden ser errores puntuales o que se solucionen rápido, si se ha acabado la batería o si el agresor está en un sitio con poca señal, pero de todos modos tenemos que actuar enseguida».

Si la pulsera falla, la Policía debe llamar a la víctima para informarle del error, lo que aumenta su sensación de miedo

Y el problema no es solo que la pulsera falle, sino que, cuando falla, la Policía Nacional debe llamar a la víctima para comunicarle que ese momento no pueden localizar a su agresor. Las consecuencias para la víctima son evidentes: este aviso genera una sensación de miedo e intranquilidad incluso aunque sea una falsa alarma y su agresor no esté haciendo absolutamente nada ilegal.

2.- Los maltratadores la manipulan

Pero hay ocasiones en que si la pulsera falla no es por casualidad, precisamente. María E. contaba en 2017 en El Español que su maltratador le hacía ‘luz de gas’ manipulando adrede la pulsera y haciendo que fallara constantemente. De este modo conseguía que la Policía llamase a su expareja y que esta sintiese miedo. En definitiva, una forma de maltrato no físico, pero sí psicológico.

«Basta con modificarla ligeramente para que la alarma avise a la víctima de que no pueden localizar al maltratador»

Txarlie Axebra

¿Es tan difícil hacer que la pulsera falle a propósito? «Basta con modificarla ligeramente para que genere la alarma que avisa a la víctima de que no pueden localizar a ese maltratador, lo cual les permite hacer un posmaltrato y seguir estando presente en su vida a pesar de la resolución judicial», nos cuenta Txarlie Axebra.

3.- El presupuesto es escaso y nadie quiere asumirlo

El 7 de octubre de 2017 se produjo una situación tan incomprensible como indignante. El Gobierno convocó el concurso público para que diversas empresas compitiesen por el contrato para gestionar el desarrollo de las pulseras y el centro de control. Hasta entonces dicho contrato había sido adjudicado a Telefónica y Securitas Direct, pero ninguna de las dos se presentaron. De hecho, no hubo ni una sola empresa en toda España que quisiera competir por un servicio tan delicado como el de las pulseras antimaltrato. El concurso público se había quedado desierto.

Ante las condiciones económicas, ninguna empresa quiso competir por el contrato público de las pulseras

¿El motivo? Ninguna empresa consideró suficiente el presupuesto, que se elevaba hasta los 12,4 millones de euros en tres años. Esta cifra suponía un aumento del 30% respecto al anterior contrato, pero con un importante añadido: la empresa adjudicataria debería renovar las más de 1.000 pulseras y mejorar su tecnología. Ante las críticas, el Gobierno mejoró las condiciones del contrato y finalmente se lo adjudicó a Telefónica (la única empresa que se acabó presentando).

La tecnología que espía y controla a las víctimas

Más allá de la pulsera antimaltratadores, lo cierto es que la tecnología nos ofrece posibilidades tan buenas como malas. Y en el caso del control a una persona en general o a la pareja en particular, por desgracia hay opciones de sobra.

Algunas veces hemos contado situaciones como que una persona contacte con su compañía de teléfono para saber si su novia ha llamado al 016, pero no hay que irse tan lejos para ver casos similares de control: «Hay tecnología que permite monitorizar teléfonos, acceder a sus datos de llamadas o SMS, etc.», nos cuenta Txarlie Axebra.

«Si la víctima borra la app de seguimiento, al agresor le llegará un aviso, con lo que puede acabar en una situación de violencia física»

Daniel Creus, Kaspersky

Además, «a veces este código malicioso puede implicar violencia física», añade Daniel Creus, de Kaspersky, que nos pone un caso concreto: «Imagínate que una persona detecta que tiene un stalkerware en su dispositivo y decide desinstalarlo. A su maltratador le puede llegar una notificación de que ese programa ha sido desinstalado, y eso puede provocar algún episodio de violencia física o que, de alguna manera, transcienda el mundo digital».

El uso de este tipo de aplicaciones es claramente ilegal y puede llevar consigo penas de hasta cuatro años de prisión, pero eso no impide, por raro que parezca, que sea fácil encontrarlas e instalarlas en el móvil de la persona a la que se quiere espiar.

La tecnología que ayuda (de verdad) a las víctimas de maltrato

Vista la tecnología que ayuda a los maltratadores, ¿hay herramientas que puedan servir de ayuda a sus víctimas? Lo cierto es que sí.

Una de estas opciones la encontramos muy cerca, en la Universidad Carlos III de Madrid. Se trata de Bindi, un wearable en forma de pulsera o colgante (para que el agresor no lo detecte) que ayuda a evitar casos de agresiones físicas a mujeres víctimas de todo tipo de violencia. ¿Como lo hace? El dispositivo se conecta por bluetooth al móvil, donde la usuaria ha configurado una lista de contactos que, en caso de producirse una emergencia, recibirán un mensaje de alerta.

Bindi, oculto en una pulsera o colgante, incluye un botón del pánico que, al ser pulsado, emite un aviso de alerta para los contactos de la víctima y los servicios de emergencia

De este modo, si la usuaria se encuentra en una situación de peligro, bastará con que presione el botón de Bindi para que su móvil avise a sus contactos, proporcionándoles, además, la geolocalización de la víctima para que puedan pedir ayuda o acudir a socorrerla. Además, Bindi cifra todos los datos registrados para que puedan ser usados como prueba en un posible juicio.

Pero esta iniciativa va incluso más allá. El equipo que desarrolla Bindi, enmarcado dentro del proyecto UC3M4Safety, también pretende guardar las variables fisiológicas de las víctimas de violencia machista para que el dispositivo pueda activar una alerta de manera autónoma –sin tener que pulsar el ‘botón del pánico’– si detecta un comportamiento anómalo por parte de la víctima.

Bindi no es la única iniciativa de este tipo. También conviene resaltar proyectos como Stop Stalkerware, del que forman parte grandes empresas y que también lucha por evitar todo tipo de abusos, acosos o agresiones.

Por ejemplo, «si detectamos que la usuaria tiene instalado un software espía», nos cuenta Daniel Creus, «le damos los consejos oportunos. Y no siempre serán necesariamente que borre esa aplicación, ya que su acosador puede enterarse. Le daremos la información necesaria para que pueda llevar ese móvil a ser investigado, para que lo use como prueba judicial, etc. Buscamos que la víctima sea consciente de todo lo que puede pasar y qué medidas puede tomar al respecto».

Se trata, en definitiva, de intentar llevar la balanza hacia el lado de la víctima. Porque si hay tecnologías que pueden ayudar a los agresores y otras como las pulseras antimaltratadores pueden ser manipuladas, la misión de todos es intentar que la tecnología, en estos casos, sea una aliada de las víctimas en su lucha por deja de serlo.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Los villanos de la ciberguerra: estos son los países que más atacan (y los mercenarios que les hacen el trabajo sucio)

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Una mañana cualquiera, en una cumbre internacional, los presidentes del Gobierno de dos países distintos se dan la mano y charlan efusivamente. La situación no sorprende a nadie, ya que son dos países aliados y han colaborado infinidad de veces. Lo que quizá sorprenda más es que esa misma tarde, apenas unas horas después, se haga público que uno de esos dos países lleva meses ciberatacando al otro para espiar sus comunicaciones, acceder a sus secretos estratégicos y perjudicar a sus empresas.

Esta situación, aunque nos la acabemos de inventar, no tiene nada de irreal. En realidad sucede a diario. Es lo que tiene la ciberguerra: que ya no sabes si tus aliados en el mundo offline pueden ser tus enemigos en el online. Y, como hemos podido ver esta semana en el capítulo 8 de El Enemigo Anónimo, todos los países son atacados… y todos atacan. No hay más que ver cómo los ciberataques geopolíticos entre países no paran de crecer cada año.

Estos son los villanos de la ciberguerra

La semana pasada hablábamos de los países más perjudicados por la ciberguerra, pero ¿y los más beneficiados? Si vivimos en ciberguerra, ¿quiénes son los mayores cibervillanos? Para Yolanda Quintana, «en este top estarían Estados Unidos, Rusia, China, Corea e Irán: son los países que controlan un mayor número de tecnologías para una parte esencial de la ciberguerra, que es la guerra de la información, y también tienen a los mayores expertos».

El pronóstico de Andrea G. Rodríguez es similar: «Los que suelen estar siempre en el grupo son China y Rusia, pero también podríamos incluir a Estados Unidos, Israel o Corea del Norte. Son países que han demostrado tener grupos de personal capaz de desarrollar operaciones de penetración en muy pocos segundos. Con cifras tan locas como, por ejemplo, los rusos, que pueden hacerlo en 20-25 segundos«.

Las elecciones de nuestros entrevistados no difieren demasiado de las apuestas generales. Privacy Affairs se hace eco de los ataques geopolíticos más frecuentes en los últimos años y, como vemos, en los primeros puestos aparecen los sospechosos habituales:

Si obviamos a los países atacados y nos centramos en los atacantes, de nuevo, China, Rusia y Corea del Norte aparecen a la cabeza del ránking:

¿Podemos tomar estos datos como absolutos e inequívocos? En realidad no, ya que responden a los ciberataques cuyo origen se conoce; los desconocidos, evidentemente, quedan en la sombra y dejan la duda de si hay algún país que debería aparecer más arriba en el ránking y no lo hace porque consigue no ser descubierto (al menos de manera oficial).

En cualquier caso, resulta interesante analizar varios países juntos y ver cómo ha evolucionado el número de ciberataques que se les han atribuido en los últimos años. La siguiente tabla recoge los ataques con origen en China, Rusia, Corea del Norte, Irán y Estados Unidos entre 2008 y 2018:

Pero lo más interesante, sin duda, es ver a dónde dirigen sus ‘armas’ estos atacantes. Como podemos ver en los siguientes gráficos, los conflictos geopolíticos de cada país tienen una relación directa con los destinos de sus ciberataques (una curiosidad: Estados Unidos es el único que se ‘autoataca’):

¿Villanos o héroes? Depende de quién lo mire

Estamos usando el término ‘cibervillanos’ para referirnos a los países qué más ataques ejecutan, pero lo cierto es que en este asunto resulta complejo decidir quiénes son los buenos y quiénes los malos. ¿Por qué? Porque todo depende de nuestras propias afinidades y de la perspectiva política desde la que miremos.

«Entre los cibercriminales más buscados del FBI hay generales condecorados del ejército chino. Para los chinos, ¿son delincuentes? No, allí son héroes nacionales»

Daniel J. Ollero (El Mundo)

«Si tú te vas a la lista de los cibercriminales más buscados del FBI», nos cuenta Daniel J. Ollero, «ahí te encuentras a señores con uniforme militar que son generales condecorados del ejército chino. Esa gente tiene unos cartelitos muy parecidos a los que hemos visto en las películas del lejano oeste, del ‘Wanted’, ‘Se ofrece una recompensa’, se dice quiénes son, y es gente a la que le caerían condenas de muchísimos años de cárcel. Pero, para los chinos, ¿un general condecorado es un villano? ¿Es un delincuente? No, allí son héroes nacionales«.

«¿Quién es el bueno y quién es el malo?», se pregunta Luis Fernández. «Quienes aún tenemos memoria nos acordamos de que Obama espiaba a Angela Merkel, por ejemplo. Entonces, ¿cuáles son mis amigos o mis compañeros de viaje? Todo depende de los intereses».

Y es que, como reconoce Marilín Gonzalo, «nos gustaría encontrar un gran cibervillano para ponernos todos en contra de él y decir ‘Esto es blanco, esto es negro, estos son buenos, estos son malos’, pero no es tan fácil».

El atacante oculto: mercenarios que se venden al mejor postor

Pero cuando un país es ciberatacado, no necesariamente recibe el ataque de otro país. O mejor dicho: recibe un ataque ordenado por otro país, pero quienes lo ejecutan son otros: los llamados cibermercenarios.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea», nos cuenta José Manuel Ávalos, que reconoce que «los gobiernos están detrás de estos grupos para realizar distintos ataques». Y es que «en el momento en que entras en estos conflictos no convencionales tienes actores no convencionales detrás. Muchos países necesitan hacer acciones que no pueden asumir como propias de su Estado y recurren a estas organizaciones o empresas que hacen este tipo de actividades sin usar su nombre», añade Txarlie Axebra.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea»

José Manuel Ávalos (Telefónica)

¿Y quiénes son estos grupos de cibermercenarios al servicio del primer gobierno que pase por delante y les pague una cantidad millonaria de dinero? El CCN-CERT recurre a un listado internacional para nombrar a los más activos de este 2020:

Y es que los actores de ataque, en definitiva, pueden ser variados. Pueden ser gobiernos que den más o menos la cara o, en algunos casos, son los grupos de cibermercenarios los que se venden al mejor postor. El objetivo, en cualquier caso, siempre es el mismo: atacar geopolíticamente a los países rivales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

España está en ciberguerra: quién nos ataca, por qué y qué métodos utiliza

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El 7 de marzo de 2011, el español David López Paz se plantó en la RootedCON con un hallazgo impresionante: había encontrado un afuste de misiles, lo había hackeado y había podido cambiar las coordenadas a las que se disparaba esos misiles. (Si quieres más detalles, mírate esta slide, especialmente la diapositiva 42.)

Para lograr esto, López Paz se tiró una cantidad de tiempo indeterminada escaneando servidores vulnerables en todo internet. Su investigación demostró que, en el desarrollo de la ciberguerra, el hacking puede servir para hacerte con las armas de tu enemigo sin haberte gastado ni el 1% de su dinero. Y todos los países del mundo son vulnerables a este tipo de prácticas. España, por supuesto, también.

Los ataques se duplican en apenas tres años

Nuestro país no es ajeno a la ciberguerra que hay en todo el mundo. En el informe Ciberamenazas y tendencias 2020, elaborado por el CCN-CERT, queda constancia de cómo los ataques críticos a España han ido creciendo de manera exponencial en los últimos años:

Dentro de esos ataques, además, observamos un aumento en su gravedad: los ataques críticos, muy altos y altos crecen, mientras que los medios y bajos van perdiendo protagonismo:

¿Quién nos ataca? Estados y cibermercenarios

¿Quién puede querer ciberatacar a un país como España? El CCN-CERT identifica hasta cinco tipo de perfiles interesados en ejecutar ataques geopolíticos hacia nuestro país:

LOS QUE ATACAN A ESPAÑA
1.- Estados y cibermercenarios.
Los más peligrosos. Suyos son los ataques de mayor gravedad y riesgo, acudiendo tanto al ciberespionaje como a las acciones híbridas, la interrupción de servicios e incluso la manipulación de sistemas.
2.- Ciberdelincuentes. Similar al grupo anterior, aunque sin motivaciones necesariamente geopolíticas. Eso sí, su marco de actuación y delitos, aunque ligeramente menos grave, es mucho más numeroso.
3.- Ciberterroristas. Por suerte, según el CCN-CERT, todavía no representan un altísimo peligro, limitando sus acciones al sabotaje.
4.- Hacktivistas. Más peligrosos que los ciberterroristas, ya que también recurren a la interrupción de servicios, a la manipulación y al robo de información.
5.- Insiders (personal interno). Sin intenciones necesariamente malas, sus errores conllevan, sobre todo, la interrupción de servicios y el robo de información.

Conviene detenernos en un tipo de atacante concreto: los grupos de ciberdelincuentes generalmente asociados a otros estados. El CCN-CERT identifica en su informe a los siete más activos durante 2019 a la hora de atacar a España:

¿Qué formas de ataque utilizan?

A la hora de atacar, el informe habla de varios métodos:

  • Ransomware
  • Botnets
  • Código dañino
  • Ataques a sistemas de acceso remoto
  • Ataques web
  • Ingeniería social
  • Ataques contra la cadena de suministro
  • Ataques contra sistemas ciberfísicos

De todos ellos, las intrusiones de malware y el código dañino suelen estar a la cabeza:

Sin embargo, fijémonos especialmente en una tendencia al alza: las redes de bots. Según el estudio Botnet Threat Report, de Spamhaus Malware Labs, este método de ataque creció un 71,5% en 2019. El listado de las familias de botnets más activas en todo el mundo dan buena cuenta de este crecimiento:

Lo que se avecina: ataques a farmacéuticas, laboratorios, dispositivos…

En el informe del CCN-CERT también encontramos algunas de las tendencias que el organismo ve de cara al futuro inmediato de 2020. En dichas previsiones apunta a las farmacéuticas y los laboratorios de investigación como las mayores víctimas de los ciberataques geopolíticos que va a sufrir España. Tampoco hay que olvidarse de las intrusiones en redes domésticas, dispositivos conectados o herramientas de teletrabajo.

Fuente: CCN-CERT.

El panorama, por tanto, parece claro. Ningún país del mundo escapa a la ciberguerra sucia que se está librando entre los estados, y España no es ninguna excepción. Los datos demuestran la existencia de ciberataques geopolíticos hacia nuestro país. Dentro de unos años veremos si estábamos realmente preparados para ellos… o si habrá llegado la hora de lamentarse.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

Así se puede hackear el sistema eléctrico español y otras infraestructuras críticas

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

Jueves, 5 de marzo de 2020. 19 horas. Al escenario de la RootedCON se sube Gonzalo J. Carracedo, consultor de ciberseguridad de la empresa española Tarlogic. Tiene un bombazo que dar: tras una larga investigación, su empresa ha descubierto que más de 13 millones de contadores de luz inteligentes que hay en España tienen una grave vulnerabilidad que puede dejar un barrio entero totalmente a oscuras. Y en apenas unos minutos.

¿Cómo podía ser esto? Investigando, Carracedo y su equipo se dieron cuenta de que cerca de la mitad de los contadores inteligentes que hay en España tenían un sistema de acceso al control con contraseñas genéricas y fácilmente descifrables. Además, los cables eléctricos estaban transmitiendo una información que no estaba cifrada al 100%.

Imagen de los contadores conectados al concentrador de Tarlogic.

Partiendo de esta información, Tarlogic diseñó un pequeño laboratorio en un entorno seguro y se propuso provocar cortes en varios contadores de este tipo mediante una táctica ensayada: en primer lugar, romper las contraseñas y acceder al control de los dispositivos; en segundo, hacer que el suministro se apagase y encendiese sin parar hasta que se produjese un corte espontáneo. Javier Rodríguez, miembro también de la empresa, nos explica el funcionamiento con una comparación sencilla: «Cuando apagas y enciendes muchas veces una bombilla, puede llegar a fundirse. Pues aquí sucede lo mismo: forzamos la infraestructura de la red eléctrica para provocar el corte». Dicho y hecho: en este vídeo puedes ver el experimento a pequeña escala:

«Puedes dejar sin luz a un barrio entero«, nos reconoce Javier Rodríguez en el capítulo 6 de El Enemigo Anónimo. De hecho, la empresa se encargó de notificar esta brecha de seguridad a las energéticas españolas aludidas. Si quieres ver la charla entera de Carracedo, la tienes aquí abajo.

Carracedo no es el primer español que consigue vulnerar la seguridad informática del sistema eléctrico español. Nueve años antes, en marzo de 2011, Rubén Santamarta se propuso echar abajo el sistema eléctrico español mediante otra táctica: acceder a los Controladores Lógicos Programables que dirigen el sistema de la red eléctrica española y cambiar sus parámetros de actuación. Hacía cambios pequeños e intercalados en el tiempo para que no se notasen diferencias bruscas, pero poco a poco, sin que nadie se diese cuenta, iba debilitando el suministro hasta hacerse con el control total. Si quieres, puedes ver su charla aquí.

Sí, en España ha habido ataques a infraestructuras críticas

Los que acabamos de contar son dos ejemplos realizados por expertos que no pretenden tirar abajo nuestro sistema eléctrico, sino mostrar sus debilidades para que sean corregidas. Pero, ¿ha pasado alguna vez lo mismo… con intenciones maliciosas? ¿Ha perpetrado alguien ataques contra infraestructuras críticas españolas… y lo ha conseguido? Lo cierto es que sí.

Al menos así lo asegura Román Ramírez: «En España ha habido intentos de ataques a infraestructuras críticas, y en algunos casos ha habido ataques exitosos. Esto no se comenta en abierto ni se pueden identificar los casos porque te metes en un problema muy gordo pero haberlos los ha habido. Yo he visto en directo cómo se entra a una infraestructura crítica donde puedes hacer determinadas cosas».

Esta teoría la confirma el periodista Manuel Ángel Méndez, de El Confidencial, que asegura que, «fuentes del CNI reconocieron que había habido intentos de penetración de la red eléctrica en España. No es una cuestión de si va a ocurrir, es una cuestión de que ya ha ocurrido, está ocurriendo y va a ocurrir más».

Estos hechos no son precisamente desconocidos para el Gobierno español. El 7 de enero de 2019, el Ministerio del Interior adjudicó a Eulen un contrato de 318.991 euros para reforzar el cuidado de las infraestructuras críticas españolas, ya que, como reconocía el propio Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), «el crecimiento de incidentes de ciberseguridad con impacto en los operadores críticos y los servicios esenciales (…) requiere de una potenciación y continuidad que permita operar las 24 horas del día, los 7 días de la semana y los 365 días del año». Este tipo de labores «no puede prestarse directamente por el CNPIC ni por las Direcciones Generales de la Policía y Guardia Civil, al carecer de las capacidades descritas para el tratamiento y la gestión de la ciberseguridad».

España, preocupada por posibles ciberataques

España, al igual que la mayoría de países de todo el mundo, tiene motivos de sobra para preocuparse por la seguridad de infraestructuras críticas que gestionan suministros como el de la luz o el del agua. En nuestro país, de hecho, incluso tenemos cifras que avalan dichos motivos.

Según el Informe de Seguridad Nacional, España sufrió 89 incidentes efectivos (es decir, que realmente comprometieron la seguridad física en los sectores estratégicos) en 2019, frente a los 22 registrados en 2018 y los 54 del año 2017.

Mirando una perspectiva mucho más amplia, el Estudio sobre la Cibercriminalidad en España, editado por el Incibe, muestra unos datos mucho más peligrosos, con miles de ciberataques dirigidos hacia nuestras infraestructuras críticas.

A nivel gubernamental, los posibles ataques a infraestructuras críticas preocupan y mucho. De hecho, la Estrategia de Seguridad Nacional, elaborada en 2017, ya reconocía este tipo de operaciones como una de las que más puede comprometer la seguridad de nuestro país.

Fuente: Estrategia de Seguridad Nacional (2017).

El tema, evidentemente, también preocupa a las diversas empresas. El Cybersecurity Snapshot Global, realizado por Isaca, preguntó a diversos profesionales de infraestructuras críticas qué posibilidades creían que tenía España de sufrir un incidente en el año siguiente. Los datos hablan por sí solo: apenas el 15% aseguró que dicha posibilidad era baja.

Lo que inquieta a todos los países del mundo

Como decíamos, España es un país con motivos para preocuparse, pero no es la excepción, ni mucho menos, sino más bien la regla. «En el mundo cíber hay dos cosas que se temen más que nada: un ’11 de septiembre cibernético’ y un ‘cíber Pearl Harbor’, nos cuenta Andrea G. Rodríguez. «Imaginaos hasta qué punto son vulnerables y débiles».

El miedo a nivel mundial también viene respaldado por las cifras. El Global Risk Report 2020 del Foro Económico Mundial revela que el 76,1% de las empresas cree que el riesgo de ataques contra este tipo de entornos aumentará en 2020, situándose por delante incluso de los ataques que buscan robar dinero o datos.

¿Y cuáles son los sectores de actividad más afectados por posibles ciberataques a infraestructuras críticas? Un informe de la OECD y otro de Hornet Security dan diversos ránkings, aunque tampoco son muy diferentes entre ellos. Ambos sitúan a la cabeza de estos peligros al sector energético.

Para Ofelia Tejerina, «la guerra está en la red. Y no es una guerra global declarada, pero se están librando batallas muy potentes y hay riesgos muy graves con infraestructuras críticas». A este tipo de infraestructuras Andrea G. Rodríguez les añade otro problema: «Muchas están interconectadas, con lo que un ciberataque a una se puede llegar a propagar a otras«. La OECD avala esta información: el 36% de las infraestructuras de sus países son interdependientes de otras, un porcentaje lo suficientemente significativo como para tenerlo en cuenta.

Con todo ello, el resultado es que la seguridad informática de las infraestructuras críticas es un gran foco de criminalidad, pero también de negocio, con un mercado que no para de crecer.

Fuente: MarketsAndMarkets.

La joya de la corona: atacar a EEUU

Si hay un país especialmente colocado en el centro de la diana, ese quizá sea Estados Unidos. No solo por las amenazas ajenas, sino también por la propia sensación interna. Una sensación, no nos vamos a engañar, provocada también por la incesante participación de su gobierno en distintos ataques (su papel esencial en Stuxnet parece fuera de toda duda).

Sea como fuere, en diciembre del año pasado, el President’s National Infrastructure Advisory Council (NIAC), formado por altos ejecutivos de grandes empresas y organismos públicos, instó al presidente Trump a mejorar su estrategia «para prevenir las terribles consecuencias de un ciberataque catastrófico en las infraestructuras energéticas, de comunicaciones y financieras», ya que «las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar contra los estados nacionales que intentan interrumpir o destruir nuestra infraestructura crítica».

«Las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar»

La preocupación es tal que, desde 1970, el Gobierno incluye en un completo estudio la totalidad de ataques que han sufrido sus infraestructuras críticas, así como su letalidad.

Fuente: Gobierno de Estados Unidos.

Entre los sectores más afectados, los habituales: los servicios de salud pública y los financieros son los que han sufrido más ataques en sus infraestructuras.

Ataques: «Los ha habido, los hay y los habrá»

La protección de las infraestructuras críticas no es sencilla, ya que, como asegura Roman Ramírez, «se soporta en instalaciones que a lo mejor tienen un ciclo de vida de 30 años y con dispositivos que estiras hasta los 30-40 años. Y cambiar un cacharro está muy bien, pero cuando has comprado 20 millones de cacharros, los tienes distribuidos por todo el país y encuentras vulnerabilidades, ¿eso quién lo cambia? ¿Los ciudadanos van a querer pagar 30 euros más en la factura eléctrica para que las empresas los reemplacen?».

¿Hay alguna noticia positiva en este sentido? Sí. Daniel Creus, analista de malware de Kaspersky, recuerda que «hemos conseguido tener cada vez más conocimiento sobre los adversarios, y eso significa que no solamente podemos saber los procedimientos que utilizan para atacar, sino que además podemos intuir si somos objetivos o no en función de movimientos geopolíticos o puros intereses estratégicos».

«No hay que negar la evidencia: tenemos una situación de riesgo. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático»

Román Ramírez (RootedCON)

En cualquier caso, «es importante seguir avanzando en ciberseguridad de infraestructuras críticas para estar siempre a la última vanguardia y que no nos pille desprevenidos», nos cuenta David Carrero Fernández-Baillo, cofunder y VP Sales de Stackscale. «Es realmente importante que España y Europa hagan un gran esfuerzo en temas de ciberseguridad porque esta es la materia con la que vamos a poder competir mucho más en el mundo».

Ahora bien, Román Ramírez recuerda que «lo que no hay que hacer es negar la evidencia: tenemos una situación de riesgo, que es que las infraestructuras se pueden atacar. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

El email maldito: por qué los empleados somos los mayores aliados del cibercrimen

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Un email puede acabar con todo. Da igual que nuestra empresa se preocupe por la ciberseguridad, da igual que nos haya dado consejos para evitar intrusiones, da igual que se haya gastado un dineral en la tecnología más avanzada… Al final nos llega un email, lo miramos muy por encima, no nos fijamos en los detalles, pinchamos donde no debemos o nos descargamos un fichero adjunto… y ya se ha liado.

La realidad, aunque duela, es evidente: la mayoría de las veces, los empleados somos los mayores aliados del cibercrimen, tal y como hemos comprobado en el capítulo 5 de El Enemigo Anónimo. Casi siempre lo somos de manera involuntaria y otras pocas de manera voluntaria, pero lo cierto es que la mayoría de ciberataques y brechas de seguridad se producen tras un error humano.

Los datos avalan esta realidad. Debajo de estas líneas puedes ver las cifras de tres estudios que lo corroboran: uno es el informe An integrated approach to insider threat protection, de IBM; otro el International Trends in Cybersecurity, de Azure; y el tercero el The Global State of Information Security Survey 2018, de PwC. Ambos sitúan al empleado como la mayor fuente de incidentes de ciberseguridad (PwC mete en la misma categoría a empleados y exempleados).

Sea como fuere, lo cierto es que la forma en que dichos empleados se desenvuelven frente a los posibles ataques preocupa (y mucho) a las empresas. De hecho, según EY, los trabajadores son la mayor vulnerabilidad que puede tener una compañía.

¿Y por qué los empleados iban a ser tan preocupantes? Porque, según el informe de IBM, de los empleados que provocan un ciberataque, el 74,2% lo hace de manera deliberada, siendo totalmente conscientes de ello.

A su vez, IBM establece hasta cuatro tipos de empleados que, voluntaria o involuntariamente, pueden acabar provocando ciberataques (en los nombres otorgados en esta clasificación nos hemos permitido alguna licencia creativa a la hora de traducir):

LOS CUATRO TIPOS DE INSIDERS
1.- El involuntario. No es consciente de lo que está haciendo. Alguien le ha engañado para que se descargue malware o entregue información confidencial. No tiene maldad y es una pura víctima.
2.- El listillo. No tiene intención de perjudicar a la compañía, pero las normas no van con él. Elude los consejos de ciberseguridad porque a él no le van a engañar. Es ese compañero que te dice que no seas pardillo con ese correo de Netflix pero luego chatea en Facebook con una aparente modelo rusa que le pide que encienda la webcam. (Sí, es un poco cuñado.)
3.- El traidor. Sabe de sobra lo que está haciendo y trabaja para el atacante, que puede ser un competidor o cualquier otro agente externo. Ha decidido vender la seguridad informática de su empresa.
4.- El lobo solitario. No ha sido coaccionado ni sobornado por nadie: simplemente ha decidido sacar información. Tiene un cargo privilegiado y está motivado o por pura maldad o por estar en contra de la actividad de su empresa (el mejor ejemplo es Edward Snowden).

¿Qué hacemos mal? De la contraseña regulera a charlar con el enemigo

¿Qué hacemos mal los empleados para dar el pistoletazo de salida (aunque sea de manera involuntaria) de un ciberataque? En realidad nada que no haga casi cualquier usuario normal en su día a día, pero cuando lo hacemos con el correo de la empresa estaremos generando la fórmula para que todo salte por los aires.

«Reutilizamos contraseñas continuamente», nos cuenta Clara García Palacios, de 4IQ, «y seguramente mucha gente esté utilizando su contraseña de cualquier red social en el correo corporativo». Incide en ello Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, quien recuerda que «a todos nos ha pasado que pones una contraseña muy fácil de replicar. Todavía hay gente que deja un ‘psot it’ pegado a su ordenador con el usuario y la password, y te dice ‘Es que si no, me olvido'». Eso es lo que hay que evitar.

Clara García Palacios (4IQ).

Tenemos varios ejemplos de ello. En 2018, una auditoría externa del Gobierno de Australia Occidental reveló que el 26% de los cargos públicos tenía contraseñas débiles o de uso muy común. Entre las más frecuentes, ‘Pasword1234’ (utilizada por 1.464 personas), ‘password1’ o simplemente ‘password’.

No es el único ejemplo. Un informe de Positive Technologies reveló también algunos datos que demuestran que existe un claro problema de formación en ciberseguridad en los empleados, ya que:

  • 1 de cada 3 empleados se arriesga a ejecutar malware en un ordenador de trabajo
  • 1 de cada 7 habla con un impostor y revela información confidencial
  • 1 de cada 10 metió sus credenciales en un formulario de autenticación falso

La joya del crimen: el Fraude del CEO

El phishing es quizá el intento de estafa cibernética más viejo de la historia: ¿quién no se acuerda del príncipe nigeriano heredero de una fortuna o de la millonaria que busca novio con el que disfrutar de su dinero? Sin embargo, aunque este tipo de estafas sigue vigente, hay una especialmente peligrosa en los últimos años: el Fraude del CEO.

Infografía: Europol.

«Hemos tenido muchísimos casos de denuncias y no hemos podido recuperar el dinero, sobre todo en estafas del CEO», nos cuenta Juan Antonio Calles, CEO de Zerolynx, ya que «montan cuentas en paraísos fiscales o en sitios que no colaboran con la justicia». Y lo peor es que la tendencia no hace más que crecer: «Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO», reconoce.

«Montan cuentas en paraísos fiscales. Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO»

Juan Antonio Calles, Zerolynx

Estas estafas son de las que más dinero cuestan a las grandes y no tan grandes empresas. En el gráfico de abajo puedes ver algunos ejemplos, recopilados por knowbe4, de estafas del CEO, el dinero perdido y el recuperado.

Tampoco se queda muy atrás el spoofing, sobre todo por lo sencillo y asumible que es. Según Bromium, por apenas 20 dólares puedes contratar un mes entero de campañas de spoofing por SMS. La facilidad para llegar a este tipo de cibercrimen es tal que, según un estudio de Caida, existen casi 30.000 ciberataques de spoofing al día.

¿Cómo se puede evitar todos estos tipos de casos? Siempre se habla de la concienciación, pero parece un mantra en el que pocos concretan medidas exactas y que, por desgracia rara vez funciona. Y es que «aunque hagas una campaña de concienciación, hay un porcentaje de la población que sigue cayendo«, asegura Daniel González, de Osane Consulting. «Esto es como las estafas de la lotería o del príncipe nigeriano: hay gente que cae y el que cae, cae varias veces, no le vale solo con una».

No, la culpa no es (casi nunca) de los empleados

Llegados a este punto, ¿no estaremos siendo un poco injustos con los empleados? Vale que la mayoría de los ciberataques se desencadena tras el error humano de un empleado, pero ¿acaso es justo ‘culpar’ a alguien que no está especializado en ciberseguridad? Pues quizá no.

Para Yoya Silva, ISO Tower Lead en DXC, «el empleado es el eslabón más débil, pero no debería serlo. Si la empresa está bien protegida, para un ciberatacante debería ser muchísimo más difícil llegar a un empleado cualquiera para poder hacer fraude. Esto debería pararse en alguna capa anterior«.

Yoya Silva (Woman in Cybersecurity Spain, WiCS).

No le falta razón. Si echamos un ojo a los datos veremos que, aunque los empleados podrían ser más cuidadosos, en muchas ocasiones sus empresas no les han ayudado a serlo.

Para empezar, el informe Global Corporate IT Security Risks Survey (ITSRS) de Kaspersky muestra una realidad evidente: el 88% de las compañías españolas afirma haber sufrido algún incidente de seguridad causado por la actuación de sus empleados… pero solamente el 38% ofrecen a su plantilla algún tipo de formación en este ámbito.

El 88% de las empresas españolas ha sufrido ciberincidentes por la actuación de sus empleados… pero solo el 38% les ofrece formación en este ámbito

Y es que muchas empresas son las primeras en culpar a sus empleados de sus ciberataques… a la vez que no protegen su seguridad informática. En 2019, PwC hizo una encuesta a más de 9.500 directivos de empresas de todo el mundo y sacó una peligrosísima conclusión: el 48% de estos ejecutivos reconoció que su empresa no tiene un programa de formación en ciberseguridad para sus empleados.

Por otro lado, otro informe, en este caso elaborado por Azure, muestra otra cifra muy a tener en cuenta: el 57% de las empresas encuestadas están pensándose dar formación a sus empleados, un porcentaje que a todas luces resulta demasiado bajo.

Pero lo grave no acaba ahí. No solo hay un problema de falta de concienciación entre empleados, sino también de reacción ante cualquier incidente: el informe de PwC revela que el 54% de las empresas ni siquiera tiene un proceso de respuesta ante ciberataques.

Y estos son los mimbres con los que los empleados, además de hacer su trabajo diario, deben evitar los ataques que les usan como puerta de entrada. Todo ello en un contexto en el que el 64% de las empresas reconoce haber sufrido un ataque de phishing en el último año y, según Verizon, el 94% del malware enviado en todo el mundo llega a través de correo electrónico.

Pero, ¿cómo puede ser tan efectivo el phishing si las empresas suelen contar con filtros antispam? Comparitech nos da la clave: muchos ciberatacantes consiguen burlar estos filtros. Una de las formas más eficaces de hacerlo es coger la dirección de email de una persona y registrarla en alguna web. Como el correo de confirmación será transaccional no será tratado como spam, así que los ciberdelincuentes incluyen ahí el enlace en el que quieren que pinche la víctima.

¿Es, entonces, simplemente una cuestión de fallos humanos por parte de los empleados? Evidentemente no. Los directivos también fallan y lo hacen en dos direcciones: en primer lugar, no invirtiendo en dar formación en ciberseguridad a sus empleados; y en segundo, asumiendo ellos también riesgos mucho más comprometedores que sus propios subalternos. De hecho, como nos cuenta Daniel Zapico, CISO de Globalia, «los puestos más sensibles de una organización no son los empleados medios, sino precisamente los directivos, ya que los ciberdelincuentes van a por ellos».

«Los puestos más sensibles no son los empleados medios, sino los directivos; los ciberdelincuentes van a por ellos»

Daniel Zapico, CISO de Globalia

Al final, en definitiva, se trata de un problema de muy difícil solución. Y es que, como asegura Zapico, «los ciberdelincuentes saben que el fallo humano existe, es inevitable, y lo que buscan es ese fallo humano. Cuando se insiste de forma masiva en intentar comprometer a través de una persona, antes o después acaba cayendo, es casi inevitable. Al final todas las organizaciones acabamos teniendo algún incidente, en mayor o menor medida, de mayor a menor impacto, con mayor o menor repercusión… pero al final todas tenemos algo. Y los incidentes menores son prácticamente a diario, a todas las organizaciones nos pasa«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

El récord más sospechoso del mundo: ¿por qué La Rioja, Ceuta y Melilla no tienen brechas de datos?

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

En lo que llevamos de año, en España ha habido 770 brechas de datos notificadas a la Agencia Española de Protección de Datos (AEPD). ¿Qué comunidades autónomas dirías que son las que más notificaciones han enviado? Los datos de la AEPD nos dejan una estadística previsible: Madrid y Cataluña encabezan el ránking, seguidas de la Comunidad Valenciana y Andalucía.

Lo cierto es que sorprenden para bien los buenos datos de La Rioja (0 brechas), Ceuta (2), Melilla (2) y Cantabria (3), ¿verdad? Está claro que su menor tamaño juega a su favor, pero en cualquier caso es positivo que en sus territorios apenas haya brechas, ¿no?

No tan deprisa. Vamos a echar la vista atrás y a fijarnos en los datos de 2019:

Vaya, pues resulta que las cuatro vuelven a estar a la cola. De hecho, Ceuta y Melilla no tuvieron ni una sola brecha de datos en todo 2019. Es verdaderamente asombroso.

Caray, ya nos ha picado la curiosidad: ¿y en 2018? ¿También tuvieron tan buenas estadísticas? Pues nada, vamos a verlo:

Definitivamente, los datos de Ceuta y Melilla son de absoluto récord, y los de Cantabria y La Rioja no se quedan muy atrás. Estos cuatro territorios cosechan unas cifras buenísimas. De hecho son tan buenas… que no hay quien se las crea.

No notificar brechas de datos no significa que no las haya

¿Por qué estos datos resultan increíbles? Porque que una comunidad autónoma no notifique brechas de datos no significa que no las tenga, sino que no las notifica. Punto. La abogada Icíar López-Vidriero, especialista en protección de datos, mira estas cifras con la misma ironía: «Sorprende, y mucho, que Ceuta y Melilla no ‘tengan’ brechas de datos y que Cantabria y La Rioja ‘tengan’ tan pocas».

¿Y por qué las empresas no notifican las brechas? Es la pregunta que le hemos hecho tanto a López-Vidriero como a Andrés Calvo, este último de la AEPD. Entre los dos nos dibujan las razones más comunes:

1.- Desconocimiento. Algo que a buen seguro pasará en muchas pymes, aunque en las de estas comunidades autónomas ‘sorprende’ especialmente. Para Andrés Calvo las brechas desconocidas «son las más peligrosas, ya que el responsable no será consciente de que está siendo atacado y de que está saliendo información de su organización».

«Las brechas desconocidas son las más peligrosas, ya que el responsable no es consciente de que está saliendo información de su empresa»

Andrés Calvo, agencia española de protección de datos

2.- Asesoría. A veces las brechas no se notifican por una falta de asesoramiento legal, porque las empresas no saben que deben comunicarlas. Aquí López-Vidriero resalta la figura del delegado de protección de datos, que «en su objetividad y en su independencia sí tiene obligación de notificarlo. Por tanto, las empresas que tienen un delegado de protección de datos sí deben llevar a cabo el protocolo».

3.- Nula voluntad. Abordemos el tema de una vez: si algunas empresas no notifican sus brechas de seguridad es, simple y llanamente, porque no quieren hacerlo. Aquí Calvo recuerda que «el Reglamento General de Protección de Datos obliga a los responsables a notificar una brecha cuando consideran que puede afectar a sus derechos y libertades».

La situación pinta complicada. Como ya vimos en el pasado reportaje, las pymes españolas son las grandes perdedores de la batalla por mantener a salvo su ciberseguridad, aunque tampoco ayuda la poca transparencia de algunas, que prefieren dejar la suciedad bajo la alfombra. Y entre unas y otras, la casa sin barrer.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

¿Cómo se caza a un cibercriminal? Así luchan las empresas españolas por proteger su ciberseguridad

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Hace poco tiempo, una empresa española estaba sufriendo una de sus mayores crisis. ¿La razón? Su sistema informático no hacía más que fallar: lo hacía constantemente, cada 3-4 horas, paralizando toda su actividad y afectando seriamente a su negocio, que empezaba a sufrir graves pérdidas económicas. Y por más que miraban, nadie daba con el problema: todo estaba bien, pero el sistema, inexplicablemente, fallaba cada dos por tres.

Pasado un tiempo, cuando la situación ya era casi insostenible para su negocio, llegaron a pensar que estaban sufriendo algún tipo de ciberataque, pero no encontraban nada, así que la empresa decidió acudir a la Guardia Civil. Allí le contaron lo sucedido al equipo de César Lorenzana, que recuerda lo que se encontró al principio: «Cada cada tres, cuatro o cinco horas el sistema se venía abajo, lo restauraban, volvía a funcionar… y a las pocas horas volvía a fallar. La empresa ya había hecho un montón de análisis, pero no encontraba ninguna pieza de malware ni rastros de ningún posible atacante».

César Lorenzana (Guardia Civil)

Fue entonces cuando comenzó la investigación: «Nos preguntábamos quién podía tener el motivo, porque estaba claro que algo raro estaba pasando. En la empresa nos hablaron de ciertos trabajadores del departamento de IT que habían despedido porque estaban descontentos y empezamos a indagar». A partir de ahí fueron avanzando, ya que «sospechamos que uno de esos trabajadores se había llevado tarjetas SIM de la empresa que estaban mal catalogadas y con ellas estaba enviando código para provocar las paradas«. Pero era algo difícil de probar: «Hicimos un estudio comparativo de las tarjetas, de los dispositivos que se habían utilizado, miramos las localizaciones de señales… y al final pudimos demostrar que efectivamente era esa persona, desde su domicilio, la que enviaba los códigos de parada».

«Un informático colocaba bombas lógicas para que el sistema fallase y le llamasen. Se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo»

César Lorenzana, guardia civil

No es el único caso de este tipo al que se ha enfrentado Lorenzana: «Tuvimos un caso parecido de una persona que se dedicaba a dar soporte informático para varias empresas y colocaba bombas lógicas para que el sistema fallase y tuviesen que volver a llamarle. Nadie en la empresa se explicaba qué estaba pasando, pero en los análisis encontramos una pieza de malware. Lo más curioso fue que, cuando estábamos en pleno laboratorio, el atacante se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo, con lo que cogimos los trazos de comunicación, grabamos el tráfico y pudimos identificarlo».

Conocer de cerca estos casos nos puede resultar llamativo por conocer de cerca cómo es una investigación, pero lo cierto es que, como veremos a continuación, las situaciones de este tipo se producen a diario.

La batalla más desigual de la historia: grandes empresas Vs. pymes

A la hora de analizar cómo protegen las empresas su ciberseguridad hay que hacer de entrada una clara distinción: grandes empresas y pymes. Para empezar, analicemos su presencia en España: según los datos del Ministerio de Industria, Comercio y Turismo, las pymes (hasta 250 empleados) son abrumadora mayoría en España, representando al 99,9% de las empresas.

No parece baladí que cualquier tipo de empresa proteja su ciberseguridad, ya que, como vimos en su momento, España es el país más ciberatacado del mundo según el informe de Imperva y el segundo según el de CyberEdge.

Y a la hora de recibir ataques, ¿qué tipo de empresas se ven más afectadas? Un estudio de Tecteco, citando al Incibe como fuente, lo pone negro sobre blanco: en España, el 70% de los incidentes de ciberseguridad van dirigidos a las pymes.

Así pues, la diferencia de preparación entre unas empresas y otras es abismal. El informe Hiscox Cyber Readiness Report 2020 realiza un análisis en función no solo de las capacidades de las empresas españolas, sino también de su tamaño. Las grandes empresas, como vemos, están por encima de pymes y micropymes.

En términos porcentuales, de hecho, el gasto también. El informe de Hiscox también analiza el porcentaje del presupuesto de IT que las grandes empresas destinan a ciberseguridad. En España no solo está creciendo, sino que además supera la media europea.

El drama de la pyme: ni sabe, ni puede invertir ni se siente amenazada

¿Y qué pasa entonces con las pymes? Que, a tenor de los datos expuestos, están muy poco protegidas, especialmente si tenemos en cuenta que, como vimos antes, son las receptoras del 70% de los ciberataques en nuestro país. ¿A qué se debe su escasa protección? Podemos dibujar tres factores principales:

1.- Poca sensación de amenaza

Según un estudio de The Cocktail para Google, el 99,8% de las pymes españolas no se consideran un objetivo atractivo para los ciberdelincuentes. Las cifras son devastadoras y hablan por sí solas (tendrás que afinar el ojo para ver ese 0,2% del ‘Sí’):

2.- Pocos recursos

Por mucho que se insista a las pymes en la necesidad de ciberprotegerse, no nos engañemos: sería ilusorio pensar que una microempresa que sufre para llegar a fin de mes pueda disponer de recursos para tal fin. Según el Hiscox Cyber Readiness Report 2020, las micropymes españolas (de 1 a 9 empleados) dedican el 6,5% su presupuesto de IT a ciberseguridad, significativamente por debajo de otros países europeos:

Además, el informe de The Cocktail nos ofrece otro dato relevante: el 20% de las pymes delegan su ciberseguridad en un familiar o un amigo, mientras que el 12% ni siquiera destina un solo recurso a ello:

3.- Poca concienciación

Siempre se habla mucho de la concienciación de los empleados como freno al cibercrimen, pero aún queda mucho, muchísimo por hacer. The Cocktail revela que la mayoría de empleados de las pymes españolas no sabe o no puede reaccionar ante un incidente de ciberseguridad:

¿Cómo se convence a una pyme?

Todos somos conscientes de que debemos concienciar más a las pymes para que inviertan en ciberseguridad pero, si tiramos de empatía, podemos llegar a entender que para un pequeñísimo negocio esa sea la menor de sus preocupaciones. ¿Hay alguna forma de convencerlas? Los expertos con los que hemos hablado nos dan tres claves:

1.- El cibercrimen sí va a afectar a tu negocio

Es evidente que, en caso de ciberataque, el núcleo del negocio de una pyme no se va a ver tan afectado como el de una gran empresa. Pero eso no quiere decir que no afecte en absoluto: «Las pymes pueden a tener una pérdida de unos 35.000 euros por una brecha de seguridad o un ciberataque», nos cuenta Icíar López-Vidriero, de ICEF Consultores, «y con esas cantidades… igual la empresa no se repone y acaba no teniendo viabilidad económica».

«Las pymes pueden a tener una pérdida de 35.000€ por un ciberataque, y con esas cantidades… igual no son viables»

Icíar López-Vidriero, ICEF Consultores

Las consecuencias económicas también pueden venir derivadas de otro factor a tener muy en cuenta: las sanciones. La Asociación Española de Protección de Datos (AEPD), por ejemplo, impuso 907 sanciones a empresas españolas en 2018 y 338 en 2019.

2.- Tus datos son más valiosos de lo que crees

Si cualquier pyme no se considera un objetivo atractivo para el cibercrimen es porque realmente no cree que sus datos puedan ser relevantes para el delincuente. Sin embargo, la abogada Elena Gil recuerda que «el robo de información y la venta de datos es un negocio lucrativo, y eso ya te pone en la diana de ciberatacantes que saben que ciertas organizaciones están muy protegidas y son muy difíciles de atacar, pero que el gran tejido empresarial de un país –las pymes– están poco protegidas».

Icíar López-Vidriero (ICEF Consultores)

Pero vayamos más allá y asumamos que, efectivamente, los datos de una pyme no son especialmente relevantes para un ciberdelincuente. Da igual: el caso es que seguirán siendo relevantes para la propia pyme, de modo que «te pueden pedir un rescate en criptomonedas. Y si encima pagas, es probable que vuelvan a pedirte dinero», insiste Elena Gil.

3.- Subcontrata lo que puedas y, si no puedes, pide ayuda

Andrés Calvo, de la AEPD, reconoce que «más del 95% de las micropymes en España tienen menos de nueve trabajadores: ¿cómo puede una empresa de este tamaño dedicar esfuerzos a la ciberseguridad? Es complicado». Por tanto, «hay que pensar en la ciberseguridad como un servicio más, tienes que contratar a un experto. No para tenerlo todos los días en la empresa, pero sí para que haga una pequeña política de ciberseguridad y de protección de datos».

Y si una empresa no puede gastarse dinero en esto, siempre puede tirar de recursos públicos y gratuitos. Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, recuerda iniciativas como «la de la Cámara de Comercio de España, que ha creado un plan de ciberseguridad para ayudar a las pymes que quizás son las más débiles, las que menos fuerza tienen para ser capaces de protegerse adecuadamente». Otros organismos, como Incibe, ofrecen un amplio abanico de herramientas de ciberseguridad para pymes, la mayoría de ellas gratuitas, y también contiene un listado de soluciones gratuitas desarrolladas por empresas españolas.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture