hackers archivos - El enemigo anónimo

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El 7 de marzo de 2011, el español David López Paz se plantó en la RootedCON con un hallazgo impresionante: había encontrado un afuste de misiles, lo había hackeado y había podido cambiar las coordenadas a las que se disparaba esos misiles. (Si quieres más detalles, mírate esta slide, especialmente la diapositiva 42.)

Para lograr esto, López Paz se tiró una cantidad de tiempo indeterminada escaneando servidores vulnerables en todo internet. Su investigación demostró que, en el desarrollo de la ciberguerra, el hacking puede servir para hacerte con las armas de tu enemigo sin haberte gastado ni el 1% de su dinero. Y todos los países del mundo son vulnerables a este tipo de prácticas. España, por supuesto, también.

Los ataques se duplican en apenas tres años

Nuestro país no es ajeno a la ciberguerra que hay en todo el mundo. En el informe Ciberamenazas y tendencias 2020, elaborado por el CCN-CERT, queda constancia de cómo los ataques críticos a España han ido creciendo de manera exponencial en los últimos años:

Dentro de esos ataques, además, observamos un aumento en su gravedad: los ataques críticos, muy altos y altos crecen, mientras que los medios y bajos van perdiendo protagonismo:

¿Quién nos ataca? Estados y cibermercenarios

¿Quién puede querer ciberatacar a un país como España? El CCN-CERT identifica hasta cinco tipo de perfiles interesados en ejecutar ataques geopolíticos hacia nuestro país:

LOS QUE ATACAN A ESPAÑA
1.- Estados y cibermercenarios. Los más peligrosos. Suyos son los ataques de mayor gravedad y riesgo, acudiendo tanto al ciberespionaje como a las acciones híbridas, la interrupción de servicios e incluso la manipulación de sistemas.
2.- Ciberdelincuentes. Similar al grupo anterior, aunque sin motivaciones necesariamente geopolíticas. Eso sí, su marco de actuación y delitos, aunque ligeramente menos grave, es mucho más numeroso.
3.- Ciberterroristas. Por suerte, según el CCN-CERT, todavía no representan un altísimo peligro, limitando sus acciones al sabotaje.
4.- Hacktivistas. Más peligrosos que los ciberterroristas, ya que también recurren a la interrupción de servicios, a la manipulación y al robo de información.
5.- Insiders (personal interno). Sin intenciones necesariamente malas, sus errores conllevan, sobre todo, la interrupción de servicios y el robo de información.

Conviene detenernos en un tipo de atacante concreto: los grupos de ciberdelincuentes generalmente asociados a otros estados. El CCN-CERT identifica en su informe a los siete más activos durante 2019 a la hora de atacar a España:

¿Qué formas de ataque utilizan?

A la hora de atacar, el informe habla de varios métodos:

Ransomware
Botnets
Código dañino
Ataques a sistemas de acceso remoto
Ataques web
Ingeniería social
Ataques contra la cadena de suministro
Ataques contra sistemas ciberfísicos

De todos ellos, las intrusiones de malware y el código dañino suelen estar a la cabeza:

Sin embargo, fijémonos especialmente en una tendencia al alza: las redes de bots. Según el estudio Botnet Threat Report, de Spamhaus Malware Labs, este método de ataque creció un 71,5% en 2019. El listado de las familias de botnets más activas en todo el mundo dan buena cuenta de este crecimiento:

Lo que se avecina: ataques a farmacéuticas, laboratorios, dispositivos…

En el informe del CCN-CERT también encontramos algunas de las tendencias que el organismo ve de cara al futuro inmediato de 2020. En dichas previsiones apunta a las farmacéuticas y los laboratorios de investigación como las mayores víctimas de los ciberataques geopolíticos que va a sufrir España. Tampoco hay que olvidarse de las intrusiones en redes domésticas, dispositivos conectados o herramientas de teletrabajo.

El panorama, por tanto, parece claro. Ningún país del mundo escapa a la ciberguerra sucia que se está librando entre los estados, y España no es ninguna excepción. Los datos demuestran la existencia de ciberataques geopolíticos hacia nuestro país. Dentro de unos años veremos si estábamos realmente preparados para ellos… o si habrá llegado la hora de lamentarse.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Todo empezó hace cerca de dos años. Varias empresas españolas, entre ellas nuestra protagonista (llamémosla Empresa Alpha, por ejemplo) concurren a un concurso público y presentan sus respectivas ofertas. Una vez publicados los resultados, la ganadora (llamémosla Empresa Beta) se ha llevado la victoria por un margen muy pequeño. A Empresa Alpha le resulta una victoria sospechosa, ya que, además, la oferta y el pliego de Empresa Beta se parecen mucho a los suyos. Se hacen la pregunta en voz alta: ¿y si nos han espiado? O peor, ¿y si directamente nos han robado nuestra documentación y la han presentado como suya?

Para responder a la pregunta acudieron a Zerolynx, cuyo CEO, Juan Antonio Calles, nos cuenta lo sucedido en el cuarto episodio de El Enemigo Anónimo, la primera serie documental sobre ciberseguridad hecha en España: «Al hacer la pericia tecnológica vimos que una persona había hecho un envío de una información marcada como confidencial, había una fuga de información, así que evaluamos técnicamente lo sucedido, emitimos el informe y lo presentamos», nos cuenta.

Un tiempo más tarde supieron la verdad: «Se demostró que una persona del área comercial había cedido la oferta que se iba a presentar a una empresa de la competencia a cambio de dinero«. Sorprendente, ¿no? Pues no tanto como parece. Como vamos a ver a continuación, el ciberespionaje entre empresas rivales que compiten por un mismo contrato es muy común. Y no hay que irse muy lejos para comprobarlo: en España hay ejemplos de sobra.

El ciberespionaje industrial, en cifras

Según el Data Breach Investigations Report 2020 elaborado por Verizon, el ciberespionaje industrial no para de aumentar cada año. Y si lo segmentamos por sectores, el manufacturero es el que más sufre este delito, seguido del profesional y –ojo– el público.

¿Y en España? La Memoria de la Fiscalía General del Estado sitúa el ataque contra la propiedad industrial y/o intelectual como el quinto ciberdelito más frecuente en nuestro país, representando un 4,2% del total.

La cifra porcentual puede parecernos baja, pero ¿qué pasa si analizamos la evolución? Que encontramos motivos de sobra para preocuparnos: desde 2015 los ataques contra la propiedad industrial y/o intelectual venían bajando significativamente… hasta el año pasado, en el que hubo 555 casos, multiplicando por más de 10 los del año anterior.

¿Quién espía, a quién y por qué?

¿Qué lleva a una empresa a querer espiar a otra? La respuesta parece evidente: el robo de información para tener una ventaja competitiva. «Siempre que existen datos y competición hay maneras para aprovecharse, generando un informe de inteligencia sobre qué es lo que tienen otros y qué es lo que tú puedes ofrecer», nos cuenta Andrea G. Rodríguez, investigadora del CIDOB. «Y si quieres echarle mala baba y aprovechar lo que tienen los otros, es muy probable que lo intentes robar«.

¿Son casos aislados? En absoluto, en su opinión «es una práctica completamente extendida». Coinciden en ello Javier Rodríguez, de Tarlogic, para quien «el ciberespionaje es público y notorio«, y Yoya Silva, de Woman in Cybersecurity Spain (WiCS), que reconoce que «todos suponemos cosas, pero no hay una confirmación oficial nunca. Si nadie quiere levantar la mano y decir lo que ha ocurrido no nos vamos a enterar del todo».

Andrea G. Rodríguez, investigadora del CIDOB.

Jorge Louzao incluso nos da más detalles: «Entre empresas rivales que compiten por un mismo mercado o por los mismos contratos se da mucho», pero, evidentemente, «no es una cosa que ninguna empresa te vaya a reconocer públicamente».

De hecho, «grandes empresas españolas transnacionales están padeciendo ciberespionaje industrial día a día«, añade Luis Ramírez, editor de la revista SIC. Esto nos lleva a pensar en un grupo de empresas a las que menciona Alfonso Muñoz, de GFI Digital Risk: «El espionaje industrial existe para contratos muy grandes. Las grandes empresas, por ejemplo las del IBEX 35, tienen que proteger bien su propiedad industrial por robo de organizaciones, empresas… y, en algunos casos, gobiernos extranjeros».

Los gobiernos también espían; ¿qué hace el CNI en España?

Un momento, ¿qué es eso que ha dicho Alfonso Muñoz de que los gobiernos extranjeros también espían? Sabemos que muchos gobiernos se espían entre sí (lo veremos en los capítulos 7 y 8 de El Enemigo Anónimo), pero ¿qué es eso de que un gobierno espíe a una empresa?

Pues sí, hay gobiernos que espían a empresas extranjeras: «Si tú tienes una empresa estratégica, llamémosla X, que se dedica a un bien básico que consumimos todos los días y está compitiendo por un contrato en la otra punta del mundo o está compitiendo por comprar una empresa o hacer una OPA hostil, detrás no solamente están esas empresas investigando y tratando de sacar toda la información, también están sus gobiernos«, nos cuenta Jorge Louzao.

«Doy por supuesto que el CNI trabaja en los contratos grandes para defenderlos… pero también para recabar inteligencia con la que ganar a los del otro lado».
Román Ramírez, rootedcon

En estas cosas siempre tendemos a pensar bien de nosotros mismos y mal de los demás, pero Román Ramírez nos tira por tierra esta ingenuidad: «Yo doy por hecho que mi país está lidiando contra otros países para que mis empresas ganen contratos internacionales. Doy por supuesto que el CNI está trabajando en todos los contratos grandes para defenderlos y evitar que te los ‘bicheen’… pero también para recabar inteligencia con la que ganar a los del otro lado. Esto es así y el que crea que no es así…».

¿Es lícito que el gobierno español espíe a empresas extranjeras?

Por muy evidente que resulte el ciberespionaje de grandes gobiernos a empresas extranjeras, no puede dejar de llamarnos la atención. Porque vale que un país como España quiera defender a sus empresas ante ataques extranjeros, pero ¿qué pasa si es la propia España la que se dedica a hacer ciberespionaje a empresas extranjeras para beneficiar a las españolas? ¿Dónde queda la ética en todo este asunto?

Román Ramírez se hace la misma pregunta en voz alta: «¿Es lícita la seguridad ofensiva? ¿Es lícito utilizar el ataque como parte de la defensa nacional? Es una pregunta muy complicada», reconoce. «Éticamente está mal: agredir a un ciudadano, a una empresa o a un estado es malo por definición, pero eso forma parte del mundo que yo quiero, no del mundo que tengo. Cualquier país quiere que sus empresas ganen un proyecto y que no lo ganen las del país de enfrente. Y yo, sinceramente, prefiero que se arruine otro país a que se arruine el mío, quiero que haya más puestos de trabajo en el mío y que el que tenga el problema sea otro país, no el mío».

«¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo»
Jorge Louzao (@louzaonet)

Jorge Louzao coincide en este punto, aunque su aceptación de que España pueda espiar a empresas extranjeras quizá sea más resignada: «Desde un punto de vista ético, que un estado esté detrás de este tipo de acciones es francamente reprobable… Pero vámonos al mundo real, vamos a ser pragmáticos, vamos a pensar que esto sucede todos los días, que hay estados más grandes que el nuestro que lo están haciendo y de alguna manera te tienes que defender. ¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo. Tienes que tratar de beneficiar es a tu propio país, a tu gente y es a tus negocios, no a los del contrario».

Las conclusiones de casi todas las personas con las que hemos hablado van en la misma dirección: el ciberespionaje industrial existe, es mucho más frecuente de lo que creemos y a veces incluso viene impulsado por los propios gobiernos internacionales.