En las tripas del Incibe: entrevista a Jorge Chinea

El Incibe es una de las caras más visibles de la ciberseguridad en España, así que hemos querido conocerlo un poco más por dentro. Charlamos con Jorge Chinea, su responsable de ciberseguridad en servicios reactivos, para conocer la labor que hacen desde dentro y debatir hasta qué punto España es importante (o no) en la lucha por mantener la ciberseguridad a nivel mundial.

En líneas generales, ¿qué lugar ocupa España en el panorama internacional?

–En un entorno tan cambiante es difícil hacer un ranking de este tipo. Además, se añade la dificultad del uso de diferentes parámetros en función del estudio por parte de diferentes actores. Si tuviéramos que tomar algún documento como referencia, quizás el estudio Global Cybersecurity Index 2018, en el que España ocupa el puesto número 7 a nivel mundial en cuanto a su nivel de compromiso con la ciberseguridad.

–¿Cómo definiríamos el perfil de un cibercriminal? ¿Es un especialista en tecnología que acaba delinquiendo… o un delincuente de toda la vida que se acaba especializando en tecnología?

–Si eliminamos la palabra ‘ciber’ tenemos la definición. No es más que el delincuente que utiliza la tecnología para llevar a cabo su actividad. En función de sus conocimientos técnicos podrá hacerlo con mayor o menor acierto, será más fácil o difícil localizarle, pero al final es un delincuente. El problema es que su ámbito de actuación es cualquier dispositivo tecnológico conectado, en cualquier parte, desde cualquier lugar.

–¿Hasta qué punto las empresas españolas protegen su ciberseguridad? ¿Hay mucha diferencia entre grandes y pequeñas?

–Según el último estudio del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (Onstsi), las empresas españolas están bastante concienciadas de cuáles son los incidentes de seguridad y las consecuencias negativas que se pueden derivar de ellos. Además, las medianas y grandes aseguran haber implantado medidas de ciberseguridad en mayor proporción que las microempresas y pequeñas empresas.

«Algunas empresas implantan medidas por mero cumplimiento legal o porque necesitan una certificación de ciberseguridad para algún proyecto»

Bien es cierto que el ‘mayor impulsor’ para tomar medidas de ciberseguridad, principalmente en pequeñas y medianas empresas, surge cuando han sufrido un incidente de ciberseguridad o ha sido víctima algún cliente, colaborador o incluso la competencia. Pero también cabe señalar que suelen implantar medidas por mero cumplimiento legal o porque dentro de un proyecto en el que tienen que participar necesitan algún tipo de certificación o acreditación de ciberseguridad, como puede ser por ejemplo la ISO27001. Sin embargo, hay un pequeño grupo donde es importante poner el foco: las empresas que hacen de la ciberseguridad un valor diferencial.

–¿Cuáles son las mayores puertas de entrada del cibercrimen? Phishing, empleados, acceso a servidores…

–Independientemente del tamaño de la organización, las personas son las ‘llaves’ más importantes para cerrar estas puertas de entrada, ya que gestionan uno de los principales activos en cualquier organización: la información. Puede ser una factura, un proyecto de ingeniería, la contabilidad de una empresa, etc., pero al final es el principal activo a proteger con la implantación de diferentes medidas. Pero por muchas medidas que implantemos, por muchas grandes soluciones de ciberseguridad que tengamos, si no concienciamos y formamos a los usuarios para que sepan qué es el phishing, por qué es importante usar contraseñas seguras, cómo deben de proteger la información de manera adecuada… de nada servirán.

–¿Puedes contarnos algunos casos de ciberataques/intrusiones que haya tratado Incibe?

–Dentro de los blogs de las webs en las que nos dirigimos tanto a usuarios, a través de la Oficina de Seguridad del Internauta, como a empresas, a través de Protege tu empresa, publicamos historias reales. Son patrones comunes que vemos diariamente dentro de la gestión de incidentes con datos totalmente ficticios. Te expongo una historia sobre un tipo de amenaza que hemos visto y seguimos viendo mucho:

Sara, directora de la sede central de la empresa JubilActiva, estaba inmersa en la organización de un nuevo viaje centrado en visitar varias capitales del norte de Europa, cuando empezó a recibir varias llamadas que le resultaron alarmantes. Se trataba de los coordinadores de las delegaciones de JubilActiva que habían recibido un correo de Sara para que descargasen un documento y lo firmaran, tal como se muestra en la siguiente imagen:

En principio, nada hacía sospechar sobre el correo, ya que normalmente los empleados de JubilActiva se envían adjuntos a través del correo para agilizar el papeleo entre las distintas sedes. Quizá el texto era un poco escueto, pero en días ajetreados también es habitual enviar correos cortos y concisos. Al descargar el documento, este no se abría inmediatamente, sino que se visualizaba un mensaje como este:

Al hacer clic en «Habilitar contenido» (en la imagen, «Enable Content») no aparecía ningún documento relacionado con la empresa, por lo que la gente que lo recibía comenzó a llamar a Sara para pedir explicaciones sobre el misterioso documento. Ellos no eran conscientes, pero con esta acción le habían abierto la puerta al malware. Debido a la capacidad de réplica de Emotet, los primeros receptores de estos falsos documentos empezaron a recibir llamadas de sus contactos de correo electrónico. Estaban enviando también este correo a toda su lista de contactos. El equipo de Sara estaba infectado con el malware Emotet.

–Una de las tipologías de ciberataque más frecuentes son los realizados contra infraestructuras críticas. ¿Hasta qué punto es un peligro?

–Las infraestructuras críticas en realidad no son el target de ataque más frecuente, aunque tienen mayor impacto. Los operadores de infraestructuras críticas tienen por ley unas exigencias de ciberseguridad que hace que estén razonablemente protegidas, cuentan con áreas propias de ciberseguridad y son organizaciones concienciadas. Eso no exime a que cualquier incidente en un operador crítico tenga impacto, el riesgo cero no existe.

Dentro de los ciberincidentes más comunes con los que nos encontramos, tomando como referencia la taxonomía de la Guía nacional de notificación y gestión de ciberincidentes podríamos decir que prácticamente tratamos con los diferentes tipos de ciberincidentes que se describen, pero hay tres tipos que vemos con mucha frecuencia:

  1. Fraude: uso no autorizado de recursos empleando tecnologías y/o servicios por usuarios no autorizados, como la suplantación de identidad, la violación de derechos de propiedad intelectual u otros engaños.
  2. Malware: con acciones como extracción de datos u otro tipo de alteración de un sistema.
  3. Sistema vulnerable: fallos o deficiencias de un sistema que permitirían que un atacante acceda a la información o lleve a cabo operaciones no permitidas de manera remota.

Hablemos en serio del voto electrónico: por qué puede ser una gran alternativa… pero no va a triunfar a corto plazo

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Llevamos años hablando del voto electrónico y las posiciones siguen casi tan enquistadas como al principio: los que lo impulsan dicen que es seguro y fiable; los que trabajan en el ámbito de la ciberseguridad recalcan que ningún voto electrónico es 100% fiable; los políticos quieren dar tímidos pasos hacia adelante, pero se resisten a abandonar un sistema fiable (al menos en España) como es el actual; y los ciudadanos están divididos entre los que quieren voto electrónico y los que le ven más problemas que soluciones

Y en esas posturas seguimos años después. En el capítulo 19 de El Enemigo Anónimo hemos querido analizar, en profundidad, las ventajas y desventajas del voto electrónico, pero también sus posibilidades reales de implantarse a corto plazo. Veamos los argumentos a favor del voto electrónico, los argumentos en contra, las dudas y los requisitos para que este tipo de votación sea fiable… y confiable.

Radiografía del voto electrónico en el mundo

A día de hoy, ciertos países recurren o han recurrido al voto electrónico. En el siguiente gráfico puedes ver cuáles lo usan de algún modo (ya sea en elecciones nacionales, regionales, estatales, locales…).

Los colores dejan intuir un triunfo del no y los datos así lo corroboran. Aquí podemos ver, en porcentajes, la aceptación de este tipo de voto en todo el mundo, según IDEA:

En esta maraña de datos suele haber un alumno aventajado del que siempre se habla: Estonia. Efectivamente, el país permite el voto electrónico y cada vez es más usado por más gente:

Un estudio del Departamento de Seguridad del Gobierno de Euskadi va más allá: analiza no solo los países que han implantado el voto electrónico, sino también los que lo están sopesando o incluso haciendo pruebas.

Como vemos, en ese mapa aparece España como uno de los países en el escalón intermedio. ¿Qué experimentos está haciendo España exactamente? Estas son algunas de las pruebas piloto ya realizadas:

Euskadi:

  • Primeras pruebas en 1998 en las Elecciones al Parlamento Vasco
  • Desarrollo de Demotek (su propio sistema de voto electrónico), utilizado por otros organismos

Cataluña:

  • Prueba en 1995 con tarjetas de banda magnética en dos colegios electorales
  • Prueba piloto en 2003 para el voto electrónico en remoto dirigido a los no residentes

Galicia:

  • Prueba en 1997 de dos sistemas de voto de pantalla táctil para las elecciones al Parlamento de Galicia
  • Prueba en 2005 de nuevos sistemas de voto con pantalla táctil para las elecciones al Parlamento de Galicia

Andalucía:

  • Prueba en 2004 de voto electrónico a través de internet

España:

  • Prueba en las elecciones generales de 2004 de voto electrónico remoto en tres mesas
  • Prueba en 2005 (referéndum de la Constitución Europea) de voto electrónico por internet
  • Pruebas de mesas administradas electrónicamente en las elecciones a Diputados y Senadores de 2008, las Europeas de 2009 y las Municipales de 2011

A favor del voto electrónico: la tecnología existe

No seamos catastrofistas: la tecnología para el voto electrónico existe y, en líneas generales, es efectiva (otra cosa es que se pueda atacar, como veremos más adelante). Además, presenta dos ventajas principales más allá de la pura tecnología:

  • Incitación al voto. «En la España vaciada mucha gente puede no tener un aliciente suficiente para votar si tiene que desplazarse varios kilómetros», nos cuenta Tamara Álvarez Robles, investigadora de la Universidad de Vigo y una de las mayores expertas en voto electrónico de España. En su opinión, «poder votar de forma electrónica lo hará más cómodo para mucha gente», e incluso añade otro nicho de población: «Muchos jóvenes no quieren hacer el esfuerzo para ir a votar en una urna, así que votar de manera electrónica puede hacer que se involucren más».
  • Voto a distancia. El voto por correo no es, a día de hoy, un método que entusiasme a los que lo practican. Hay infinidad de requisitos, papeletas que llegan tarde, poca seguridad en la logística y entrega de votos, burocracia… Luis Álvarez, CEO de SIA, recuerda que «hay experiencias en Latinoamérica en las que el voto electrónico se está implantando para personas que no están en el país».

En estas ventajas (y muchas más) estarán de acuerdo la inmensa mayoría de países que apuestan por el voto electrónico. Porque sabemos de países que han adoptado este modelo, pero ¿qué tal les ha ido? El investigador Fernando García Mora, de la Universidad Oberta de Catalunya (UOC), tiene un interesantísimo estudio analizando el balance de cada país que ha implementado el voto electrónico, su tipología, sus ventajas y sus posibles riesgos. En general, los resultados son positivos:

También resulta interesante analizar en qué momento se encuentran aquellos países que están experimentando con el voto electrónico. Según el análisis de García Mora, la mayor ventaja que encuentran es la automatización del proceso, y la mayoría de los países lo hacen mediante un voto presencial en una máquina.

En contra del voto electrónico: ninguna tecnología es infalible

Decíamos antes que no podemos ser catastrofistas con el voto electrónico, pero tampoco podemos ser ilusos: en el momento en que una tecnología está conectada, ya es vulnerable. Y en el ámbito doméstico o empresarial puede ser grave, pero en el electoral es muchísimo más que grave.

«Los expertos que analiza los sistemas de voto electrónico dicen que ningún sistema es seguro«, asegura Yolanda Quintana. De hecho, «muchos países que lo han implantado han dado pasos para atrás. Cualquier sistema digital es atacable, y la seguridad total no existe». De esto saben mucho los participantes en DEF CON Voting Village, un encuentro en el que los ‘hackers de sombrero blanco’ se juntan para analizar los distintos sistemas de voto electrónico y encontrarles vulnerabilidades. Y su curriculum de hallazgos lo deja claro: si alguien tiene el dinero, el tiempo y los recursos para intentar romper un voto electrónico, es muy probable que lo acabe consiguiendo.

«Creo que España, a día de hoy, no está preparada para el voto electrónico… como no lo está prácticamente ningún país del mundo«, añade Daniel González. «Suiza ha estado haciendo pilotos y en 2019 los paró porque no los consideraba del todo seguros». Efectivamente, Suiza es uno de los países que mejores experimentos estaba haciendo con este tipo de voto, pero los ha dejado temporalmente en la nevera. ¿La razón? Los múltiples fallos de seguridad que ha dado y, en consecuencia, la pérdida de confianza en este sistema.

«España a día de hoy no está preparada para el voto electrónico… como no lo está prácticamente ningún país del mundo»

Daniel González (Osane Consulting)

Este es uno de los argumentos por los que España no da demasiados pasos hacia el voto electrónico. En 2017 lo reconocía el propio secretario de Estado de Seguridad, José Antonio Nieto Ballesteros: «Hoy en día está más lejos que hace diez años porque es muy manipulable«.

Aunque no es el único argumento que esgrime nuestro país. Y es que en otras naciones el voto físico y presencial implica serios riesgos de manipulación, cosa que, por suerte, no sucede en España, más allá de posibles casos aislados en el recuento manual. El Consejo de Estado, en un amplísimo informe sobre la homogeneización del sistema electoral, apuntaba en esa dirección e indicaba que, ante la fiabilidad del sistema electoral actual, España no necesita recurrir a la tecnología para mejorar la seguridad: «Es claro que el sistema electoral español no presenta, afortunadamente, esas graves anomalías [la manipulación de votos físicos] y que las eventuales irregularidades que se producen en todo proceso electoral pueden resolverse de modo satisfactorio a través de los cauces ordinarios que ofrece la ley vigente».

La postura de España ante el voto electrónico: «Hoy está más lejos que hace diez años porque es muy manipulable»

En este punto también conviene investigar en qué se han basado los países que reniegan del voto electrónico para hacerlo. El análisis de García Mora no da demasiadas pistas. Desde luego, la ciberseguridad puede ser un motivo para descartar este tipo de voto, pero ni mucho menos es el único:

Tamara Álvarez Robles apunta otro factor: «No estamos preparados para un voto electrónico por una cuestión de brecha digital y generacional. Nosotros venimos de una generación donde tecnológicamente tenemos ciertas carencias. La gente que viene detrás sí está acostumbrada a interactuar fácilmente con estas tecnologías, pero la mayoría de la población no».

Olvídate de la tecnología: ¿qué pasa con las conspiraciones?

Como vemos, la oposición al voto electrónico tiene mucho que ver con la ciberseguridad… pero no solo con eso. De hecho, olvidémonos totalmente de la ciberseguridad, ya que hay otro factor, quizá el más importante, que imposibilita definitivamente que el voto electrónico triunfe a corto plazo: las dudas políticas, las conspiraciones y las acusaciones de fraude.

Lo explica muy bien Marilín Gonzalo: «El voto tiene básicamente dos propósitos: elegir a un ganador de forma correcta… y convencer al perdedor de que ha perdido bien».

«El voto tiene dos propósitos: elegir a un ganador de forma correcta… y convencer al perdedor de que ha perdido bien»

Marilín Gonzalo (Newtral)

No es poca cosa esto, ojo. No hay más que coger el ejemplo de España: cada vez que hay elecciones, los votantes de según qué partidos (en las últimas elecciones, los de Vox) dejan caer una duda tan falsa como frecuente: que las elecciones españolas pueden estar manipuladas. ¿La razón? Según ellos, que Indra hace el recuento de votos y ahí es donde se puede manipular todo el proceso. El argumento no solo es absurdo, sino también falso: se ha explicado un millón de veces, por activa y por pasiva, que ninguna empresa (ni Indra ni Scytl, que también ha participado en elecciones españolas) cuenta absolutamente ningún voto, tan solo registran en la web los votos que han sido contados a mano y enviados desde cada un de los colegios electorales.

La cuestión es que, aunque este punto se explique una y mil veces, quien quiera sembrar la duda seguirá haciéndolo. Y es aquí donde el voto electrónico se enfrenta a su rival más poderoso: la desconfianza social. Si a día de hoy, con un sistema de recuento electoral físico, auditable y totalmente seguro, ya hay acusaciones (falsas) de manipulación electoral, ¿podemos imaginarnos qué pasará si el voto es electrónico? Dará igual que el voto haya sido manipulado o no, que haya habido o no injerencias, que se hayan producido o no vulnerabilidades informáticas: quien quiera montar conspiraciones, lo hará igualmente. Y aunque sea injusto, es un motivo que hay que tener en cuenta a la hora de adoptar o no el voto electrónico.

Si con un sistema de recuento electoral físico, auditable y totalmente seguro ya hay acusaciones (falsas) de manipulación electoral, ¿qué pasará si el voto es electrónico?

No hace falta indagar mucho para prever que la desconfianza hacia este sistema florecerá en cuanto se implante. Hace años, la Universidad del País Vasco realizó un estudio en el que analizaba la confianza que su personal estudiantil, docente e investigador tenía en el voto electrónico. A la pregunta de por qué el voto electrónico no les resulta convincente, destacan las opiniones sobre el secreto del voto, la falta de información sobre el funcionamiento del sistema electoral, las dudas sobre el software utilizado o directamente la falta de confianza en este método.

De hecho, la desconfianza en este sistema no es ni mucho menos exclusiva de España. En México, por ejemplo, una encuesta elaborada desde el propio Gobierno reveló que sus ciudadanos no confían en el voto electrónico:

De hecho, los mexicanos creen que el voto presencial, aun con los problemas que genera en su país, es mucho más fiable:

Requisitos para un voto electrónico seguro

De todo lo que hemos ido contando podemos inferir que el voto electrónico, al menos a corto plazo, lo tiene muy difícil para triunfar. Pero no neguemos lo evidente: antes o después se acabará implantando. ¿Qué requisitos necesitará para que todos lo usemos? En su investigación, García Mora remarca ocho factores esenciales:

  1. Fiabilidad técnica. El sistema debe ser robusto técnicamente y los votos no deben poder ser alterados o manipulados.
  2. Universalidad. Esta característica supone de facto reconocer que el derecho de sufragio, no solo lo tienen todos los ciudadanos electores, sino que lo pueden ejercer de forma efectiva.
  3. Libertad. El método de voto electrónico debería ofrecer el ambiente oportuno para que el elector decida su opción de voto sin presión de ningún tipo.
  4. Igualdad. El ciudadano debe poder votar sin que se le impida por cualquier razón y solo podrá hacerlo cuando se implementasen métodos mixtos de VE en colegio y VE telemático a la vez.
  5. Personalidad. El voto solo puede ser llevado a cabo por el elector y habiéndose previamente identificado inequívocamente.
  6. Secreto. La única persona autorizada a saber la opción del voto es ella misma.
  7. Verificabilidad. El elector debe poder verificar su propia opción de voto.
  8. Accesibilidad. De la misma manera que la solución debería ofrecer transparencia a los ciudadanos, también debe serlo para los partidos políticos y la Administración Electoral.

Con todos estos ingredientes, en definitiva, Tamara Álvarez Robles cree que será difícil votar totalmente de manera electrónica en los próximos años, pero podemos ir dando pasos: «Si me preguntas de aquí a cuatro años, 100% voto electrónico quizá no, pero podemos tener una temporada –que es lo que han hecho algunos estados– donde coexistan ambas posibilidades«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

El día en que España espió a sus rivales políticos: esta es la historia del malware Careto

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Febrero de 2014. Kaspersky anuncia que ha descubierto un malware espía que lleva activo desde 2007 y que ha afectado a más de 1.000 IP’s de 31 países en todo el mundo. La noticia no tendría por qué ser especialmente relevante, ya que el descubrimiento de un nuevo malware (por desgracia) no es algo nuevo, pero en este caso es diferente: ese malware ‘habla’ español. Y todo el mundo apunta hacia España como su principal origen.

Pero, ¿por qué todo el mundo está tan seguro de que este malware ha salido de España? Para saberlo necesitamos conocer a fondo Careto y analizar su forma de actuación y sus víctimas. Esta es la historia del día en que España decidió espiar a 31 países de todo el mundo, según todos los pronósticos.

¿Qué es Careto y cómo actuaba?

En 2013, un año antes de hacer públicas sus revelaciones, Kaspersky detectó un malware que estaba intentando explotar antiguas vulnerabilidades de productos suyos para no ser descubierto. Durante un tiempo, de hecho, parece que lo consiguió: según sus investigaciones, llevaba activo desde 2007. Le pusieron de nombre Careto, ya que era la palabra que se repetía varias veces en algunos de sus módulos.

Careto llegaba a través de phishing, haciendo que sus víctimas pinchasen en un enlace que les hacía pasar por webs con exploits para infectar sus equipos. Una vez producida la infección, Careto interceptaba los canales de comunicación del equipo y recopilaba toda la información que podía.

Además, su ámbito de actuación a nivel tecnológico era más que amplio: los ingenieros de Kaspersky detectaron su presencia en Windows y en MacOS, y también encontraron posibles restos en sistemas operativos iOS y Android, con lo que la infección podía producirse tanto en un ordenador como en un móvil o un tablet. En el capítulo 8 de El Enemigo Anónimo ya tratamos la existencia de Careto:

¿A quién espió?

Los investigadores detectaron la presencia de Careto en más de 1.000 IP’s de 31 países, pero aseguraron que, dada la naturaleza de su actuación, es probable que hubiese muchas más víctimas. Dichas víctimas fueron de distintos tipos:

  • Instituciones gubernamentales
  • Oficinas diplomáticas y embajadas
  • Empresas de energía, petróleo y gas
  • Instituciones de investigación
  • Fondos de inversión privados
  • Activistas

Si segmentamos por países, Marruecos es el más afectado, con 383 víctimas, seguido de Brasil (173), Reino Unido (109), España (61), Francia (59), Suiza (33), Libia (26), Estados Unidos (22), Irán (14), Venezuela (10) y así hasta llegar a un total de 31 países repartidos por todo el mundo, entre los que hay sorpresas como la presencia de Gibraltar. En el siguiente mapa puedes ver el reparto de países afectados y sus víctimas.

¿Qué consiguió robar?

Según los investigadores de Kaspersky, Careto recopilaba una gran lista de documentos, incluidas claves de cifrado, configuraciones de VPN, claves SSH y archivos RDP. También había varias extensiones desconocidas que podrían estar relacionadas con herramientas de cifrado a nivel militar y/o gubernamental. La lista completa de extensiones conocidas es la siguiente:.

*AKF, *. ASC, *. AXX, *. CFD, *. CFE, *. CRT, *. DOC, *. DOCX, *. EML, *. ENC, *. GMG, *. GPG, *. HSE, *. KEY, *.M15, *. M2F, *. M2O, *. M2R, *. MLS, *. OCFS, *. OCU, *. ODS, *. ODT, *. OVPN, *. P7C, * .P7M, *. P7Z, *. PAB, *. PDF, *.PGP, *. PKR, *. PPK, *. PSW, *. PXL, *. RDP, *. RTF, *. SDC, *. SDW, *. SKR, *. SSH, *. SXC, *. SXW, *. VSD, *.WAB, *. WPD, *. WPS, *. WRD, *. XLS, *. XLSX

«Careto graba conversaciones de Skype, ve todo lo que tecleas, saca pantallazos, roba archivos… todo un arsenal para espiar»

Además, un analista de Kaspersky aseguró a eldiario.es que «el malware permite grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos, instalar cualquier cosa en tu equipo… En fin, todo un arsenal para espiar«.

¿Por qué se le atribuye a España?

Como casi siempre pasa, la atribución de Careto resulta complicada, pero son muchos los analistas que en su momento –y aún a día de hoy– aseguran que Careto procede de España. Y no de un grupo de cibercriminales, sino directamente del gobierno español. ¿Por qué están tan seguros? Veamos los indicios que hay:

1.- IDIOMA

En los análisis internos de Careto se han descubierto líneas de código escritas en español. Esto por sí solo no tendría por qué ser incriminatorio, ya que hay muchos países en los que se habla español y, además, la presencia de este idioma podría haberse puesto como una pista falsa.

«No debemos excluir falsa bandera, pero mientras la mayoría de ataques usan idiomas como el chino o el inglés, lo cierto es que el alemán, el francés o el español aparecen muy raramente»

Sin embargo, Kaspersky aseguró en su momento que «no debemos excluir la posibilidad de una operación de falsa bandera, donde los atacantes escribieron intencionalmente palabras en español para confundir», pero «mientras la mayoría de los ataques conocidos hoy en día usan idiomas como el chino o el inglés», lo cierto es que «el alemán, el francés o el español aparecen muy raramente en ataques APT«.

Hay otro detalle curioso: Careto simulaba llevar a sus víctimas a periódicos online de diversa índole, pero predominan los españoles. Estos son algunos de los subdominios que usó:

2.- ATAQUE DE UN ESTADO

Podríamos pensar que, aunque Careto proceda de España, su origen puede estar en un grupo cibercriminal. Sin embargo, los analistas de Kaspersky aseguran que este malware tiene «un altísimo grado de profesionalidad, incluido el monitoreo de su infraestructura, evitar miradas curiosas mediante reglas de acceso, usar el borrado de archivos de registros, etc».

«Este nivel de seguridad operativa no es normal en grupos de ciberdelincuentes. Esto nos hace creer que puede ser una campaña patrocinada por un estado»

Este nivel de seguridad operativa, en su opinión, «no es normal en los grupos de ciberdelincuentes. Este y otros factores nos hacen creer que esta podría ser una campaña patrocinada por un estado«.

3.- GEOGRAFÍA

Cuando analizamos el reparto geográfico de las víctimas de Careto vemos cuatro zonas especialmente relevantes:

  • Norte de África
  • Latinoamérica
  • Europa
  • Gibraltar

Te dejamos de nuevo el mapa de víctimas para que puedas analizarlo pormenorizadamente. ¿Qué gobierno puede estar interesado en espiar a zonas geográficas tan dispares como el norte de África, Latinoamérica, Europa y, sobre todo, un territorio tan particular como Gibraltar?

Para Txarlie Axebra, «a día de hoy es bastante evidente que Careto fue desarrollado por el gobierno español y, sin embargo, no ha existido ningún tipo de investigación sobre quién financió y cómo se llevó a cabo un sistema de infección para robar credenciales supuestamente a aliados del propio Estado español».

En su opinión, este tipo de circunstancias son muy representativas de hasta qué punto la ciberguerra llega a todos los países: «Hace 20 años hubiera sido impensable que el Gobierno español montara un espía en cada embajada o en cada empresa competidora de sus grandes empresas, pero a día de hoy con la tecnología es posible y, por tanto, todos lo están haciendo».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Los villanos de la ciberguerra: estos son los países que más atacan (y los mercenarios que les hacen el trabajo sucio)

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Una mañana cualquiera, en una cumbre internacional, los presidentes del Gobierno de dos países distintos se dan la mano y charlan efusivamente. La situación no sorprende a nadie, ya que son dos países aliados y han colaborado infinidad de veces. Lo que quizá sorprenda más es que esa misma tarde, apenas unas horas después, se haga público que uno de esos dos países lleva meses ciberatacando al otro para espiar sus comunicaciones, acceder a sus secretos estratégicos y perjudicar a sus empresas.

Esta situación, aunque nos la acabemos de inventar, no tiene nada de irreal. En realidad sucede a diario. Es lo que tiene la ciberguerra: que ya no sabes si tus aliados en el mundo offline pueden ser tus enemigos en el online. Y, como hemos podido ver esta semana en el capítulo 8 de El Enemigo Anónimo, todos los países son atacados… y todos atacan. No hay más que ver cómo los ciberataques geopolíticos entre países no paran de crecer cada año.

Estos son los villanos de la ciberguerra

La semana pasada hablábamos de los países más perjudicados por la ciberguerra, pero ¿y los más beneficiados? Si vivimos en ciberguerra, ¿quiénes son los mayores cibervillanos? Para Yolanda Quintana, «en este top estarían Estados Unidos, Rusia, China, Corea e Irán: son los países que controlan un mayor número de tecnologías para una parte esencial de la ciberguerra, que es la guerra de la información, y también tienen a los mayores expertos».

El pronóstico de Andrea G. Rodríguez es similar: «Los que suelen estar siempre en el grupo son China y Rusia, pero también podríamos incluir a Estados Unidos, Israel o Corea del Norte. Son países que han demostrado tener grupos de personal capaz de desarrollar operaciones de penetración en muy pocos segundos. Con cifras tan locas como, por ejemplo, los rusos, que pueden hacerlo en 20-25 segundos«.

Las elecciones de nuestros entrevistados no difieren demasiado de las apuestas generales. Privacy Affairs se hace eco de los ataques geopolíticos más frecuentes en los últimos años y, como vemos, en los primeros puestos aparecen los sospechosos habituales:

Si obviamos a los países atacados y nos centramos en los atacantes, de nuevo, China, Rusia y Corea del Norte aparecen a la cabeza del ránking:

¿Podemos tomar estos datos como absolutos e inequívocos? En realidad no, ya que responden a los ciberataques cuyo origen se conoce; los desconocidos, evidentemente, quedan en la sombra y dejan la duda de si hay algún país que debería aparecer más arriba en el ránking y no lo hace porque consigue no ser descubierto (al menos de manera oficial).

En cualquier caso, resulta interesante analizar varios países juntos y ver cómo ha evolucionado el número de ciberataques que se les han atribuido en los últimos años. La siguiente tabla recoge los ataques con origen en China, Rusia, Corea del Norte, Irán y Estados Unidos entre 2008 y 2018:

Pero lo más interesante, sin duda, es ver a dónde dirigen sus ‘armas’ estos atacantes. Como podemos ver en los siguientes gráficos, los conflictos geopolíticos de cada país tienen una relación directa con los destinos de sus ciberataques (una curiosidad: Estados Unidos es el único que se ‘autoataca’):

¿Villanos o héroes? Depende de quién lo mire

Estamos usando el término ‘cibervillanos’ para referirnos a los países qué más ataques ejecutan, pero lo cierto es que en este asunto resulta complejo decidir quiénes son los buenos y quiénes los malos. ¿Por qué? Porque todo depende de nuestras propias afinidades y de la perspectiva política desde la que miremos.

«Entre los cibercriminales más buscados del FBI hay generales condecorados del ejército chino. Para los chinos, ¿son delincuentes? No, allí son héroes nacionales»

Daniel J. Ollero (El Mundo)

«Si tú te vas a la lista de los cibercriminales más buscados del FBI», nos cuenta Daniel J. Ollero, «ahí te encuentras a señores con uniforme militar que son generales condecorados del ejército chino. Esa gente tiene unos cartelitos muy parecidos a los que hemos visto en las películas del lejano oeste, del ‘Wanted’, ‘Se ofrece una recompensa’, se dice quiénes son, y es gente a la que le caerían condenas de muchísimos años de cárcel. Pero, para los chinos, ¿un general condecorado es un villano? ¿Es un delincuente? No, allí son héroes nacionales«.

«¿Quién es el bueno y quién es el malo?», se pregunta Luis Fernández. «Quienes aún tenemos memoria nos acordamos de que Obama espiaba a Angela Merkel, por ejemplo. Entonces, ¿cuáles son mis amigos o mis compañeros de viaje? Todo depende de los intereses».

Y es que, como reconoce Marilín Gonzalo, «nos gustaría encontrar un gran cibervillano para ponernos todos en contra de él y decir ‘Esto es blanco, esto es negro, estos son buenos, estos son malos’, pero no es tan fácil».

El atacante oculto: mercenarios que se venden al mejor postor

Pero cuando un país es ciberatacado, no necesariamente recibe el ataque de otro país. O mejor dicho: recibe un ataque ordenado por otro país, pero quienes lo ejecutan son otros: los llamados cibermercenarios.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea», nos cuenta José Manuel Ávalos, que reconoce que «los gobiernos están detrás de estos grupos para realizar distintos ataques». Y es que «en el momento en que entras en estos conflictos no convencionales tienes actores no convencionales detrás. Muchos países necesitan hacer acciones que no pueden asumir como propias de su Estado y recurren a estas organizaciones o empresas que hacen este tipo de actividades sin usar su nombre», añade Txarlie Axebra.

«Hay una serie de grupos no estatales que se venden al mejor postor, aunque hablen ruso, chino o el idioma que sea»

José Manuel Ávalos (Telefónica)

¿Y quiénes son estos grupos de cibermercenarios al servicio del primer gobierno que pase por delante y les pague una cantidad millonaria de dinero? El CCN-CERT recurre a un listado internacional para nombrar a los más activos de este 2020:

Y es que los actores de ataque, en definitiva, pueden ser variados. Pueden ser gobiernos que den más o menos la cara o, en algunos casos, son los grupos de cibermercenarios los que se venden al mejor postor. El objetivo, en cualquier caso, siempre es el mismo: atacar geopolíticamente a los países rivales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

España está en ciberguerra: quién nos ataca, por qué y qué métodos utiliza

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El 7 de marzo de 2011, el español David López Paz se plantó en la RootedCON con un hallazgo impresionante: había encontrado un afuste de misiles, lo había hackeado y había podido cambiar las coordenadas a las que se disparaba esos misiles. (Si quieres más detalles, mírate esta slide, especialmente la diapositiva 42.)

Para lograr esto, López Paz se tiró una cantidad de tiempo indeterminada escaneando servidores vulnerables en todo internet. Su investigación demostró que, en el desarrollo de la ciberguerra, el hacking puede servir para hacerte con las armas de tu enemigo sin haberte gastado ni el 1% de su dinero. Y todos los países del mundo son vulnerables a este tipo de prácticas. España, por supuesto, también.

Los ataques se duplican en apenas tres años

Nuestro país no es ajeno a la ciberguerra que hay en todo el mundo. En el informe Ciberamenazas y tendencias 2020, elaborado por el CCN-CERT, queda constancia de cómo los ataques críticos a España han ido creciendo de manera exponencial en los últimos años:

Dentro de esos ataques, además, observamos un aumento en su gravedad: los ataques críticos, muy altos y altos crecen, mientras que los medios y bajos van perdiendo protagonismo:

¿Quién nos ataca? Estados y cibermercenarios

¿Quién puede querer ciberatacar a un país como España? El CCN-CERT identifica hasta cinco tipo de perfiles interesados en ejecutar ataques geopolíticos hacia nuestro país:

LOS QUE ATACAN A ESPAÑA
1.- Estados y cibermercenarios.
Los más peligrosos. Suyos son los ataques de mayor gravedad y riesgo, acudiendo tanto al ciberespionaje como a las acciones híbridas, la interrupción de servicios e incluso la manipulación de sistemas.
2.- Ciberdelincuentes. Similar al grupo anterior, aunque sin motivaciones necesariamente geopolíticas. Eso sí, su marco de actuación y delitos, aunque ligeramente menos grave, es mucho más numeroso.
3.- Ciberterroristas. Por suerte, según el CCN-CERT, todavía no representan un altísimo peligro, limitando sus acciones al sabotaje.
4.- Hacktivistas. Más peligrosos que los ciberterroristas, ya que también recurren a la interrupción de servicios, a la manipulación y al robo de información.
5.- Insiders (personal interno). Sin intenciones necesariamente malas, sus errores conllevan, sobre todo, la interrupción de servicios y el robo de información.

Conviene detenernos en un tipo de atacante concreto: los grupos de ciberdelincuentes generalmente asociados a otros estados. El CCN-CERT identifica en su informe a los siete más activos durante 2019 a la hora de atacar a España:

¿Qué formas de ataque utilizan?

A la hora de atacar, el informe habla de varios métodos:

  • Ransomware
  • Botnets
  • Código dañino
  • Ataques a sistemas de acceso remoto
  • Ataques web
  • Ingeniería social
  • Ataques contra la cadena de suministro
  • Ataques contra sistemas ciberfísicos

De todos ellos, las intrusiones de malware y el código dañino suelen estar a la cabeza:

Sin embargo, fijémonos especialmente en una tendencia al alza: las redes de bots. Según el estudio Botnet Threat Report, de Spamhaus Malware Labs, este método de ataque creció un 71,5% en 2019. El listado de las familias de botnets más activas en todo el mundo dan buena cuenta de este crecimiento:

Lo que se avecina: ataques a farmacéuticas, laboratorios, dispositivos…

En el informe del CCN-CERT también encontramos algunas de las tendencias que el organismo ve de cara al futuro inmediato de 2020. En dichas previsiones apunta a las farmacéuticas y los laboratorios de investigación como las mayores víctimas de los ciberataques geopolíticos que va a sufrir España. Tampoco hay que olvidarse de las intrusiones en redes domésticas, dispositivos conectados o herramientas de teletrabajo.

Fuente: CCN-CERT.

El panorama, por tanto, parece claro. Ningún país del mundo escapa a la ciberguerra sucia que se está librando entre los estados, y España no es ninguna excepción. Los datos demuestran la existencia de ciberataques geopolíticos hacia nuestro país. Dentro de unos años veremos si estábamos realmente preparados para ellos… o si habrá llegado la hora de lamentarse.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

Así se puede hackear el sistema eléctrico español y otras infraestructuras críticas

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

Jueves, 5 de marzo de 2020. 19 horas. Al escenario de la RootedCON se sube Gonzalo J. Carracedo, consultor de ciberseguridad de la empresa española Tarlogic. Tiene un bombazo que dar: tras una larga investigación, su empresa ha descubierto que más de 13 millones de contadores de luz inteligentes que hay en España tienen una grave vulnerabilidad que puede dejar un barrio entero totalmente a oscuras. Y en apenas unos minutos.

¿Cómo podía ser esto? Investigando, Carracedo y su equipo se dieron cuenta de que cerca de la mitad de los contadores inteligentes que hay en España tenían un sistema de acceso al control con contraseñas genéricas y fácilmente descifrables. Además, los cables eléctricos estaban transmitiendo una información que no estaba cifrada al 100%.

Imagen de los contadores conectados al concentrador de Tarlogic.

Partiendo de esta información, Tarlogic diseñó un pequeño laboratorio en un entorno seguro y se propuso provocar cortes en varios contadores de este tipo mediante una táctica ensayada: en primer lugar, romper las contraseñas y acceder al control de los dispositivos; en segundo, hacer que el suministro se apagase y encendiese sin parar hasta que se produjese un corte espontáneo. Javier Rodríguez, miembro también de la empresa, nos explica el funcionamiento con una comparación sencilla: «Cuando apagas y enciendes muchas veces una bombilla, puede llegar a fundirse. Pues aquí sucede lo mismo: forzamos la infraestructura de la red eléctrica para provocar el corte». Dicho y hecho: en este vídeo puedes ver el experimento a pequeña escala:

«Puedes dejar sin luz a un barrio entero«, nos reconoce Javier Rodríguez en el capítulo 6 de El Enemigo Anónimo. De hecho, la empresa se encargó de notificar esta brecha de seguridad a las energéticas españolas aludidas. Si quieres ver la charla entera de Carracedo, la tienes aquí abajo.

Carracedo no es el primer español que consigue vulnerar la seguridad informática del sistema eléctrico español. Nueve años antes, en marzo de 2011, Rubén Santamarta se propuso echar abajo el sistema eléctrico español mediante otra táctica: acceder a los Controladores Lógicos Programables que dirigen el sistema de la red eléctrica española y cambiar sus parámetros de actuación. Hacía cambios pequeños e intercalados en el tiempo para que no se notasen diferencias bruscas, pero poco a poco, sin que nadie se diese cuenta, iba debilitando el suministro hasta hacerse con el control total. Si quieres, puedes ver su charla aquí.

Sí, en España ha habido ataques a infraestructuras críticas

Los que acabamos de contar son dos ejemplos realizados por expertos que no pretenden tirar abajo nuestro sistema eléctrico, sino mostrar sus debilidades para que sean corregidas. Pero, ¿ha pasado alguna vez lo mismo… con intenciones maliciosas? ¿Ha perpetrado alguien ataques contra infraestructuras críticas españolas… y lo ha conseguido? Lo cierto es que sí.

Al menos así lo asegura Román Ramírez: «En España ha habido intentos de ataques a infraestructuras críticas, y en algunos casos ha habido ataques exitosos. Esto no se comenta en abierto ni se pueden identificar los casos porque te metes en un problema muy gordo pero haberlos los ha habido. Yo he visto en directo cómo se entra a una infraestructura crítica donde puedes hacer determinadas cosas».

Esta teoría la confirma el periodista Manuel Ángel Méndez, de El Confidencial, que asegura que, «fuentes del CNI reconocieron que había habido intentos de penetración de la red eléctrica en España. No es una cuestión de si va a ocurrir, es una cuestión de que ya ha ocurrido, está ocurriendo y va a ocurrir más».

Estos hechos no son precisamente desconocidos para el Gobierno español. El 7 de enero de 2019, el Ministerio del Interior adjudicó a Eulen un contrato de 318.991 euros para reforzar el cuidado de las infraestructuras críticas españolas, ya que, como reconocía el propio Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), «el crecimiento de incidentes de ciberseguridad con impacto en los operadores críticos y los servicios esenciales (…) requiere de una potenciación y continuidad que permita operar las 24 horas del día, los 7 días de la semana y los 365 días del año». Este tipo de labores «no puede prestarse directamente por el CNPIC ni por las Direcciones Generales de la Policía y Guardia Civil, al carecer de las capacidades descritas para el tratamiento y la gestión de la ciberseguridad».

España, preocupada por posibles ciberataques

España, al igual que la mayoría de países de todo el mundo, tiene motivos de sobra para preocuparse por la seguridad de infraestructuras críticas que gestionan suministros como el de la luz o el del agua. En nuestro país, de hecho, incluso tenemos cifras que avalan dichos motivos.

Según el Informe de Seguridad Nacional, España sufrió 89 incidentes efectivos (es decir, que realmente comprometieron la seguridad física en los sectores estratégicos) en 2019, frente a los 22 registrados en 2018 y los 54 del año 2017.

Mirando una perspectiva mucho más amplia, el Estudio sobre la Cibercriminalidad en España, editado por el Incibe, muestra unos datos mucho más peligrosos, con miles de ciberataques dirigidos hacia nuestras infraestructuras críticas.

A nivel gubernamental, los posibles ataques a infraestructuras críticas preocupan y mucho. De hecho, la Estrategia de Seguridad Nacional, elaborada en 2017, ya reconocía este tipo de operaciones como una de las que más puede comprometer la seguridad de nuestro país.

Fuente: Estrategia de Seguridad Nacional (2017).

El tema, evidentemente, también preocupa a las diversas empresas. El Cybersecurity Snapshot Global, realizado por Isaca, preguntó a diversos profesionales de infraestructuras críticas qué posibilidades creían que tenía España de sufrir un incidente en el año siguiente. Los datos hablan por sí solo: apenas el 15% aseguró que dicha posibilidad era baja.

Lo que inquieta a todos los países del mundo

Como decíamos, España es un país con motivos para preocuparse, pero no es la excepción, ni mucho menos, sino más bien la regla. «En el mundo cíber hay dos cosas que se temen más que nada: un ’11 de septiembre cibernético’ y un ‘cíber Pearl Harbor’, nos cuenta Andrea G. Rodríguez. «Imaginaos hasta qué punto son vulnerables y débiles».

El miedo a nivel mundial también viene respaldado por las cifras. El Global Risk Report 2020 del Foro Económico Mundial revela que el 76,1% de las empresas cree que el riesgo de ataques contra este tipo de entornos aumentará en 2020, situándose por delante incluso de los ataques que buscan robar dinero o datos.

¿Y cuáles son los sectores de actividad más afectados por posibles ciberataques a infraestructuras críticas? Un informe de la OECD y otro de Hornet Security dan diversos ránkings, aunque tampoco son muy diferentes entre ellos. Ambos sitúan a la cabeza de estos peligros al sector energético.

Para Ofelia Tejerina, «la guerra está en la red. Y no es una guerra global declarada, pero se están librando batallas muy potentes y hay riesgos muy graves con infraestructuras críticas». A este tipo de infraestructuras Andrea G. Rodríguez les añade otro problema: «Muchas están interconectadas, con lo que un ciberataque a una se puede llegar a propagar a otras«. La OECD avala esta información: el 36% de las infraestructuras de sus países son interdependientes de otras, un porcentaje lo suficientemente significativo como para tenerlo en cuenta.

Con todo ello, el resultado es que la seguridad informática de las infraestructuras críticas es un gran foco de criminalidad, pero también de negocio, con un mercado que no para de crecer.

Fuente: MarketsAndMarkets.

La joya de la corona: atacar a EEUU

Si hay un país especialmente colocado en el centro de la diana, ese quizá sea Estados Unidos. No solo por las amenazas ajenas, sino también por la propia sensación interna. Una sensación, no nos vamos a engañar, provocada también por la incesante participación de su gobierno en distintos ataques (su papel esencial en Stuxnet parece fuera de toda duda).

Sea como fuere, en diciembre del año pasado, el President’s National Infrastructure Advisory Council (NIAC), formado por altos ejecutivos de grandes empresas y organismos públicos, instó al presidente Trump a mejorar su estrategia «para prevenir las terribles consecuencias de un ciberataque catastrófico en las infraestructuras energéticas, de comunicaciones y financieras», ya que «las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar contra los estados nacionales que intentan interrumpir o destruir nuestra infraestructura crítica».

«Las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar»

La preocupación es tal que, desde 1970, el Gobierno incluye en un completo estudio la totalidad de ataques que han sufrido sus infraestructuras críticas, así como su letalidad.

Fuente: Gobierno de Estados Unidos.

Entre los sectores más afectados, los habituales: los servicios de salud pública y los financieros son los que han sufrido más ataques en sus infraestructuras.

Ataques: «Los ha habido, los hay y los habrá»

La protección de las infraestructuras críticas no es sencilla, ya que, como asegura Roman Ramírez, «se soporta en instalaciones que a lo mejor tienen un ciclo de vida de 30 años y con dispositivos que estiras hasta los 30-40 años. Y cambiar un cacharro está muy bien, pero cuando has comprado 20 millones de cacharros, los tienes distribuidos por todo el país y encuentras vulnerabilidades, ¿eso quién lo cambia? ¿Los ciudadanos van a querer pagar 30 euros más en la factura eléctrica para que las empresas los reemplacen?».

¿Hay alguna noticia positiva en este sentido? Sí. Daniel Creus, analista de malware de Kaspersky, recuerda que «hemos conseguido tener cada vez más conocimiento sobre los adversarios, y eso significa que no solamente podemos saber los procedimientos que utilizan para atacar, sino que además podemos intuir si somos objetivos o no en función de movimientos geopolíticos o puros intereses estratégicos».

«No hay que negar la evidencia: tenemos una situación de riesgo. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático»

Román Ramírez (RootedCON)

En cualquier caso, «es importante seguir avanzando en ciberseguridad de infraestructuras críticas para estar siempre a la última vanguardia y que no nos pille desprevenidos», nos cuenta David Carrero Fernández-Baillo, cofunder y VP Sales de Stackscale. «Es realmente importante que España y Europa hagan un gran esfuerzo en temas de ciberseguridad porque esta es la materia con la que vamos a poder competir mucho más en el mundo».

Ahora bien, Román Ramírez recuerda que «lo que no hay que hacer es negar la evidencia: tenemos una situación de riesgo, que es que las infraestructuras se pueden atacar. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

El récord más sospechoso del mundo: ¿por qué La Rioja, Ceuta y Melilla no tienen brechas de datos?

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

En lo que llevamos de año, en España ha habido 770 brechas de datos notificadas a la Agencia Española de Protección de Datos (AEPD). ¿Qué comunidades autónomas dirías que son las que más notificaciones han enviado? Los datos de la AEPD nos dejan una estadística previsible: Madrid y Cataluña encabezan el ránking, seguidas de la Comunidad Valenciana y Andalucía.

Lo cierto es que sorprenden para bien los buenos datos de La Rioja (0 brechas), Ceuta (2), Melilla (2) y Cantabria (3), ¿verdad? Está claro que su menor tamaño juega a su favor, pero en cualquier caso es positivo que en sus territorios apenas haya brechas, ¿no?

No tan deprisa. Vamos a echar la vista atrás y a fijarnos en los datos de 2019:

Vaya, pues resulta que las cuatro vuelven a estar a la cola. De hecho, Ceuta y Melilla no tuvieron ni una sola brecha de datos en todo 2019. Es verdaderamente asombroso.

Caray, ya nos ha picado la curiosidad: ¿y en 2018? ¿También tuvieron tan buenas estadísticas? Pues nada, vamos a verlo:

Definitivamente, los datos de Ceuta y Melilla son de absoluto récord, y los de Cantabria y La Rioja no se quedan muy atrás. Estos cuatro territorios cosechan unas cifras buenísimas. De hecho son tan buenas… que no hay quien se las crea.

No notificar brechas de datos no significa que no las haya

¿Por qué estos datos resultan increíbles? Porque que una comunidad autónoma no notifique brechas de datos no significa que no las tenga, sino que no las notifica. Punto. La abogada Icíar López-Vidriero, especialista en protección de datos, mira estas cifras con la misma ironía: «Sorprende, y mucho, que Ceuta y Melilla no ‘tengan’ brechas de datos y que Cantabria y La Rioja ‘tengan’ tan pocas».

¿Y por qué las empresas no notifican las brechas? Es la pregunta que le hemos hecho tanto a López-Vidriero como a Andrés Calvo, este último de la AEPD. Entre los dos nos dibujan las razones más comunes:

1.- Desconocimiento. Algo que a buen seguro pasará en muchas pymes, aunque en las de estas comunidades autónomas ‘sorprende’ especialmente. Para Andrés Calvo las brechas desconocidas «son las más peligrosas, ya que el responsable no será consciente de que está siendo atacado y de que está saliendo información de su organización».

«Las brechas desconocidas son las más peligrosas, ya que el responsable no es consciente de que está saliendo información de su empresa»

Andrés Calvo, agencia española de protección de datos

2.- Asesoría. A veces las brechas no se notifican por una falta de asesoramiento legal, porque las empresas no saben que deben comunicarlas. Aquí López-Vidriero resalta la figura del delegado de protección de datos, que «en su objetividad y en su independencia sí tiene obligación de notificarlo. Por tanto, las empresas que tienen un delegado de protección de datos sí deben llevar a cabo el protocolo».

3.- Nula voluntad. Abordemos el tema de una vez: si algunas empresas no notifican sus brechas de seguridad es, simple y llanamente, porque no quieren hacerlo. Aquí Calvo recuerda que «el Reglamento General de Protección de Datos obliga a los responsables a notificar una brecha cuando consideran que puede afectar a sus derechos y libertades».

La situación pinta complicada. Como ya vimos en el pasado reportaje, las pymes españolas son las grandes perdedores de la batalla por mantener a salvo su ciberseguridad, aunque tampoco ayuda la poca transparencia de algunas, que prefieren dejar la suciedad bajo la alfombra. Y entre unas y otras, la casa sin barrer.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

¿Cómo se caza a un cibercriminal? Así luchan las empresas españolas por proteger su ciberseguridad

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Hace poco tiempo, una empresa española estaba sufriendo una de sus mayores crisis. ¿La razón? Su sistema informático no hacía más que fallar: lo hacía constantemente, cada 3-4 horas, paralizando toda su actividad y afectando seriamente a su negocio, que empezaba a sufrir graves pérdidas económicas. Y por más que miraban, nadie daba con el problema: todo estaba bien, pero el sistema, inexplicablemente, fallaba cada dos por tres.

Pasado un tiempo, cuando la situación ya era casi insostenible para su negocio, llegaron a pensar que estaban sufriendo algún tipo de ciberataque, pero no encontraban nada, así que la empresa decidió acudir a la Guardia Civil. Allí le contaron lo sucedido al equipo de César Lorenzana, que recuerda lo que se encontró al principio: «Cada cada tres, cuatro o cinco horas el sistema se venía abajo, lo restauraban, volvía a funcionar… y a las pocas horas volvía a fallar. La empresa ya había hecho un montón de análisis, pero no encontraba ninguna pieza de malware ni rastros de ningún posible atacante».

César Lorenzana (Guardia Civil)

Fue entonces cuando comenzó la investigación: «Nos preguntábamos quién podía tener el motivo, porque estaba claro que algo raro estaba pasando. En la empresa nos hablaron de ciertos trabajadores del departamento de IT que habían despedido porque estaban descontentos y empezamos a indagar». A partir de ahí fueron avanzando, ya que «sospechamos que uno de esos trabajadores se había llevado tarjetas SIM de la empresa que estaban mal catalogadas y con ellas estaba enviando código para provocar las paradas«. Pero era algo difícil de probar: «Hicimos un estudio comparativo de las tarjetas, de los dispositivos que se habían utilizado, miramos las localizaciones de señales… y al final pudimos demostrar que efectivamente era esa persona, desde su domicilio, la que enviaba los códigos de parada».

«Un informático colocaba bombas lógicas para que el sistema fallase y le llamasen. Se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo»

César Lorenzana, guardia civil

No es el único caso de este tipo al que se ha enfrentado Lorenzana: «Tuvimos un caso parecido de una persona que se dedicaba a dar soporte informático para varias empresas y colocaba bombas lógicas para que el sistema fallase y tuviesen que volver a llamarle. Nadie en la empresa se explicaba qué estaba pasando, pero en los análisis encontramos una pieza de malware. Lo más curioso fue que, cuando estábamos en pleno laboratorio, el atacante se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo, con lo que cogimos los trazos de comunicación, grabamos el tráfico y pudimos identificarlo».

Conocer de cerca estos casos nos puede resultar llamativo por conocer de cerca cómo es una investigación, pero lo cierto es que, como veremos a continuación, las situaciones de este tipo se producen a diario.

La batalla más desigual de la historia: grandes empresas Vs. pymes

A la hora de analizar cómo protegen las empresas su ciberseguridad hay que hacer de entrada una clara distinción: grandes empresas y pymes. Para empezar, analicemos su presencia en España: según los datos del Ministerio de Industria, Comercio y Turismo, las pymes (hasta 250 empleados) son abrumadora mayoría en España, representando al 99,9% de las empresas.

No parece baladí que cualquier tipo de empresa proteja su ciberseguridad, ya que, como vimos en su momento, España es el país más ciberatacado del mundo según el informe de Imperva y el segundo según el de CyberEdge.

Y a la hora de recibir ataques, ¿qué tipo de empresas se ven más afectadas? Un estudio de Tecteco, citando al Incibe como fuente, lo pone negro sobre blanco: en España, el 70% de los incidentes de ciberseguridad van dirigidos a las pymes.

Así pues, la diferencia de preparación entre unas empresas y otras es abismal. El informe Hiscox Cyber Readiness Report 2020 realiza un análisis en función no solo de las capacidades de las empresas españolas, sino también de su tamaño. Las grandes empresas, como vemos, están por encima de pymes y micropymes.

En términos porcentuales, de hecho, el gasto también. El informe de Hiscox también analiza el porcentaje del presupuesto de IT que las grandes empresas destinan a ciberseguridad. En España no solo está creciendo, sino que además supera la media europea.

El drama de la pyme: ni sabe, ni puede invertir ni se siente amenazada

¿Y qué pasa entonces con las pymes? Que, a tenor de los datos expuestos, están muy poco protegidas, especialmente si tenemos en cuenta que, como vimos antes, son las receptoras del 70% de los ciberataques en nuestro país. ¿A qué se debe su escasa protección? Podemos dibujar tres factores principales:

1.- Poca sensación de amenaza

Según un estudio de The Cocktail para Google, el 99,8% de las pymes españolas no se consideran un objetivo atractivo para los ciberdelincuentes. Las cifras son devastadoras y hablan por sí solas (tendrás que afinar el ojo para ver ese 0,2% del ‘Sí’):

2.- Pocos recursos

Por mucho que se insista a las pymes en la necesidad de ciberprotegerse, no nos engañemos: sería ilusorio pensar que una microempresa que sufre para llegar a fin de mes pueda disponer de recursos para tal fin. Según el Hiscox Cyber Readiness Report 2020, las micropymes españolas (de 1 a 9 empleados) dedican el 6,5% su presupuesto de IT a ciberseguridad, significativamente por debajo de otros países europeos:

Además, el informe de The Cocktail nos ofrece otro dato relevante: el 20% de las pymes delegan su ciberseguridad en un familiar o un amigo, mientras que el 12% ni siquiera destina un solo recurso a ello:

3.- Poca concienciación

Siempre se habla mucho de la concienciación de los empleados como freno al cibercrimen, pero aún queda mucho, muchísimo por hacer. The Cocktail revela que la mayoría de empleados de las pymes españolas no sabe o no puede reaccionar ante un incidente de ciberseguridad:

¿Cómo se convence a una pyme?

Todos somos conscientes de que debemos concienciar más a las pymes para que inviertan en ciberseguridad pero, si tiramos de empatía, podemos llegar a entender que para un pequeñísimo negocio esa sea la menor de sus preocupaciones. ¿Hay alguna forma de convencerlas? Los expertos con los que hemos hablado nos dan tres claves:

1.- El cibercrimen sí va a afectar a tu negocio

Es evidente que, en caso de ciberataque, el núcleo del negocio de una pyme no se va a ver tan afectado como el de una gran empresa. Pero eso no quiere decir que no afecte en absoluto: «Las pymes pueden a tener una pérdida de unos 35.000 euros por una brecha de seguridad o un ciberataque», nos cuenta Icíar López-Vidriero, de ICEF Consultores, «y con esas cantidades… igual la empresa no se repone y acaba no teniendo viabilidad económica».

«Las pymes pueden a tener una pérdida de 35.000€ por un ciberataque, y con esas cantidades… igual no son viables»

Icíar López-Vidriero, ICEF Consultores

Las consecuencias económicas también pueden venir derivadas de otro factor a tener muy en cuenta: las sanciones. La Asociación Española de Protección de Datos (AEPD), por ejemplo, impuso 907 sanciones a empresas españolas en 2018 y 338 en 2019.

2.- Tus datos son más valiosos de lo que crees

Si cualquier pyme no se considera un objetivo atractivo para el cibercrimen es porque realmente no cree que sus datos puedan ser relevantes para el delincuente. Sin embargo, la abogada Elena Gil recuerda que «el robo de información y la venta de datos es un negocio lucrativo, y eso ya te pone en la diana de ciberatacantes que saben que ciertas organizaciones están muy protegidas y son muy difíciles de atacar, pero que el gran tejido empresarial de un país –las pymes– están poco protegidas».

Icíar López-Vidriero (ICEF Consultores)

Pero vayamos más allá y asumamos que, efectivamente, los datos de una pyme no son especialmente relevantes para un ciberdelincuente. Da igual: el caso es que seguirán siendo relevantes para la propia pyme, de modo que «te pueden pedir un rescate en criptomonedas. Y si encima pagas, es probable que vuelvan a pedirte dinero», insiste Elena Gil.

3.- Subcontrata lo que puedas y, si no puedes, pide ayuda

Andrés Calvo, de la AEPD, reconoce que «más del 95% de las micropymes en España tienen menos de nueve trabajadores: ¿cómo puede una empresa de este tamaño dedicar esfuerzos a la ciberseguridad? Es complicado». Por tanto, «hay que pensar en la ciberseguridad como un servicio más, tienes que contratar a un experto. No para tenerlo todos los días en la empresa, pero sí para que haga una pequeña política de ciberseguridad y de protección de datos».

Y si una empresa no puede gastarse dinero en esto, siempre puede tirar de recursos públicos y gratuitos. Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, recuerda iniciativas como «la de la Cámara de Comercio de España, que ha creado un plan de ciberseguridad para ayudar a las pymes que quizás son las más débiles, las que menos fuerza tienen para ser capaces de protegerse adecuadamente». Otros organismos, como Incibe, ofrecen un amplio abanico de herramientas de ciberseguridad para pymes, la mayoría de ellas gratuitas, y también contiene un listado de soluciones gratuitas desarrolladas por empresas españolas.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture