Cuando el pasado 7 de mayo la empresa energética estadounidense Colonial fue objeto de un ataque informático que paralizó sus operaciones, el caos asomó la oreja. La compañía distribuye el 45% del combustible que se comercializa en la costa este, de Texas a Washington D.C., por lo que había que actuar rápido. DarkSide –el grupo de ciberdelincuentes– exigía una cifra millonaria, y la empresa terminó pagando: “Es lo correcto por el bien del país”, dijo su director ejecutivo.
Lo sucedido se va haciendo cada vez más corriente: piratas informáticos bloquean los sistemas de una empresa, exigen una cifra –preferiblemente en criptomonedas– a cambio de desbloquearlos, y una vez hecha la transferencia dan las claves para ponerlo todo en funcionamiento nuevamente (aunque ojo: no siempre lo hacen). Tan “sofisticada” está la ciberdelincuencia que incluso observa “códigos de honor”, como la promesa de no volver a atacar a la compañía ya victimizada, o darle a elegir la criptomoneda en que prefiere ser extorsionada.
El tema está de actualidad, además de por el incidente con Colonial, porque durante 2020 los ciberataques a empresas aumentaron un 150% respecto al año precedente. La aseguradora anglo-bermudeña Hiscox Ltd. realizó un estudio de casos en ocho países y halló que, de 6.043 empresas, el 43% habían sufrido un ataque informático, frente al 38% de 2019. En cuanto a lo pagado, las afectadas desembolsaron un 300% más que en el año anterior. Los criminales pusieron el ojo fundamentalmente en las empresas con más de 1.000 empleados: el 61% sufrió un ciberataque.
Una de los que se muestran datos es España: de las 532 empresas analizadas, 283 (53%) habían recibido algún ataque; 225 (42%) no habían sido víctimas de ninguno, y 24 (5%) no se habían enterado de si se les había atacado o no. De 27 agencias gubernamentales y ONG examinadas, 11 reportaron al menos un ataque cada una.
Las normas, necesarias (y obligatorias)
La recurrencia de estos incidentes puede inducir a pensar que ha sido mal negocio dejarlo todo en manos de la informática y que, particularmente en el caso de las infraestructuras críticas, sería aconsejable tener “planes B” analógicos.
Antonio Fernandes, asesor de ciberseguridad y miembro del área de Seguridad y Defensa del think tank OdiseIA –institución especializada en el impacto social y ético de la inteligencia artificial– comenta a Aceprensa que es cada vez es más complejo volver a los sistemas manuales, si bien determinadas infraestructuras sí que los contemplan. Pero la tendencia es la informatización.
— La percepción de la “infalibilidad” de los sistemas informáticos parece muy difundida…
— Sí, pero no son infalibles. Todo depende de cómo los conformes. Hay sistemas con duplicados, de modo que si uno cae, el otro empieza a funcionar. Si asignas toda la responsabilidad a un único sistema y se te cae, entonces todo se viene abajo. Bien montado el sistema, es muy difícil tumbarlo.
— ¿Entonces empresas como Colonial y otras a las que han extorsionado no han tenido estos sistemas-espejo?
— No. De hecho, creo que Colonial no tenía ni un responsable de ciberseguridad, porque apenas unas semanas antes del ataque fue que sacaron una oferta para ocupar ese puesto en la empresa. Entiendo que les pillaron en un momento de reestructuración y no habría nadie liderando esa posición.
Una directiva europea, la NIS, establece unos mínimos en materia de ciberseguridad que las instituciones están obligadas a respetar
— Un analista recordaba en el New York Times que el 80% de las infraestructuras críticas de su país está en manos privadas, y que el gobierno no tiene autoridad para imponerles unos estándares de seguridad informática.
— Eso es EE.UU., y cada país tiene su legislación. Desde el punto de vista mencionado, cada empresa es soberana de hacer lo que entienda, pero su alta dirección debería asegurar que esté cubierto el puesto de ciberseguridad.
En el caso de Europa, hay una directiva europea, la NIS (Network and Information Security), que hemos adoptado en España para las infraestructuras críticas y que establece los mínimos que hay que seguir en ciberseguridad, que son auditados. Tenemos normas que adaptas a cada situación, pero las tienes que cumplir. Si eres una infraestructura esencial, tienes que tener la figura del jefe de ciberseguridad, que en EE.UU., como se ve, no es necesario.
Aquí se le da un peso especial al cuidado de las infraestructuras, y se está preparando una revisión de los sectores que entran en la NIS. Próximamente otras industrias se incluirán en la lista de instituciones obligadas a cumplir esas normas.
Pasa como en su día con las leyes de protección de datos (LOPD). ¿Qué pasa si no cumples la LOPD? Que la agencia española correspondiente te multa, y la multa suele ser alta. Las empresas asumieron que la ciberseguridad es importante y había que cumplir unos mínimos; si no lo haces y te pasa algo, además del ataque, te caerá una penalización.
Pagar o no pagar: “That’s the question”
¿Quién está detrás de estos ataques? Fernandes pide que desterremos de la mente la imagen del tipo sombrío, con capucha y un portátil en la mano: son mafias, grupos bien articulados que antes se dedicaban al tráfico de personas, de armas y de drogas, y que han descubierto su particular Eldorado en la extorsión por vía informática.
— DarkSide, el sitio de quienes piratearon a Colonial, quedó fuera de operaciones poco después (se cree que por una acción de respuesta del gobierno de EE.UU.). ¿En qué medida es posible llevar ante la justicia a los autores de estos hechos?
— Perseguir a esta gente es bastante difícil. En algunos casos están en países que los protegen, que los ven como un buen recurso para desestabilizar a otros países. Localizarlos es complejo, pues saben esconderse muy bien, y para el cobro de los rescates utilizan criptodivisas. Aunque a veces la cooperación internacional acaba con organizaciones de este tipo, como sucedió con la red Emotet, que realizó muchos ataques. La policía les dio caza y los detuvo.
Se cree que muchos que han sufrido la extorsión de ciberdelincuentes no lo informan, bien por vergüenza, bien por no saber si ha sido ilegal pagar
— Pongámonos en situación: si no se paga, la empresa puede quedar paralizada indefinidamente. En el caso de Colonial, la Casa Blanca ni aconsejó ni desaconsejó pagar…
— Normalmente se aconseja no pagar los rescates. Se dice: “Es ilegal pagar”, pero no lo es tácitamente… Esto, sin contar cómo se podría declarar fiscalmente. En todo caso hay que evitar pagar, porque si lo haces estás fomentando que lo sigan haciendo. La cuestión es que si dices: “Cierro mi empresa y mando a todas las familias a casa”, pues la decisión es fatal. ¿Qué es mejor: no pagar, o pagar y que podamos seguir trabajando? En esa situación, la responsabilidad es de cada uno.
— ¿Se puede saber con exactitud el número de extorsiones que logran su objetivo?
— No. Mucha gente no lo dice. Solo salen algunos casos a la luz. Hay muchos sobre los que nunca nos enteraremos, por una parte, porque a los afectados les da vergüenza, y por otra, porque no saben si es legal haber pagado.
En España, según informes, hay unos 40.000 ataques por malware cada día. Buscan sacar dinero de varias formas: una, la que hemos visto, es el ransomware: te cifran los datos de tu empresa y te exigen un dinero para que puedas tener acceso a ellos. Simultáneamente, también te amenazan con que, si no pagas, te quedas sin los datos, pero encima ellos los publican en Internet. Y en un tercero, se combinan las dos anteriores y, si pueden extorsionar a alguno de tus clientes o proveedores, también lo hacen.
Otro tipo de ataques es el fraude al CEO: se hacen pasar por alguien de la organización para que hagas una transferencia de dinero. Para que veas lo complejo y enrevesado de esto, también tienen call centers: cuando te hacen la extorsión, algunos te dan un número de teléfono y te asignan un número de cliente. También tienen un ejército de “mulas” para que blanqueen el dinero, pues en ocasiones este no va en criptomonedas: se envía por el banco, y los delincuentes tienen a alguien que va personalmente a cobrarlo y recibe un porcentaje. Si lo pillan, no sabe decir quién se lo encargó.
A por el grande, a por el pequeño, a por todos
— Un oleoducto allá, un ayuntamiento más acá, un Ministerio por aquí… ¿Los delincuentes no le hacen ascos a nada, o tienen blancos predilectos?
— Hay varios tipos de ataques. Los hay aleatorios, pues estas mafias tienen robots que van buscando en Internet fallos de seguridad para luego ejecutar la extorsión. Le puede tocar a cualquier empresa: grande o pequeña. Están todo el día en esto.
Pero los más peligrosos son los ataques en los que se decide de antemano un objetivo, una empresa concreta. Primero entran a vulnerar de mil maneras: intentan que les des acceso, que ejecutes uno de sus software maliciosos, o vulneran un servidor y por ahí entran a la empresa. ¿Cómo la escogen? Previamente eligen un sector, hacen una investigación de mercado, ven quiénes facturan más, porque si tienen mucha pasta, es más probable que paguen.
Una vez que seleccionan la entidad, van a por ella, y si no pueden porque está bien protegida, van a por quienes trabajan con ella: su cadena de suministros, que intentarán vulnerar para, a través de esta, entrar a la entidad principal. Los ataques de este tipo son persistentes y avanzados, y acaban consiguiéndolo casi siempre. Si ponen empeño contra alguien, lo logran. De modo que tienes que tener protocolos para, si te pasa algo, que por lo menos te des cuenta rápido para actuar y controlarlo.
Hay, pues, dos tipos de empresas: las que han sido hackeadas y las que no lo saben. Lo importante es que, si lo detectas, tenga el menor impacto posible, que no haga mucho daño. En mayor o menor medida, todas han sufrido un intento. Quien diga lo contrario miente, o no lo sabe. Puede ser algo pequeño, pero todo el mundo ha pasado por eso.
“No creo que consigan llevarnos a algo supergrave, ni que se coordinen hasta ponernos a todos en jaque”
— En ocasiones se tiene la impresión de que los “malos” van más adelantados que los “buenos” en temas de ciberseguridad. Que los Estados, aunque pueden reaccionar contundentemente, solo hacen eso: reaccionar cuando se materializa una amenaza.
— La ciberseguridad total no existe; eso es una realidad. Pero sí que hay muchas iniciativas por parte de las fuerzas y cuerpos de seguridad del Estado para ser menos reactivos y más proactivos. El problema es que los malos tienen mucho dinero y mucha gente muy preparada, y se dedican solo a esto. No es una impresión que vayan por delante: es que van. Nosotros siempre iremos a rebufo, porque defender, tienes que defender todo; pero para atacar, con que busques un agujero ya puedes liar al otro.
Los Estados deberían, en mi opinión, invertir más en ciberseguridad. ¿Cómo? Con menos proyectos de humo y metiendo más dinero en las fuerzas y cuerpos de seguridad. En el caso de España tenemos unos excelentes profesionales, unos muy buenos hackers, pero con muy pocos recursos, y deberían asignárseles más. Al final, los que estamos en la empresa privada podemos defender los sistemas, pero no perseguir a los ciberdelincuentes. La labor de persecución pasa por las fuerzas del Estado, de modo que hay que meter más dinero ahí.
— Por último, ¿tenemos que hacernos a la idea de que en algún momento ocurrirá, inevitablemente, un desastre de gran magnitud en las infraestructuras y los servicios públicos, por un ataque informático?
— No creo que consigan llevarnos a algo supergrave. Podrán hacer cosas, sí, pero que se coordinen hasta ponernos a todos en jaque, no. En EE.UU. ha habido ataques como este contra el oleoducto, si bien el desabastecimiento no fue para tanto. Pero leemos esto y nos volvemos locos.
No hay que desatar la alarma social. Hay quienes hacen estas cosas, pero también estamos los que defendemos, e intentamos siempre que, si ocurre algo, sea controlado, limitado. Para eso trabajamos día a día.
La cuestión es que cuando vas por la calle, sabes que no tienes que meterte en un callejón. Tenemos un instinto de protección desarrollado con el tiempo, pero en Internet es muy reciente. Parece que es exclusivamente un mundo virtual, y no es cierto: también es totalmente real, y ahí te pueden hacer mucho daño como empresa y como persona. Esa misma prudencia que guardamos por la calle, tenemos que llevarla a Internet.