El 15 de agosto de 2012 la mayor parte de los 55.000 empleados de la principal petrolera del planeta, Saudi Aramco, celebraban en sus casas una de las festividades más sagradas del islam, la Noche del Destino, cuando se cree que Mahoma reveló el Corán a sus discípulos. Fue entonces cuando un grupo hasta entonces desconocido de «hackers» aprovechó para devolverla a la Edad de Piedra.
En cuestión de horas, millones de archivos desaparecieron y 35.000 ordenadores dejaron de funcionar. Los técnicos lograron evitar que el ataque afectase a la extracción del crudo, pero durante los siguientes meses, en lugar de ordenadores, impresoras y servidores, los trabajadores de la empresa que satisface el 10% de las necesidades mundiales de crudo tuvieron que recurrir de nuevo a bolígrafos, máquinas de escribir y faxes. ¿Cómo pudo suceder algo así?
«La mayoría de los grandes ciberataques se producen por una acción humana», asegura Alfonso Mur, socio director de servicios de seguridad de Deloitte. En el caso de Aramco, un «inocente» email que en realidad resultó ser una elaborada trampa en la que «picó» un empleado fue el detonante. Como descubrieron demasiado tarde los técnicos saudíes, cualquiera puede servir de caballo de Troya para los enemigos digitales de la empresa, que son muchos y cada vez más implacables.
Desnudos ante la amenaza
Según datos del banco de inversiones Julius Baer, en 2014 se registraron 42,8 millones de incidentes de ciberseguridad en todo el mundo, un 48% más que el año anterior y un 1.158% más que en 2009. Los responsables de buena parte de este incremento son las mafias organizadas especializadas en el mundo digital, cuya proliferación en los últimos años también ha hecho mella en España, donde solo en 2015 se detectaron cerca de 45.000 ciberataques, que causaron pérdidas de unos 14.000 millones de euros, equivalente al 1,6% del PIB.
De media, una empresa tarda 205 días en detectar que ha sido atacada
Más preocupante que el número de ataques es, si cabe, constatar lo desprotegidas que están las empresas ante ellos. «El 51% de los ordenadores del mundo han experimentado virus o ‘malware’», explicaAlfonso Mur, que destaca que las herramientas de protección habituales cada vez son más ineficaces: «El cien por cien de los atacados tiene ‘firewall’ y un antivirus actualizado, y aún así, la mayoría no llega ni siquiera a enterarse de que han penetrado sus defensas». Prueba de ello es que, de media, una empresa tarda 205 días en detectar que ha sido atacada, según la consultora Mandiant. Cuando finalmente lo hace, en el 92% de las ocasiones no es el equipo encargado de la seguridad el que da el aviso, sino un cliente enfadado, un contratista o alguna otra persona o compañía externa, con el consiguiente daño en su reputación e imagen corporativa.
Ni siquiera los gigantescos departamentos de seguridad informática de las grandes multinacionales, con millones de euros de presupuesto, logran ser totalmente eficaces, ya que cada vez más deben combatir en un campo de batalla que está fuera de su perímetro defensivo: los dispositivos de sus clientes. Para los delincuentes resulta igual de rentable atacar uno por uno a los millones de clientes de una gran empresa, e infinitamente más sencillo, al no tener que sortear la sólida muralla digital que éstas suelen mantener en torno a sus activos. Por el contrario, los internautas promedio rara vez tienen instaladas barreras eficaces de protección, por lo que en el 75% de las ocasiones un «hacker» apenas tarda unos minutos en hacerse con el control de su máquina.
Nuevas armas
Para proteger y orientar a empresas, clientes e internautas, en 2014 se creó elInstituto Nacional de Ciberseguridad (Incibe), un organismo público dependiente del Ministerio de Industria cuya principal misión es operar un centro de respuesta a incidentes de ciberseguridad llamado CERT. Según explica su director general, Miguel Rego, el Incibe no solo pretende establecer una barrera protectora, sino que también trata de forma activa de evitar nuevos ataques colaborando con grandes y pequeñas empresas, a las que enseña a detectar los incidentes y a subsanarlos de forma gratuita. También facilita a las pequeñas y medianas empresas herramientas sin coste alguno, así como kits de formación y de sensibilización para los empleados.
El Incibe también es un órgano clave en materia de colaboración con otras administraciones, tanto españolas como internacionales. «El ciberespacio es un ente que no tiene fronteras y para poder prevenir incidentes y neutralizar a los atacantes se requiere colaboración nacional e internacional», explica Rego. Incibe mantiene contacto permanente con otros agentes españoles, como el Ministerio del Interior y en menor medida el mando conjunto de ciberdefensa del Ejército, así como internacionales, como con la Organización de Estados Americanos. También forman parte de una red internacional de centros de respuesta antiincidentes, «First», que mantiene reuniones periódicas en las que los organismos de los distintos países miembros comparten herramientas y experiencias.
Rego apunta también como problema la debilidad del derecho fundamental para perseguir a los cibercriminales, así como la heterogeneidad de los distintos modelos jurídicos nacionales. De forma similar lo percibe el juez de la Audiencia Nacional Eloy Velasco, codirector del programa de innovación en ciberseguridad de la Universidad de Deusto, un curso de alto nivel que pretende formar a directivos, emprendedores y altos responsables públicos y privados y concienciarlos de los riesgos de no protegerse debidamente de los delincuentes digitales.
«Los ciberdelitos son el tipo de delito más cobarde», asegura Eloy Velasco
«Los ciberdelitos han proliferado porque son el tipo de delito más cobarde», asegura Velasco, en referencia al anonimato que protege al delincuente que actúa detrás de un ordenador. El magistrado, uno de los mayores expertos españoles en la lucha contra el cibercrimen, valora de forma positiva la reforma de laLey de Enjuiciamiento Criminal (Lecrim) que entró en vigor el pasado 6 de diciembre. La revisión permitirá, entre otras cosas, que la Policía pueda intervenir herramientas como el popular servicio de mensajería WhatsApp, infiltrar agentes encubiertos en el marco de investigaciones online con capacidad para intercambiar o enviar archivos ilícitos o incluso utilizar «troyanos», un software malicioso que brinda a un atacante acceso remoto al equipo infectado y que es una de las principales herramientas de los cibercriminales. Además, la legislación obligará ahora a los operadores tecnológicos que gestionen datos a colaborar de forma obligatoria. La ofensiva legal contra los ciberdelitos se complementa con la última reforma del Código Penal, que entró en vigor el pasado 1 de julio y que recoge explícitamente amenazas como el ciberterrorismo, la estafa informática, el espionaje mediante las nuevas tecnologías o el blanqueo de capitales de forma telemática.
Guerreros de élite
Estas herramientas, sin embargo, pueden no ser suficientes cuando los atacantes tienen un elevado nivel de sofisticación, los daños son demasiado cuantiosos o la información sustraída es en extremo delicada o la empresa atacada decide mantener el ataque en el más estricto secreto. En muchos casos las compañías prefieren no denunciar y recurren a compañías de élite que ayuden a evaluar los daños, contenerlos y evitar que se vuelvan a producir en el futuro.
En España, una de las empresas que ofrecen ese tipo de servicios es la consultora K2 Intelligence. Su rama de defensa en el ciberespacio emplea, entre otros, al ex Agente Especial encargado de ciberseguridad del FBI, Austin P. Berglas, encargado de desarticular el supermercado del crimen virtual Silk Road en 2013, y a antiguos miembros de los servicios de inteligencia de Israel, cuya segunda mayor ciudad, Tel Aviv, es considerada el «Silicon Valley» de la ciberseguridad. «Nuestro equipo está compuesto por profesionales que hablan más de veinte idiomas, entre ellos, chino o iraní, frecuentes entre los delincuentes cibernéticos», explica su directora en España, Marina Nogales, para cuya compañía nuestro país supone un gran foco de interés ya que, según sus cálculos, se trata del tercero más atacado por los delincuentes.
Los servicios de K2 Intelligence comienzan con la realización de un «penetration test», es decir, un ciberataque simulado sin previo aviso para detectar posibles fallas en sus defensas virtuales. Si la empresa no lo supera -y rara vez lo hace-, realizan un estudio pormenorizado de la compañía de varios meses de duración, que incluye rastrear la red para detectar posibles amenazas o filtraciones de archivos.
Una técnica que también emplea Deloitte, cuyo centro de operaciones de ciberseguridad para todo el mundo, CiberSOC, se sitúa en la localidad madrileña de Alcobendas. «El principal activo de defensa es ‘escuchar’ lo que dicen sobre ti», coincide Alfonso Mur, quien asegura que la vigilancia constante que el equipo desarrolla en la red ha ahorrado más de un suceso desagradable a sus clientes e incluso a la propia auditora.
Pese a su cada vez mayor sofisticación y recursos, las empresas del sector todavía están muy lejos de poder asegurar que el digital es un entorno totalmente seguro para hacer negocios. Las más de 130 empresas que lo forman en España, junto con otras miles en todo el mundo, descubren día a día nuevas vulnerabilidades y se ven obligadas a actualizar constantemente sus técnicas para no quedar rezagados frente a los delincuentes mejor armados y más implacables de la Historia. Sin embargo, su constante innovación, su imaginación y su creciente experiencia son las mejores armas para evitar que, en un futuro cercano, sea usted quién se descubra recuperando de algún almacén polvoriento su fax y su vieja máquina de escribir.
Fuente e imagen: www.abc.es