«Estamos todos conectados a la red, como las neuronas en un inmenso cerebro», advirtió hace dos años el célebre astrofísico Stephen Hawking. Tal interconectividad tiene sus ventajas, pero presenta también una serie de riesgos nuevos para individuos, gobiernos y empresas. Y si bien las multinacionales gozan de sofisticados sistemas de defensa informática, muchas pymes son especialmente vulnerables a los ataques desde la red. No hay que olvidar que éstas conforman el núcleo duro de la economía vasca: son una inmensa mayoría entre las 58.700 empresas radicadas en Euskadi. Y de hecho, el pasado junio el Instituto Nacional de Ciberseguridad (Incibe) del Ministerio de Industria calculó que cada día se producen 2.400 ciberataques contra empresas vascas.
Hay, sobre todo, dos tipos de delitos que se cometen para sacarles dinero: la suplantación de identidad y el ‘ransomware’ -un secuestro de información-, según avisa el jefe de la Sección Central de Delitos en Tecnologías de la Información de la Ertzaintza (SCDTI). El primer delito consiste en suplantar la identidad de integrantes de la empresa con potestad para pagar facturas. Esto es, meterse en el correo electrónico de tal empleado y seguir de cerca su correspondencia con un proveedor. En un momento dado, el ‘hacker’ puede eliminar los correos auténticos del proveedor y hacerse pasar por él. De esta forma produce facturas idénticas aunque con una cuenta bancaria distinta, justificando el cambio con algún pretexto para no levantar sospechas. Si el usuario ‘pica’ se transfiere ese dinero. Y no se recupera.
¿Cómo evitar el disgusto?
La única forma fiable, según explica la SCDTI, es no fiarse de los emails. Resulta conveniente llamar al proveedor y cerciorarse de que ha mandado la factura. Del correo electrónico, al ser vulnerable a filtraciones, recomienda la SCDTI que no nos fiemos del todo. Llamar es una solución simple, pero efectiva, a un problema cada vez más común: desde 2015 hay un ‘boom’ de suplantaciones de identidad. Los delincuentes tratan normalmente cantidades de dinero bajas -entre las decenas de miles y los miles de euros-, pero en un caso frustrado a tiempo la cifra llegó incluso a ser de un millón.
El otro delito es el conocido como el ‘ransomware’, un tipo de extorsión. Si antes se secuestraba a personas para pedir rescates, ahora se puede hacer lo mismo pero con los datos de la propia empresa, que a veces son su mayor activo. Tras una infiltración -si el sistema de seguridad es poco sofisticado- los ‘hackers’ consiguen acceder a los datos de la compañía y poco a poco los van cifrando. En resumen, se apoderan de la información y la bloquean. Este caso se puede dar si los datos están guardados en pocos sitios -las copias de la seguridad conectadas a la nube, por ejemplo, son vulnerables- y si los ‘hackers’ consiguen hacerse con todos ellos. En caso extremo el delincuente podría tumbar la empresa, pero el fin suele ser lucrativo, por lo que le da la opción a la víctima de recuperar su información secuestrada si paga un rescate.
El pago no garantiza la devolución de los datos
Sin embargo, el pago, advierte la SCDTI, ni garantiza la devolución de los datos ni que el pirata informático no vuelva a repetir la maniobra, en vista de que la víctima paga. Y claro está, pagar rescates fomenta el crimen. Por ello el ‘ransomware’ está también viviendo su propia primavera. ¿Qué soluciones hay? Guardar la información en muchos sitios, algunos ajenos a la red, para que el pirata informático no pueda secuestrarla entera.
Al margen de las medidas de protección -entre las cuales existen pólizas de ciberiesgo-, combatir los crímenes informáticos no se antoja como fácil tarea. «Víctima y verdugo no tienen que estar en el mismo sitio, ni compartir huso horario», comenta el jefe de la SCDTI.
Esto implica que los ataques pueden llegar de cualquier rincón del mundo, de los llamados ‘paraísos informáticos’ por ejemplo, dificultando así su persecución. Adolfo Hernández, uno de los subdirectores del ‘think tank’ español Thiber señala al Este de Europa como una de las regiones boyantes en cibercrimen. Notorio se hizo el caso de una ciudad rumana a la que los expertos han apodado ‘Hackerville’. Pero además es muy difícil saber con certeza el lugar de origen; los criminales pueden actuar desde ordenadores infiltrados en otro país. Esta complicación añadida significa que la legislación española o incluso la europea a veces no sirven para combatir el crimen una vez cometido. Y localizar a los delincuentes, a pesar de estas conjeturas, puede hasta resultar imposible.
El problema, por tanto, es global. Aunque las soluciones globales son de difícil implantación. La Interpol, la Europol y la compañía rusa de seguridad cibernética Kaspersky se unieron en una ocasión para aplacar a unos piratas que robaron hasta 1.000 millones de dólares de un centenar de bancos. Siguen teniendo acuerdos de colaboración. En otra ocasión la Guardia Civil y el FBI colaboraron para combatir a tres españoles acusados de infiltrar 13 millones de ordenadores. La propia CE anunció el pasado mes que liberaría 450 millones de euros bajo el marco del mercado digital único, parte de una estrategia «destinada a equipar mejor a Europa contra los ciberataques».
España, ¿preparada?
Un informe del Centro de Ciberseguridad Industrial desveló que en 2015 sólo el 17% de las empresas industriales españolas contaban con un plan de gestión frente a los ciberataques. De hecho, según afirma Álvaro Fraile, director de ITS Security, las firmas suelen actuar por dos razones principalmente. La primera se debe a que la propia regulación pide protocolos de seguridad. Y se espera que el nuevo marco de protección de datos europeos, que ha de implantarse en los países miembros para mayo de 2018, obligue a las empresas a proteger sus datos, como explica la abogada Nerea Goiriena de Barrilero y Asociados, experta en asesoramiento a empresas. La protección del cliente tiene como objetivo preservar la información y, por tanto, requiere mayor seguridad en las empresas.
La otra razón por la que reaccionan las empresas es cuando ya han pasado a ser víctimas, «cuando un ataque les ha explotado en la cara», como expresa Fraile, y se dan cuenta de que el peligro es real. También advierte de los propios riesgos de las «fugas de información internas». Una compañía no debe protegerse exclusivamente de los ataques externos, sino que también debe tomar precauciones para evitar que desde dentro se pierdan datos, que puedan ser vendidos. Fraile lanza otro consejo: «Lo bueno sería compartir los ataques». Aunque las empresas teman por la pérdida de imagen asociada a sufrirlos, sacarlos a la luz ayudaría mucho. Muchas son las que sufren este tipo de agresiones y, cuanta más información se haga pública, más fácil será combatirlos. Los expertos aconsejan por ello una campaña de concienciación para así superar este tabú.