¿Son un peligro los dispositivos de Internet of Things? Lo bueno, lo malo y lo terrible

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Una tostadora que por la mañana te prepara el desayuno y por la tarde tumba medio internet, incluido Twitter. ¿Qué más se le puede pedir a un electrodoméstico? Coñas aparte, lo cierto es que toda la industria dela ciberseguridad está de acuerdo en una cosa: el Internet of Things (IoT) es tan beneficioso como peligroso.

Son estos blancos y negros los que hemos analizado en el capítulo 16 de El Enemigo Anónimo. Para empezar conviene hacerse una idea de la magnitud del asunto que estamos tratando: ¿cuántos dispositivos conectados hay en todo el mundo? Según el IoT Analytics Research 2018, 9.900 dispositivos conectados en todo el mundo frente a los 11.300 no conectados. Y ojo, que el año que viene llegará el empate, mientras que en 2025 ya habrá muchos más dispositivos conectados que no conectados. Todo ello dentro de una vorágine asombrosa: cada segundo se conectan 127 nuevos dispositivos basados en IoT.

¿Tiene sentido el auge de los dispositivos conectados? Es decir, pueden estar subiendo por pura moda tecnológica, pero ¿de verdad los usamos? Es lo que se preguntó el informe Internet Trends 2019, que revela que, al margen de ordenadores y smartphones, el uso de otros dispositivos conectados no es tan marginal como pudiera parecer, y eso que los últimos datos recopilados son de 2018:

Y tanto auge… ¿es bueno o malo? Siempre dependerá de por dónde lo queramos mirar, pero no cabe duda de una cosa: hay motivos más que de sobra para preocuparnos por el uso que le damos al IoT. Esto es lo bueno, lo malo y lo terrible que tiene el Internet of Things.

Lo bueno: ciudades inteligentes, recursos repartidos, seguridad…

Andrea G. Rodríguez lo tiene claro: «El IoT nos va a servir para cosas tan maravillosas como controlar el tráfico en las ciudades, distribuir el agua de manera más eficiente entre los ciudadanos, distribuir red eléctrica u operar a distancia».

No le falta razón. Ciudades como Estocolmo ya usan sensores para descongestionar el tráfico rodado (y de paso reducir la contaminación), pero no hace falta irse tan lejos: en Zaragoza, la policía también está empezando a monitorizar dichos movimientos. Y si queremos quedarnos con la boca abierta de verdad podemos acudir a otro ejemplo: el de Antonio de Lacy, jefe del Servicio de Cirugía Gastrointestinal en Hospital Clínic, que en MWC de 2019 practicó la primera cirugía teleasistida.

Antonio de Lacy, del Hospital Clínic de Barcelona, practicó en 2019 la primera cirugía teleasistida

Más allá de las grandes innovaciones, el IoT también puede sernos de mucha utilidad en nuestra seguridad personal: «En épocas de vacaciones, los ladrones suelen inspeccionar qué casas tienen luz encendida y cuáles no», recuerda Pablo San Emeterio, de modo que con el IoT «puedes programar los encendidos de luces para que simule una vida normal en esa casa aunque no haya nadie».

Lo malo: colega, ¿dónde está mi privacidad?

El reverso maligno del IoT está en el uso que le damos los usuarios o, mejor dicho, en el uso que les dan los fabricantes de esos dispositivos a nuestros datos. Hay un aparato que tiene una aceptación muy por encima de la media: los altavoces inteligentes. Según las estimaciones de Loup Ventures, en 2020 se han vendido más de 100 millones de altavoces en todo el mundo (exceptuando el mercado chino), pero es que dentro de apenas cinco años, en 2025, la cifra se multiplicará por tres.

¿Cómo se puede explicar un crecimiento tan abrumador? La respuesta está en el aumento de las cosas que se puede hacer con ellos. El informe Internet Trends da buena cuenta (pág. 52) del progresivo aumento de funcionalidades de su altavoz Echo, mientras que otro estudio de Experian Creative Strategies recoge los usos más frecuentes entre los usuarios de dicho dispositivo:

¿Cuál es el problema de esto? Que la forma de actuar de Amazon respecto a sus altavoces y asistentes inteligentes es más que cuestionable. En 2019 se supo no solo que Alexa escucha de manera pasiva tus conversaciones, sino también que había empleados de Amazon dedicados a la misma tarea.

Y lo de Amazon con Alexa es solo un ejemplo, pero hay infinidad de casos en los que se ha descubierto un uso fraudulento de los datos o la privacidad de los usuarios por parte de sus dispositivos inteligentes:

Lo terrible: suministros bloqueados y empresas atacadas

Las vulneraciones de ciberseguridad en aparatos de IoT de usuarios particulares son muy graves, pero, sinceramente, ojalá ese fuera el mayor problema del Internet of Things. La verdadera catástrofe reside en cuando se vulneran los dispositivos conectados para atacar a una empresa, para bloquear el suministro de agua o para dejar a oscuras una ciudad entera.

Ya lo vimos en el capítulo dedicado a las infraestructuras críticas. La empresa española Tarlogic descubrió que gran parte de los contadores de luz inteligentes que hay en nuestro país eran vulnerables, y no era tan difícil atacarlos. ¿El resultado? Podían dejar un barrio entero a oscuras en apenas unos minutos.

Este tipo de ataques preocupa a las empresas de todo el mundo. De hecho, un estudio de Extreme Networks evidenció que el 70% de las organizaciones ha sufrido ciberataques a través de IoT. Y no es algo que vaya a caer: según otro informe realizado a nivel mundial, la protección de los dispositivos IoT ya era la tercera mayor preocupación de las empresas en 2016.

España no es ni mucho menos ajena a todo este tipo de problemas. Sirva un dato como ejemplo: nuestro país fue el objetivo del 80% de los ciberataques a dispositivos IoT en la primera mitad de 2018. Esto hace que las infraestructuras españolas corran un serio peligro, como evidencia el Estudio sobre la Cibercriminalidad en España, editado por el Incibe:

¿Cómo tener un IoT seguro?

La pregunta está clara: si el Internet of Things puede entrañar un sinfín de vulnerabilidades, ¿cómo podemos hacerlo más seguro? Yolanda Quintana lo tiene claro: «No se debe vender dispositivos que no sean seguros. Hay que establecer responsabilidades tanto para los usuarios que los usan como para las empresas que lo comercializan y se benefician de esta tecnología».

La falta de seguridad también se evidencia en el informe The Endless Possibilities of IoT, elaborado por Telefónica y Gartner. En él se analizan las barreras para que el IoT triunfe o, dicho de otra manera, los retos de seguridad que quedan por delante:

Xabier Mitxelena (Accenture) introduce un concepto esencial, el de «ciberseguridad por diseño«, algo en lo que incide Juan Francisco Cornago Baratech (SIA), para quien, en definitiva, «el loT tiene que existir, pero debemos garantizar que el uso de los datos sea el autorizado».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

España está en ciberguerra: quién nos ataca, por qué y qué métodos utiliza

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El 7 de marzo de 2011, el español David López Paz se plantó en la RootedCON con un hallazgo impresionante: había encontrado un afuste de misiles, lo había hackeado y había podido cambiar las coordenadas a las que se disparaba esos misiles. (Si quieres más detalles, mírate esta slide, especialmente la diapositiva 42.)

Para lograr esto, López Paz se tiró una cantidad de tiempo indeterminada escaneando servidores vulnerables en todo internet. Su investigación demostró que, en el desarrollo de la ciberguerra, el hacking puede servir para hacerte con las armas de tu enemigo sin haberte gastado ni el 1% de su dinero. Y todos los países del mundo son vulnerables a este tipo de prácticas. España, por supuesto, también.

Los ataques se duplican en apenas tres años

Nuestro país no es ajeno a la ciberguerra que hay en todo el mundo. En el informe Ciberamenazas y tendencias 2020, elaborado por el CCN-CERT, queda constancia de cómo los ataques críticos a España han ido creciendo de manera exponencial en los últimos años:

Dentro de esos ataques, además, observamos un aumento en su gravedad: los ataques críticos, muy altos y altos crecen, mientras que los medios y bajos van perdiendo protagonismo:

¿Quién nos ataca? Estados y cibermercenarios

¿Quién puede querer ciberatacar a un país como España? El CCN-CERT identifica hasta cinco tipo de perfiles interesados en ejecutar ataques geopolíticos hacia nuestro país:

LOS QUE ATACAN A ESPAÑA
1.- Estados y cibermercenarios.
Los más peligrosos. Suyos son los ataques de mayor gravedad y riesgo, acudiendo tanto al ciberespionaje como a las acciones híbridas, la interrupción de servicios e incluso la manipulación de sistemas.
2.- Ciberdelincuentes. Similar al grupo anterior, aunque sin motivaciones necesariamente geopolíticas. Eso sí, su marco de actuación y delitos, aunque ligeramente menos grave, es mucho más numeroso.
3.- Ciberterroristas. Por suerte, según el CCN-CERT, todavía no representan un altísimo peligro, limitando sus acciones al sabotaje.
4.- Hacktivistas. Más peligrosos que los ciberterroristas, ya que también recurren a la interrupción de servicios, a la manipulación y al robo de información.
5.- Insiders (personal interno). Sin intenciones necesariamente malas, sus errores conllevan, sobre todo, la interrupción de servicios y el robo de información.

Conviene detenernos en un tipo de atacante concreto: los grupos de ciberdelincuentes generalmente asociados a otros estados. El CCN-CERT identifica en su informe a los siete más activos durante 2019 a la hora de atacar a España:

¿Qué formas de ataque utilizan?

A la hora de atacar, el informe habla de varios métodos:

  • Ransomware
  • Botnets
  • Código dañino
  • Ataques a sistemas de acceso remoto
  • Ataques web
  • Ingeniería social
  • Ataques contra la cadena de suministro
  • Ataques contra sistemas ciberfísicos

De todos ellos, las intrusiones de malware y el código dañino suelen estar a la cabeza:

Sin embargo, fijémonos especialmente en una tendencia al alza: las redes de bots. Según el estudio Botnet Threat Report, de Spamhaus Malware Labs, este método de ataque creció un 71,5% en 2019. El listado de las familias de botnets más activas en todo el mundo dan buena cuenta de este crecimiento:

Lo que se avecina: ataques a farmacéuticas, laboratorios, dispositivos…

En el informe del CCN-CERT también encontramos algunas de las tendencias que el organismo ve de cara al futuro inmediato de 2020. En dichas previsiones apunta a las farmacéuticas y los laboratorios de investigación como las mayores víctimas de los ciberataques geopolíticos que va a sufrir España. Tampoco hay que olvidarse de las intrusiones en redes domésticas, dispositivos conectados o herramientas de teletrabajo.

Fuente: CCN-CERT.

El panorama, por tanto, parece claro. Ningún país del mundo escapa a la ciberguerra sucia que se está librando entre los estados, y España no es ninguna excepción. Los datos demuestran la existencia de ciberataques geopolíticos hacia nuestro país. Dentro de unos años veremos si estábamos realmente preparados para ellos… o si habrá llegado la hora de lamentarse.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

Así se puede hackear el sistema eléctrico español y otras infraestructuras críticas

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

Jueves, 5 de marzo de 2020. 19 horas. Al escenario de la RootedCON se sube Gonzalo J. Carracedo, consultor de ciberseguridad de la empresa española Tarlogic. Tiene un bombazo que dar: tras una larga investigación, su empresa ha descubierto que más de 13 millones de contadores de luz inteligentes que hay en España tienen una grave vulnerabilidad que puede dejar un barrio entero totalmente a oscuras. Y en apenas unos minutos.

¿Cómo podía ser esto? Investigando, Carracedo y su equipo se dieron cuenta de que cerca de la mitad de los contadores inteligentes que hay en España tenían un sistema de acceso al control con contraseñas genéricas y fácilmente descifrables. Además, los cables eléctricos estaban transmitiendo una información que no estaba cifrada al 100%.

Imagen de los contadores conectados al concentrador de Tarlogic.

Partiendo de esta información, Tarlogic diseñó un pequeño laboratorio en un entorno seguro y se propuso provocar cortes en varios contadores de este tipo mediante una táctica ensayada: en primer lugar, romper las contraseñas y acceder al control de los dispositivos; en segundo, hacer que el suministro se apagase y encendiese sin parar hasta que se produjese un corte espontáneo. Javier Rodríguez, miembro también de la empresa, nos explica el funcionamiento con una comparación sencilla: «Cuando apagas y enciendes muchas veces una bombilla, puede llegar a fundirse. Pues aquí sucede lo mismo: forzamos la infraestructura de la red eléctrica para provocar el corte». Dicho y hecho: en este vídeo puedes ver el experimento a pequeña escala:

«Puedes dejar sin luz a un barrio entero«, nos reconoce Javier Rodríguez en el capítulo 6 de El Enemigo Anónimo. De hecho, la empresa se encargó de notificar esta brecha de seguridad a las energéticas españolas aludidas. Si quieres ver la charla entera de Carracedo, la tienes aquí abajo.

Carracedo no es el primer español que consigue vulnerar la seguridad informática del sistema eléctrico español. Nueve años antes, en marzo de 2011, Rubén Santamarta se propuso echar abajo el sistema eléctrico español mediante otra táctica: acceder a los Controladores Lógicos Programables que dirigen el sistema de la red eléctrica española y cambiar sus parámetros de actuación. Hacía cambios pequeños e intercalados en el tiempo para que no se notasen diferencias bruscas, pero poco a poco, sin que nadie se diese cuenta, iba debilitando el suministro hasta hacerse con el control total. Si quieres, puedes ver su charla aquí.

Sí, en España ha habido ataques a infraestructuras críticas

Los que acabamos de contar son dos ejemplos realizados por expertos que no pretenden tirar abajo nuestro sistema eléctrico, sino mostrar sus debilidades para que sean corregidas. Pero, ¿ha pasado alguna vez lo mismo… con intenciones maliciosas? ¿Ha perpetrado alguien ataques contra infraestructuras críticas españolas… y lo ha conseguido? Lo cierto es que sí.

Al menos así lo asegura Román Ramírez: «En España ha habido intentos de ataques a infraestructuras críticas, y en algunos casos ha habido ataques exitosos. Esto no se comenta en abierto ni se pueden identificar los casos porque te metes en un problema muy gordo pero haberlos los ha habido. Yo he visto en directo cómo se entra a una infraestructura crítica donde puedes hacer determinadas cosas».

Esta teoría la confirma el periodista Manuel Ángel Méndez, de El Confidencial, que asegura que, «fuentes del CNI reconocieron que había habido intentos de penetración de la red eléctrica en España. No es una cuestión de si va a ocurrir, es una cuestión de que ya ha ocurrido, está ocurriendo y va a ocurrir más».

Estos hechos no son precisamente desconocidos para el Gobierno español. El 7 de enero de 2019, el Ministerio del Interior adjudicó a Eulen un contrato de 318.991 euros para reforzar el cuidado de las infraestructuras críticas españolas, ya que, como reconocía el propio Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), «el crecimiento de incidentes de ciberseguridad con impacto en los operadores críticos y los servicios esenciales (…) requiere de una potenciación y continuidad que permita operar las 24 horas del día, los 7 días de la semana y los 365 días del año». Este tipo de labores «no puede prestarse directamente por el CNPIC ni por las Direcciones Generales de la Policía y Guardia Civil, al carecer de las capacidades descritas para el tratamiento y la gestión de la ciberseguridad».

España, preocupada por posibles ciberataques

España, al igual que la mayoría de países de todo el mundo, tiene motivos de sobra para preocuparse por la seguridad de infraestructuras críticas que gestionan suministros como el de la luz o el del agua. En nuestro país, de hecho, incluso tenemos cifras que avalan dichos motivos.

Según el Informe de Seguridad Nacional, España sufrió 89 incidentes efectivos (es decir, que realmente comprometieron la seguridad física en los sectores estratégicos) en 2019, frente a los 22 registrados en 2018 y los 54 del año 2017.

Mirando una perspectiva mucho más amplia, el Estudio sobre la Cibercriminalidad en España, editado por el Incibe, muestra unos datos mucho más peligrosos, con miles de ciberataques dirigidos hacia nuestras infraestructuras críticas.

A nivel gubernamental, los posibles ataques a infraestructuras críticas preocupan y mucho. De hecho, la Estrategia de Seguridad Nacional, elaborada en 2017, ya reconocía este tipo de operaciones como una de las que más puede comprometer la seguridad de nuestro país.

Fuente: Estrategia de Seguridad Nacional (2017).

El tema, evidentemente, también preocupa a las diversas empresas. El Cybersecurity Snapshot Global, realizado por Isaca, preguntó a diversos profesionales de infraestructuras críticas qué posibilidades creían que tenía España de sufrir un incidente en el año siguiente. Los datos hablan por sí solo: apenas el 15% aseguró que dicha posibilidad era baja.

Lo que inquieta a todos los países del mundo

Como decíamos, España es un país con motivos para preocuparse, pero no es la excepción, ni mucho menos, sino más bien la regla. «En el mundo cíber hay dos cosas que se temen más que nada: un ’11 de septiembre cibernético’ y un ‘cíber Pearl Harbor’, nos cuenta Andrea G. Rodríguez. «Imaginaos hasta qué punto son vulnerables y débiles».

El miedo a nivel mundial también viene respaldado por las cifras. El Global Risk Report 2020 del Foro Económico Mundial revela que el 76,1% de las empresas cree que el riesgo de ataques contra este tipo de entornos aumentará en 2020, situándose por delante incluso de los ataques que buscan robar dinero o datos.

¿Y cuáles son los sectores de actividad más afectados por posibles ciberataques a infraestructuras críticas? Un informe de la OECD y otro de Hornet Security dan diversos ránkings, aunque tampoco son muy diferentes entre ellos. Ambos sitúan a la cabeza de estos peligros al sector energético.

Para Ofelia Tejerina, «la guerra está en la red. Y no es una guerra global declarada, pero se están librando batallas muy potentes y hay riesgos muy graves con infraestructuras críticas». A este tipo de infraestructuras Andrea G. Rodríguez les añade otro problema: «Muchas están interconectadas, con lo que un ciberataque a una se puede llegar a propagar a otras«. La OECD avala esta información: el 36% de las infraestructuras de sus países son interdependientes de otras, un porcentaje lo suficientemente significativo como para tenerlo en cuenta.

Con todo ello, el resultado es que la seguridad informática de las infraestructuras críticas es un gran foco de criminalidad, pero también de negocio, con un mercado que no para de crecer.

Fuente: MarketsAndMarkets.

La joya de la corona: atacar a EEUU

Si hay un país especialmente colocado en el centro de la diana, ese quizá sea Estados Unidos. No solo por las amenazas ajenas, sino también por la propia sensación interna. Una sensación, no nos vamos a engañar, provocada también por la incesante participación de su gobierno en distintos ataques (su papel esencial en Stuxnet parece fuera de toda duda).

Sea como fuere, en diciembre del año pasado, el President’s National Infrastructure Advisory Council (NIAC), formado por altos ejecutivos de grandes empresas y organismos públicos, instó al presidente Trump a mejorar su estrategia «para prevenir las terribles consecuencias de un ciberataque catastrófico en las infraestructuras energéticas, de comunicaciones y financieras», ya que «las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar contra los estados nacionales que intentan interrumpir o destruir nuestra infraestructura crítica».

«Las empresas estadounidenses se encuentran en una guerra cibernética que no están preparadas para ganar»

La preocupación es tal que, desde 1970, el Gobierno incluye en un completo estudio la totalidad de ataques que han sufrido sus infraestructuras críticas, así como su letalidad.

Fuente: Gobierno de Estados Unidos.

Entre los sectores más afectados, los habituales: los servicios de salud pública y los financieros son los que han sufrido más ataques en sus infraestructuras.

Ataques: «Los ha habido, los hay y los habrá»

La protección de las infraestructuras críticas no es sencilla, ya que, como asegura Roman Ramírez, «se soporta en instalaciones que a lo mejor tienen un ciclo de vida de 30 años y con dispositivos que estiras hasta los 30-40 años. Y cambiar un cacharro está muy bien, pero cuando has comprado 20 millones de cacharros, los tienes distribuidos por todo el país y encuentras vulnerabilidades, ¿eso quién lo cambia? ¿Los ciudadanos van a querer pagar 30 euros más en la factura eléctrica para que las empresas los reemplacen?».

¿Hay alguna noticia positiva en este sentido? Sí. Daniel Creus, analista de malware de Kaspersky, recuerda que «hemos conseguido tener cada vez más conocimiento sobre los adversarios, y eso significa que no solamente podemos saber los procedimientos que utilizan para atacar, sino que además podemos intuir si somos objetivos o no en función de movimientos geopolíticos o puros intereses estratégicos».

«No hay que negar la evidencia: tenemos una situación de riesgo. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático»

Román Ramírez (RootedCON)

En cualquier caso, «es importante seguir avanzando en ciberseguridad de infraestructuras críticas para estar siempre a la última vanguardia y que no nos pille desprevenidos», nos cuenta David Carrero Fernández-Baillo, cofunder y VP Sales de Stackscale. «Es realmente importante que España y Europa hagan un gran esfuerzo en temas de ciberseguridad porque esta es la materia con la que vamos a poder competir mucho más en el mundo».

Ahora bien, Román Ramírez recuerda que «lo que no hay que hacer es negar la evidencia: tenemos una situación de riesgo, que es que las infraestructuras se pueden atacar. ¿Ataques? Los hay, los ha habido y los habrá. Y esperemos que no haya nada grave ni dramático».

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Stackscale

El ciberespionaje en España existe: quién lo hace, quién lo sufre y qué pinta el CNI en todo esto

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Todo empezó hace cerca de dos años. Varias empresas españolas, entre ellas nuestra protagonista (llamémosla Empresa Alpha, por ejemplo) concurren a un concurso público y presentan sus respectivas ofertas. Una vez publicados los resultados, la ganadora (llamémosla Empresa Beta) se ha llevado la victoria por un margen muy pequeño. A Empresa Alpha le resulta una victoria sospechosa, ya que, además, la oferta y el pliego de Empresa Beta se parecen mucho a los suyos. Se hacen la pregunta en voz alta: ¿y si nos han espiado? O peor, ¿y si directamente nos han robado nuestra documentación y la han presentado como suya?

Para responder a la pregunta acudieron a Zerolynx, cuyo CEO, Juan Antonio Calles, nos cuenta lo sucedido en el cuarto episodio de El Enemigo Anónimo, la primera serie documental sobre ciberseguridad hecha en España: «Al hacer la pericia tecnológica vimos que una persona había hecho un envío de una información marcada como confidencial, había una fuga de información, así que evaluamos técnicamente lo sucedido, emitimos el informe y lo presentamos», nos cuenta.

Un tiempo más tarde supieron la verdad: «Se demostró que una persona del área comercial había cedido la oferta que se iba a presentar a una empresa de la competencia a cambio de dinero«. Sorprendente, ¿no? Pues no tanto como parece. Como vamos a ver a continuación, el ciberespionaje entre empresas rivales que compiten por un mismo contrato es muy común. Y no hay que irse muy lejos para comprobarlo: en España hay ejemplos de sobra.

El ciberespionaje industrial, en cifras

Según el Data Breach Investigations Report 2020 elaborado por Verizon, el ciberespionaje industrial no para de aumentar cada año. Y si lo segmentamos por sectores, el manufacturero es el que más sufre este delito, seguido del profesional y –ojo– el público.

¿Y en España? La Memoria de la Fiscalía General del Estado sitúa el ataque contra la propiedad industrial y/o intelectual como el quinto ciberdelito más frecuente en nuestro país, representando un 4,2% del total.

La cifra porcentual puede parecernos baja, pero ¿qué pasa si analizamos la evolución? Que encontramos motivos de sobra para preocuparnos: desde 2015 los ataques contra la propiedad industrial y/o intelectual venían bajando significativamente… hasta el año pasado, en el que hubo 555 casos, multiplicando por más de 10 los del año anterior.

¿Quién espía, a quién y por qué?

¿Qué lleva a una empresa a querer espiar a otra? La respuesta parece evidente: el robo de información para tener una ventaja competitiva. «Siempre que existen datos y competición hay maneras para aprovecharse, generando un informe de inteligencia sobre qué es lo que tienen otros y qué es lo que tú puedes ofrecer», nos cuenta Andrea G. Rodríguez, investigadora del CIDOB. «Y si quieres echarle mala baba y aprovechar lo que tienen los otros, es muy probable que lo intentes robar«.

¿Son casos aislados? En absoluto, en su opinión «es una práctica completamente extendida». Coinciden en ello Javier Rodríguez, de Tarlogic, para quien «el ciberespionaje es público y notorio«, y Yoya Silva, de Woman in Cybersecurity Spain (WiCS), que reconoce que «todos suponemos cosas, pero no hay una confirmación oficial nunca. Si nadie quiere levantar la mano y decir lo que ha ocurrido no nos vamos a enterar del todo».

Andrea G. Rodríguez, investigadora del CIDOB.

Jorge Louzao incluso nos da más detalles: «Entre empresas rivales que compiten por un mismo mercado o por los mismos contratos se da mucho», pero, evidentemente, «no es una cosa que ninguna empresa te vaya a reconocer públicamente».

De hecho, «grandes empresas españolas transnacionales están padeciendo ciberespionaje industrial día a día«, añade Luis Ramírez, editor de la revista SIC. Esto nos lleva a pensar en un grupo de empresas a las que menciona Alfonso Muñoz, de GFI Digital Risk: «El espionaje industrial existe para contratos muy grandes. Las grandes empresas, por ejemplo las del IBEX 35, tienen que proteger bien su propiedad industrial por robo de organizaciones, empresas… y, en algunos casos, gobiernos extranjeros».

Los gobiernos también espían; ¿qué hace el CNI en España?

Un momento, ¿qué es eso que ha dicho Alfonso Muñoz de que los gobiernos extranjeros también espían? Sabemos que muchos gobiernos se espían entre sí (lo veremos en los capítulos 7 y 8 de El Enemigo Anónimo), pero ¿qué es eso de que un gobierno espíe a una empresa?

Pues sí, hay gobiernos que espían a empresas extranjeras: «Si tú tienes una empresa estratégica, llamémosla X, que se dedica a un bien básico que consumimos todos los días y está compitiendo por un contrato en la otra punta del mundo o está compitiendo por comprar una empresa o hacer una OPA hostil, detrás no solamente están esas empresas investigando y tratando de sacar toda la información, también están sus gobiernos«, nos cuenta Jorge Louzao.

«Doy por supuesto que el CNI trabaja en los contratos grandes para defenderlos… pero también para recabar inteligencia con la que ganar a los del otro lado».

Román Ramírez, rootedcon

En estas cosas siempre tendemos a pensar bien de nosotros mismos y mal de los demás, pero Román Ramírez nos tira por tierra esta ingenuidad: «Yo doy por hecho que mi país está lidiando contra otros países para que mis empresas ganen contratos internacionales. Doy por supuesto que el CNI está trabajando en todos los contratos grandes para defenderlos y evitar que te los ‘bicheen’… pero también para recabar inteligencia con la que ganar a los del otro lado. Esto es así y el que crea que no es así…».

¿Es lícito que el gobierno español espíe a empresas extranjeras?

Por muy evidente que resulte el ciberespionaje de grandes gobiernos a empresas extranjeras, no puede dejar de llamarnos la atención. Porque vale que un país como España quiera defender a sus empresas ante ataques extranjeros, pero ¿qué pasa si es la propia España la que se dedica a hacer ciberespionaje a empresas extranjeras para beneficiar a las españolas? ¿Dónde queda la ética en todo este asunto?

Jorge Louzao (@louzaonet).

Román Ramírez se hace la misma pregunta en voz alta: «¿Es lícita la seguridad ofensiva? ¿Es lícito utilizar el ataque como parte de la defensa nacional? Es una pregunta muy complicada», reconoce. «Éticamente está mal: agredir a un ciudadano, a una empresa o a un estado es malo por definición, pero eso forma parte del mundo que yo quiero, no del mundo que tengo. Cualquier país quiere que sus empresas ganen un proyecto y que no lo ganen las del país de enfrente. Y yo, sinceramente, prefiero que se arruine otro país a que se arruine el mío, quiero que haya más puestos de trabajo en el mío y que el que tenga el problema sea otro país, no el mío».

«¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo»

Jorge Louzao (@louzaonet)

Jorge Louzao coincide en este punto, aunque su aceptación de que España pueda espiar a empresas extranjeras quizá sea más resignada: «Desde un punto de vista ético, que un estado esté detrás de este tipo de acciones es francamente reprobable… Pero vámonos al mundo real, vamos a ser pragmáticos, vamos a pensar que esto sucede todos los días, que hay estados más grandes que el nuestro que lo están haciendo y de alguna manera te tienes que defender. ¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo. Tienes que tratar de beneficiar es a tu propio país, a tu gente y es a tus negocios, no a los del contrario».

Las conclusiones de casi todas las personas con las que hemos hablado van en la misma dirección: el ciberespionaje industrial existe, es mucho más frecuente de lo que creemos y a veces incluso viene impulsado por los propios gobiernos internacionales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Nace ‘El Enemigo Anónimo’, la primera serie documental sobre ciberseguridad

Hoy nace El Enemigo Anónimo, un proyecto del periodista C. Otto que se convierte en la primera serie documental sobre ciberseguridad hecha en España.

Hoy abrimos boca con el tráiler del proyecto, que puedes ver al inicio de este artículo. El Enemigo Anónimo constará de 20 capítulos (aquí puedes ver la programación), que se publicarán de dos maneras:

  • Capítulo en Youtube. Duración de 4-5minutos por capítulo.
  • Reportaje extendido. Para complementar el vídeo, con cada capítulo publicaremos en esta web un reportaje extendido en el que trataremos, con mucha más amplitud, el tema tratado. Incluiremos información adicional, gráficos de datos, etc.

En El Enemigo Anónimo vamos a entrevistar a cerca de 40 especialistas en ciberseguridad, programación, derecho tecnológico, cuerpos policiales, cibercrimen, ciberguerra, privacidad, datos, ciberacoso, fake news, propaganda, Internet of Things (IoT) y voto electrónico, entre otras temáticas. Aquí puedes ver a gran parte de las personas entrevistadas.

¿Quieres patrocinarnos?

Este proyecto se financia mediante patrocinios. ¿Quieres patrocinar El Enemigo Anónimo? Aquí te contamos cómo hacerlo y lo que obtendrás a cambio.

Síguenos

Si quieres estar al tanto de las noticias de El Enemigo Anónimo, suscríbete aquí a nuestra newsletter semanal. También puedes seguirnos en las siguientes redes: