Es el elefante en la habitación del que nadie quiere hablar, el traje nuevo del emperador de la nueva era digital. La ciberdelincuencia está a la orden del día y pone en jaque a particulares y empresas. Solo en 2022, el Instituto Nacional de Ciberseguridad (Incibe) registró 76.093 incidentes de estas características en Aragón, pero ni el mundo empresarial ni la sociedad civil parecen tomarse en serio la amenaza de los ataques informáticos, según coinciden todas las fuentes del sector consultadas por este diario.
Refrenda los datos un informe de la consultora Deloitte, donde se refleja que el 94% de las empresas españolas reconocen haber registrado al menos un incidente de seguridad durante el pasado año. «España es un vergel para los ciberdelincuentes porque afrontamos una transformación digital a lo bestia y, solo por estadística, la superficie de conexión se ha multiplicado ante tal cantidad de dispositivos hiperconectados, pero todo lo relativo a la ciberseguridad y a la ciberresiliencia se ha dejado de lado», establece Beatriz Calvo, presidenta de la comisión de economía digital de CEOE Aragón y directora general de Inycom.
Aseguradoras, profesionales de la seguridad, empresarios… todos coinciden en que no se invierte lo suficiente. «Las empresas españolas destinan de media un 5% de su presupuesto a ciberseguridad, tanto para proteger sus equipos como para disponer de sistemas de recuperación y para mí eso es muy poco, me parece dramático, debería crecer al 8% o al 10%», considera Calvo.
Un simple ‘email’ puede permitir a los criminales manipular los datos de una empresa y de
sus trabajadores
La situación es, a ojos de los expertos, preocupante. Pero ¿qué hay detrás de ese salir a la red casi a pecho descubierto? «En general, no se percibe como un riesgo, es lo típico que crees que solo le ocurre a los demás», explica Óscar Rubén Sanz, director técnico de la correduría de seguros Kalibo. Firma el diagnóstico de la técnica del avestruz, que esconde la cabeza hasta que pase el peligro, Fernando Tricas, director de la cátedra Universidad de Zaragoza de Ciberseguridad, profesor de la Escuela de Ingeniería y Arquitectura de la Universidad de Zaragoza y coordinador del curso de ciberseguridad en la nube en Walqa. «Detectamos que el empresario es mucho más reactivo que proactivo, y no va a pasar nada hasta que acaba ocurriendo», advierte.
La cuestión está en cómo se desarrolla el ataque informático, en cómo los ciberdelincuentes penetran en los sistemas operativos de las empresas o de los particulares. «Muchas veces se introducen con un simple correo electrónico y ahí comienzan la fase de reconocimiento pasivo», explica Vicente Delgado, detective privado en Zaragoza, ‘hacker’ y Profesor Universitario en Ciberseguridad en la Universidad de Castilla la Mancha y en la Complutense de Madrid . Es entonces cuando inician la primera fase del ataque, que puede prepararse durante meses.
«Primero proceden con un reconocimiento pasivo y recolectan información sobre el sistema sin interactuar de forma alguna con él. Con esa información, los cibercriminales realizan un escaneo de la red y enumeran todos los dispositivos que se encuentran conectados a ella, por lo que ya pueden comenzar a buscar vulnerabilidades a través de versiones de software antiguas, configuraciones predeterminadas, contraseñas débiles», explica Delgado.
Los piratas de la red ya están dentro. Ahora deben sacar rédito. El detective señala que utilizan exploits, unos programas que específicamente aprovechan las vulnerabilidades para poder acceder al sistema. A partir de ahí, comienzan a hacerse con el control del sistema como administrador del mismo y de esta forma poder ejecutar cualquier tarea, ejecutar software maliciosos cada vez que el sistema se inicie y aprovechar en este punto para ir obteniendo la información sensible. «En ocasiones será un robo de información, aunque en la mayoría consisten en encriptar la misma para solicitar posteriormente un rescate bajo la amenaza de hacer pública la información a terceros (con lo que conlleva de pérdida de reputación)», explica Delgado.
El timo del CEO y las suplantaciones de identidad
No es la única vía que tienen los ciberdelincuentes para hacer daño a las empresas. «También pueden utilizar esos accesos para hacerse pasar por empleados y solicitar, por ejemplo a terceros, pagos de facturas en una cuenta diferente de la habitual, pedidos de mercancía a nombre de la empresa vulnerada que deberán entregarse en otro sitio y, si incluso se tiene acceso a credenciales bancarias, realización de transferencias en nombre de la empresa a cuentas controladas por los cibercriminales», apunta Delgado. Esta práctica es una de las más extendidas y se conoce como «el timo del CEO», cuenta Ignacio Pérez Helguera, uno de los mayores expertos en Ciberseguridad de Aragón y miembro de Protege las Administraciones Públicas (Protapp).
No poco ha influido la cultura cinéfila en la imagen del hacker: capucha, cascos, sótanos oscuros y vidas condicionadas por la persecución policial. Y algo tiene que ver con la realidad. Explica Vicente Delgado, detective privado, hacker y uno de los mayores expertos en cibercriminalidad en España, que operan en el mundo mas de 160 grupos cibercriminales dedicados concretamente a la intrusión en sistemas informáticos de empresas, organizaciones o instituciones públicas
Sin embargo, el perfil del ciberdelincuente es «muy variado». «No existe un perfil concreto aunque sí es cierto que reúnen unas características comunes que, como es normal, implica grandes conocimientos en redes, sistemas, sistemas operativos o software de seguridad», apunta Delgado.«Suele ser gente joven, incluso menores de 20 o 22 años que se han hecho a sí mismos y cuyos conocimientos han obtenido de foros de internet, publicaciones en Darkweb, grupos de Discord, Telegram…», dice el experto. Destaca Delgado que en muchas de las ocasiones este perfil «trabaja solo» y no aprovecha el potencial económico de sus intrusiones realizadas, sino que disfruta con el reconocimiento social que recibe en diversos foros o en la prensa. Añade que las personas que se dedican a estas actividades han encontrado en Internet el nuevo medio de realización de fraudes a terceros. «En el caso de España, muchos delincuentes suelen tener cargos por delitos anteriores de otro tipo como robos con fuerza, hurtos o tráfico de drogas», apunta.
Es Pérez Helguera quien defiende que una de las claves es comprender que «la ciberseguridad no es un estado, sino un proceso». «No es estar seguro o no estarlo, sino que tenemos que pensar en la constante actualización. Hay entornos en los que tenías certidumbre hasta hace nada y de repente encuentran vulnerabilidades», apunta el experto. Y lo cierto es que el virus de la delincuencia digital cada vez golpea más cerca. «Las pérdidas pueden ser enormes e incluso obligar al cierre de negocios. Los hackers más profesionales preparan el ataque durante meses, lo ejecutan tan solo en unas horas y saben perfectamente en qué balances económicos se mueve.
«Nosotros estamos constantemente en la calle y notamos que al empresario le cuesta tener esa percepción. Entiende la cuestión y la verdad es que hay productos chulos en materia de seguros, pero todavía no está concienciado», lamenta Sanz (Kalibo). «Creo que los CEOs y los propietarios invierten muy poco porque lo ven un gasto que no les genera un retorno, pero sí lo tiene el haber introducido medidas de protección y se comprueba cuando llega un ataque y te exigen un rescate», alerta Beatriz Calvo (CEOE).
Para Tricas, «conviene insistir en que esto es una inversión, como la de mantener los vehículos y las instalaciones de una empresa, para minimizar los riesgos y, en caso de que llegue un ataque luego la información sea fácil de recuperar en un tiempo razonable».
Del lado de las aseguradoras, Sanz (Kalibo) lo tiene claro: «Siempre pongo el ejemplo de la empresa en la que la mitad del patrimonio son bienes inmateriales que están en el ciberespacio y la otra en una fábrica que se incendia y acabas perdiendo la mitad de tu patrimonio. Lo ves muy claro porque es algo material, pero con la otra mitad no ocurre eso precisamente porque no la ves, no la tocas. Este es parte de ese problema», explica.
Daño reputacional
Y no solo es el daño que el hackeo provoca en los equipos o la pérdida de información, avisa Calvo, «es el daño reputacional que ocasiona, el lucro cesante de quienes dejan de considerarte una marca confiable por una buena temporada». Y, aquí, la valentía es temeridad: «Hay muchos que no tienen ni idea del riesgo que están corriendo porque la ignorancia es muy atrevida y lo peor es no tener conciencia del riesgo. Aquí lo peor es no sentir miedo a los ciberataques porque entonces no se adoptan medidas de protección», resume la directora general de Inycom.
En ese mar abierto, los piratas se lanzan como hienas a por los más débiles y utilizan a los usuarios menos prudentes como caballo de Troya: «El fallo humano es una de las puertas de entrada más habituales para los ciberataques y ya podemos poner todas las barreras de protección que queramos que, si no nos manejamos con prevención, acabarán afectándonos», alerta Tricas quien, sin embargo, no quiere cargar las tintas sobre «las víctimas». «Para eso trabajamos los sistemas, las redes, los programas y protocolos y nuestra voluntad es sacar de la ecuación el fallo humano tanto como nos sea posible porque cuando este ocurre y no se ha adoptado ninguna medida, el desastre es inevitable», sentencia.
Desde la CEOE, Calvo asegura que se toman muy en serio esta amenaza y, como agente de oficina Acelera Pyme (y con cargo a los fondos Next Generation), la organización empresarial adoptará un papel de «formación y generación» de una «cultura digital» sobre el ciberriesgo y también será «escaparate» para mostrar casos de proyectos exitosos sobre cómo abordar estos problemas de seguridad y las medidas implementadas para provocar ese efecto «mancha de aceite» que haga que otros empresarios vayan detrás.
No obstante, más allá del mundo empresarial, el principal problema al que se enfrentan los particulares es el phishing. Los cibercriminales envían emails y mensajes SMS haciéndose pasar por institución, bancos o compañías de energía con el fin de que la persona pinche en el enlace, que dirige a una página falsa queclona la web real de la compañía. En el mensaje se hace mención a que algo ha ocurrido con la cuenta del usuario, con su agencia de viajes o con una supuesta recepción de un paquete, por lo que el usuario cree que debe introducir sus datos para bloquear la actividad de la que se le ha hecho mención. Si el usuario introduce sus contraseñas, los criminales tienen acceso total para acceder a cuentas y pueden operar con ellas.