Blog
Hace 20 años el elemento tecnológico más innovador en muchas pequeñas y medianas empresas podía ser la red local: que el Word que visualizabas en un ordenador se pudiera imprimir un par de habitaciones más adelante, o que pudieras acceder a los archivos principales desde cualquier ordenador de la oficina. Eran tiempos en que muchas casas estaban mejor dotadas tecnológicamente que los lugares de trabajo. Hoy esta imagen ha desaparecido en la mayoría de los casos. La tecnología forma parte de prácticamente cualquier elemento de la empresa. Las comunicaciones, los procesos, las reuniones, la obtención y tratamiento de los datos, la toma de decisiones… Casi todas las acciones que marcan el día a día de una empresa están relacionadas con la tecnología, una tecnodependencia que es ventaja y desventaja al mismo tiempo. Lo bueno: optimiza el negocio. Lo malo: es una vía de entrada para los ciberdelincuentes.
Hoy las empresas están más expuestas a los ciberataques que nunca. Esto no significa que los malos lo tengan más fácil, sino que existen múltiples fórmulas para atacar a una compañía gracias a la tecnología. “Cuantas más tecnologías tenga una empresa, más posibles vectores de ataque va a tener y, por ende, más expuesta va a estar”, explica Marco Antonio Lozano, responsable de Servicios de Ciberseguridad para Empresas y Profesionales del Instituto Nacional de Ciberseguridad (INCIBE). “Eso sí, hoy existen muchas más medidas de protección para las empresas que antes.”
En 2018 el INCIBE gestionó 111.519 incidentes dirigidos contra empresas y particulares, una cifra parecida a la de 2017 (123.064) y a la de 2016 (110.293) pero que multiplica la de 2015 (45.690). Desde INCIBE insisten en que son sólo incidentes gestionados, los que se conocen.
Por su parte, el Centro Criptológico Nacional detectó 38.029 incidentes de seguridad contra España en 2018, un 43,7% más que en 2017. Estos datos corresponden a ataques contra los organismos e instituciones españolas, pero si hablamos de empresas, la tendencia es también al alza. De hecho, hay muchísimos más ataques de los que se identifican y gestionan. El secretismo es habitual aquí: las compañías no quieren difundir que han sido atacadas y otras veces ni siquiera se dan cuenta hasta meses después.
Los expertos coinciden en que el gran problema actual para las empresas españolas es el phishing o suplantación de identidad. Es un palabro que viene del inglés fishing (pesca) porque busca que las personas desprevenidas muerdan el anzuelo. Consiste en engañar a los empleados a través de correos electrónicos donde el ciberdelincuente se hace pasar por otra persona. Puede ser un empleado de un banco, un cliente, un proveedor o incluso alguien de la propia empresa.
En el correo se intenta convencer al empleado objetivo de que haga clic en un enlace o que abra o se baje un archivo en concreto. Hay muchas fórmulas para convencer al empleado: desde un “Tengo prisa, echa un vistazo a esta memoria y me dices si le ves algún fallo” hasta un “¿Es correcta esta factura?”, pasando por el clásico, y sorprendentemente efectivo, “¿Es tu mujer/marido quien aparece en esta foto?”.
Cuando el incauto abre el archivo o hace clic en el enlace, automática y secretamente se ejecuta un software malicioso que compromete su equipo y, si la empresa no ha previsto barreras contra estos ataques, a todos los ordenadores conectados. Lo que se crea es una puerta trasera por la que el ciberdelincuente puede entrar al sistema y hacer lo que le plazca: acceder a información sensible para chantajear a los empleados, robar esta información y vendérsela a la competencia, borrar los archivos para sabotear a la compañía… Lo que quiera.
En la mayoría de los casos se trata de ataques masivos, sin objetivos concretos. El o los ciberdelincuentes se hacen con miles de direcciones profesionales de correo electrónico, bien robándolas, comprándolas a otros ciberdelincuentes o simplemente recopilándolas cuando alguna empresa se despista y las airea. El ciberdelincuente diseña un correo electrónico tipo y prueba fortuna entre miles de posibles destinatarios. No es un problema que afecte en exclusiva a las empresas.
Existe un tipo que sí está dirigido deliberadamente contra empresas, el llamado fraude del CEO, también conocido como whaling. Si con el phishing se lanza el anzuelo a ver quién pica, con el whaling se arponea directamente contra las ballenas (o whales), es decir, contra las personas más poderosas de cada empresa.
El fraude del CEO, que ha aumentado en los últimos años, tiene la misma base que el phishing. El ciberdelincuente se hace pasar por alguien conocido de la persona para engañarle. Sólo que en este caso la historia que hay detrás del engaño tiene que ser más verosímil.
Por ejemplo, pongamos que hay una agencia de relaciones públicas que trabaja para una multinacional. La vicepresidenta de esta multinacional va a ser entrevistada en un programa de televisión de máxima audiencia, así que la agencia de relaciones públicas ha pensando en hacer antes un ensayo de entrevista frente a una cámara. ¿Cuál es el problema? Que todas las cámaras de la agencia están ocupadas y no hay tiempo que perder. ¿Solución? Comprar una cámara nueva. Así que hay que escribir un correo al CEO, que está de vacaciones en Tailandia, para que autorice el pago. ¿Quién le escribe? Al ser un asunto urgente, la jefa de contabilidad asume la tarea y manda un correo de altísima prioridad. El CEO, que está en un hotel y acaba de venir de la playa, entra un instante en su correo profesional, lee la situación que acabamos de describir y, entre agobiado por el momento y el lugar y preguntándose por qué la jefa de contabilidad le pide su tarjeta y PIN para hacer un gasto de 400 euros que debería haber sido previsto, da su consentimiento. Y así se cierra el engaño.
Hay algunos ingredientes de la historia que deben ser reales, como el cliente de la agencia y el nombre de la jefa de contabilidad, pero todo lo demás es una invención del ciberdelincuente para engañar al CEO. Un pequeño cuento que surge de pasar unas cuantas horas leyendo notas de prensa sobre la compañía del director ejecutivo engañado y visitando sus perfiles en redes sociales. (Este caso es una ficción, pero en la página de INCIBE se pueden encontrar historias reales y recomendaciones para evitar el fraude)
El phishing es el problema número uno para las empresas porque no sólo es dañino por sí mismo, sino que también sirve de puerta de entrada para otro tipo de ciberataques. A través del phishing se puede colar un ransomware o software malicioso de rescate. Un malware de este tipo entra en una máquina, cifra el contenido y le manda la clave al ciberdelincuente, que se pone en contacto con el propietario del ordenador y le exige un pago para recuperar sus archivos . Un pago que puede ir de cientos de euros a unos pocos millones.
Para Lozano, de INCIBE, las pymes, las microempresas y los autónomos son los que más sufren los programas malignos. “Una empresa está preparada para perder empleados, clientes y proveedores, ¿pero qué pasa cuando pierde la información? Hay muchas que no cuentan con medidas de seguridad mínimas como una copia de seguridad ajena a la red o un plan de contingencia que les permita recuperar la actividad en dos o tres días. Y están cayendo por error de contexto, porque muchas pequeñas empresas creen que no son el objetivo de los ciberataques porque consideran que no tienen nada que pueda interesar a los crackers. Y nada más lejos de la realidad: son precisamente las menos protegidas y más vulnerables”, explica Lozano.
Otro ataque terriblemente dañino son los llamados DDoS, o Ataques Distribuidos de Denegación de Servicio, que consisten en que miles de ordenadores intentan acceder a una web o a una app al mismo tiempo, provocando con ello que su infraestructura no pueda gestionar este tráfico y acabe desmoronándose. Twitter, Spotify, eBay o Netflix han sufrido ataques DDoS.
Pero a diferencia del phishing, del fraude del CEO y del ransomware, que pueden ser obra de ciberdelincuentes individuales, para hacer un ataque DDoS es necesario disponer de una gran infraestructura de dispositivos (no sólo ordenadores, también sirven routers o cámaras de vigilancia IP). Basta con infectarlos. Pero aquí ya hablamos de técnicas más complejas que las que se han explicado más arriba y de infraestructuras que no están al alcance de crackers solitarios, sino de grupos organizados.
A mediados de la década de los 90 emergió una figura singular: el “hacker romántico”, como lo define Víctor Villagrá, Director del Master en Ciberseguridad de la Universidad Politécnica de Madrid. Un experto en ciberseguridad ⸺el hacker romántico⸺ que disfrutaba saltando y esquivando las protecciones de las empresas para acceder a sus redes. A veces tocaba alguna cosa, a veces no, pero siempre terminaba por añadir su particular “Yo estuve aquí” y por difundirlo, lo que le granjeaba fama entre los círculos de expertos, e incluso, oportunidades laborales.
Hoy esta figura ha sido sustituida por la industria del cibercrimen. “Actualmente existen mafias, grupos organizados de mercenarios, e incluso, algún grupo gubernamental que han visto esta área como un negocio en el que se puede sacar muchísimo dinero”, explica Villagrá. “Es el equivalente a submundos como la droga o el tráfico de personas.” Según la compañía de ciberseguridad McAfee, el cibercrimen costó en 2017 unos 534 mil millones de euros, el equivalente al 0,5% del PIB mundial, más de lo que se calcula que cuestan el narcotráfico y la trata de personas juntos.
“En la deepweb, la darkweb y en los contenidos no indexados de Internet existen servicios que se pueden contratar”, explica Marco Antonio Lozano, de INCIBE. Y pone como ejemplo una compañía que compitiera contra una tienda online importante. Esta empresa podría contratar un ataque DDoS para que afectara a la competencia durante un Black Friday, haciendo que sus potenciales clientes, al no poder acceder a la tienda, acabaran en el comercio online de quien contrató el ataque DDoS. “Eso existe”.
Lo que motiva a estos grupos organizados para atacar es el dinero. Ya se trate de un DDoS que dinamite la actividad comercial de una empresa durante un día entero, de secuestrar el ordenador de un CEO o de hacerse con los planos de un prototipo, la gran mayoría de los ciberataques tienen un contrato detrás. O si no, son iniciativas de los ciberdelincuentes para vender esta información al mejor postor.
Si el hacker romántico podía acceder a los equipos ajenos por diversión, aquí no hay diversión alguna, sólo negocio. “El motivo principal siempre es el económico”, explica Manuel Sánchez, director del Máster de Seguridad Informática en UNIR. “Es la vía fácil para conseguir dinero. Es una cuestión porcentual. En un ataque de phishing, con que pique el 0,1%... El delito presencial lo haces contra una sola persona, pero un ciberdelito, el mismo ciberdelito, lo cometes contra miles o decenas de miles de personas”, subraya Sánchez.
Si bien la inmensa mayoría de los ciberataques importantes contra empresas los cometen mercenarios, a veces hay iniciativas que no buscan el beneficio económico. Aquí entra el llamado hacktivismo (Anonymous podría considerarse el máximo exponente mundial), el proselitismo religioso y las acciones terroristas.
Los expertos coinciden en que la mejor defensa contra los ciberataques dirigidos a empresas es una combinación de herramientas de ciberseguridad y concienciación por parte de todo el entorno empresarial, desde las pequeñas y medianas empresas hasta las grandes. Y no siempre sucede.
El famoso ataque Wannacry de mayo de 2017, el primer gran ransomware registrado, afectó a empresas de la talla de Telefónica, Iberdrola o Gas Natural (hoy Naturgy), además de a otras muchas en distintas partes del mundo. Para encriptar el contenido de los ordenadores infectados, los ciberdelincuentes explotaron una vulnerabilidad en Windows que Microsoft había solucionado con una actualización en marzo, dos meses antes de que se lanzara el ataque.
Cada compañía afectada sabrá por qué no cumplió con una de las reglas básicas de la ciberseguridad (mantener los programas siempre actualizados, especialmente los sistemas operativos y aplicaciones críticas), pero es posible aventurar que quizá las compañías involucradas no estaban del todo concienciadas sobre la importancia de la ciberseguridad. “Ahora en España el que no está concienciado sobre esto es porque no quiere”, explica Manuel Sánchez. “Todos los días tenemos cuatro o cinco ataques a empresas”.
