Ladrones que cambian la ganzúa por el pendrive

Una semana después, le llegó el turno al HSE, el servicio público sanitario de Irlanda. De nuevo otro 'malware' que secuestraba los datos y bloqueaba la red, en este caso dejando sin cita a las embarazadas y retrasando los resultados de pacientes oncológicos de un puñado de hospitales. En marzo, el objetivo había sido el Servicio Público de Empleo español (SEPE), poniendo en peligro que 2,5 millones de desempleados cobraran el subsidio al que tenían derecho. Un ataque que, según todos los indicios, ni siquiera iba específicamente dirigido a este organismo, pero que se sirvió de la conectividad entre administraciones para saltar desde aquí al Instituto Nacional de Estadística o al Ministerio de Justicia.

Infiltración en redes de comunicación diplomáticas de 40 países, compañías energéticas blanco de grupos organizados de ciberdelincuentes, diez millones de ciberataques al mes en el sector financiero, hospitales en el punto de mira... «Todos incidentes reales -advierten desde el Centro Criptográfico Nacional, que opera al abrigo del CNI- que hablan del robo de propiedad intelectual, credenciales bancarias, historiales médicos o avances tecnológicos sobre los que pivota el desarrollo de un país». Una actividad criminal que no conoce fronteras y que cuenta a su disposición con un arsenal de herramientas donde pendrives, páginas web, teléfonos móviles o almacenamiento en la nube son puertas de acceso a nuestros secretos más íntimos y, creíamos, mejor guardados.

Ni son los únicos ataques ni serán los últimos. VMware, puntera en innovación de software para empresas, calcula que el 99% de las compañías españolas ha sufrido infracciones de seguridad en los últimos doce meses; un volumen de asaltos, precisan, «cada vez mayor» y «más sofisticado». En este contexto, la pandemia ha tenido un indudable efecto «acelerador», asegura Javier Diéguez, director del Centro Vasco de Ciberseguridad (BCSC), «y más en un país como España donde el 90% del tejido empresarial lo forman pymes con menos de 250 empleados; compañías con pocos recursos, poco personal y dificultad para incorporar especialistas en seguridad, luego a priori más vulnerables». Un cambio brutal sin el necesario proceso de adaptación.

Un argumento que comparten en el CCN, junto con el Instituto Nacional de Ciberseguridad (INCIBE) la punta de lanza en la lucha contra esta amenaza. «El teletrabajo ha originado un escenario singular. Por un lado ha sido un pulso para el país, que se enfrentaba al reto de poder mantener su actividad. Y lo ha hecho, pero pagando un precio. De la noche a la mañana, el centro de trabajo te lo has llevado a casa con todo lo que eso supone: dejar abiertas puertas y ventanas, incrementando el nivel de exposición y por tanto el riesgo».

En paralelo a esto se ha producido un aumento del ocio doméstico por el mero hecho de que la gente no podía salir o salía menos. Al tiempo que suben las suscripciones a plataformas de pago, hay más tráfico de entretenimiento; también más oportunidades de que a alguien le secuestren sus dispositivos, de que sufra fraudes, suplantación de la identidad... El Centro Nacional de Inteligencia lleva meses extremando la prevención a través de guías de recomendaciones a usuarios, tanto de la Administración pública como privados, para que sepan en qué condiciones tienen que operar si quieren estar a salvo de 'ransomware', 'adware', 'phishing' o 'wifi hacking', los ciberataques más temidos por las empresas.

«El cibercrimen es una industria, como lo es el tráfico de armas o de drogas -detalla Javier Diéguez-. Hablamos de gente organizada que diseña herramientas de ataque, que roba información de compañías, instituciones y personas para luego venderla». No sólo eso. Acaban asimilando la dinámica empresarial y ponen sus mecanismos al servicio del crimen. Es el caso de DarkSide, que diseña un software dañino, lo ofrece en régimen de franquicia y luego comparte beneficios con sus asociados.

Otro ejemplo: acaba de ocurrir con un malware bancario que se llama FluBot, que llega por SMS y toma el control de tu móvil. Un troyano del que se tiene constancia que ha atacado a más de 60.000 dispositivos Android (móviles, tablets) a nivel global y que en España ha sido destapado por los Mossos d'Esquadra. Esa información se vendía a su vez al mejor postor, que hacía de ella el mismo uso que cuando antes se robaban tarjetas de crédito.

«Nuestra vulnerabilidad es cada vez mayor -explica Manuel Asenjo, IT Director de Eversheds Sutherland, proveedor global de servicios legales- y lo es porque mayor es también la exposición a internet. Cada vez se ofrecen más canales de comunicación desde diferentes empresas y/o organismos públicos, y cada vez hay más interacción en ese contacto, lo que facilita que entren cada vez más cosas indeseadas. Le daré un dato: el 90% de los ataques llegan a través de un correo electrónico, algo que utilizamos todos y cada día más. Y pueden llegar lo mismo de un empleado descontento que de un grupo organizado. La pregunta ya no es si voy a ser atacado, sino cuándo y por dónde».

Eduard Blasi es profesor del posgrado de Protección de Datos de la Universidad Oberta de Cataluña. También él opina que el cambio de modelo laboral «ha cogido a contrapié a muchas empresas -sin un plan de acción, sin recursos específicos-, lo que les ha ocasionado agujeros de seguridad importantes. Utilizamos tecnologías que nos hacen la vida más fácil, pero que al mismo tiempo exigen de nosotros una mayor cautela. Ya no basta con asumir que la herramienta que utilizo está protegida, hay que verificarlo. Ese rol activo de decir 'me anticipo', al que no estamos acostumbrados».

El cibercrimen es una industria fuertemente financiada, integrada por personas muy capacitadas y excepcionalmente bien retribuidas. En que esa amenaza sea cada vez mayor influye que estos grupos pueden actuar en lugares donde Interpol no puede hacer nada, desde Países del Este o China hasta Corea del Norte o Myanmar. Pero es que hasta eso es difícil de determinar porque si algo saben hacer bien es tapar sus huellas. Tienen otra ventaja, advierte Javier Diéguez, y es que no respetan las normas. «Los buenos, los que estamos del lado de la Administración pública y de las empresas que respetan la ley, debemos atenernos a un marco jurídico según el área geográfica, el sector y los reglamentos asociados a él». Restricciones que sencillamente no existen en la internet oscura, donde la extorsión campa a sus anchas.

Y esto es así porque hay sectores de la actividad económica cuyo principal valor es la reputación, la fiabilidad. Que roben los datos de tus clientes es un golpe del que es muy difícil recuperarse. Por supuesto que ayuda tener copias de seguridad o haber contratado un seguro que te indemnice por los daños sufridos, «pero el mal ya está hecho», desliza Asenjo. Él recomienda no someterse al chantaje, «porque cuando pagas perpetúas el problema», aunque admite que hay situaciones en las que se impone «llegar a acuerdos».

Para José María Lassalle, responsable del Centro de Humanismo Tecnológico de Esade y autor del libro 'Ciberleviatán', el megatsunami de datos que gestionan las plataformas y corporaciones tecnológicas nos hace más vulnerables en la medida en que la ciberseguridad sigue siendo una asignatura pendiente. No es menos cierto, sin embargo, que «la Unión Europea está comprometida con crear un ámbito de soberanía digital seguro, como demuestra el reglamento aprobado el 21 de abril sobre inteligencia artificial -de obligado cumplimiento para todos los países miembros-; o el de Protección de Datos», que garantiza la privacidad de estos y establece graves sanciones para quien los compromete por una negligencia.

Para Lassalle, ex secretario de Estado de Agenda Digital con el ministro Wert, las empresas han emprendido ya un camino sin retorno, concretado en «poner más de su parte conforme el trabajo se desplaza hacia el ámbito 'online'. Son las primeras interesadas en que no haya brechas de seguridad, un esfuerzo que va de la mano del de la propia Administración por generar marcos legislativos de seguridad jurídica».