El día que cayó Sony, sus empleados aún no lo sabían. La multinacional del entretenimiento había sufrido uno de los peores ciberataques de la historia —perpetrado por un enigmático conjunto llamado Guardianes de la Paz, similar al Gobierno norcoreano—, mas no fue hasta finales de noviembre de dos mil catorce cuando los trabajadores, al llegar a la oficina, se dieron cuenta de ello: los sistemas estaban bloqueados, en las pantallas aparecía un terrorífico mensaje de alarma y los atacantes, tras haber robado toda la información que desearon sin ser descubiertos, hicieron públicas sus demandas: entre ellas, que se retirase la película The Interview, una comedia sobre dos americanos que tienen la misión de matar a Kim Jong-un. El origen y el instante en el que comenzó el ciberataque son aún objeto de polémica, mas lo que quedó, tras la grave crisis diplomática y de seguridad que siguió a las demandas de los atacantes, fue una lección esencial para el planeta corporativo: no solamente las grandes empresas deben invertir en ciberseguridad, sino más bien asimismo las pequeñas y medianas, pues las amenazas pueden venir de todos lados, desde algo tan ines­perado como una pizzería. En el caso de Sony, una de las sospechas es que el programa malicioso se instaló en los dispositivos de los empleados por medio de la red de un restorán próximo donde iban a comer.

El crimen cibernético no es un fenómeno nuevo. De hecho, en el primer caso considerado como tal no tuvieron nada que ver ni ordenadores ni cables ni chips, mas sí datos: en mil ochocientos treinta y cuatro, dos banqueros corruptos sobornaron a un operador del sistema telegráfico francés, que por entonces funcionaba con unas torres con brazos móviles de madera que transmitían mensajes visuales, a fin de que introdujera fallos en la comunicación de datos financieros, mientras que , con la información adecuada, ganaban dinero. Tiempo después, en mil novecientos sesenta y dos, tuvo lugar el primer ciberataque a un computador del Massachu­setts Institute of Technology (MIT) que funcionaba con tarjetas horadadas, y que ya solicitaba una clave de acceso para repartir el tiempo de uso. Uno de los estudiantes se las ingenió para piratearlo, hacerse con todas y cada una de las claves de acceso y poder emplear el computador tanto como quisiese. Desde los setenta, con las primerísimas versiones de internet, aparecieron los primeros virus, los programas troyanos (para sacar información de un sistema) y los vermes informáticos (para contestarse en otros equipos), y asimismo los primeros ataques de guerra cibernética: la explosión en mil novecientos ochenta y dos de un gaseoducto siberiano se debió a programas informáticos deficientes introducidos por la agencia de inteligencia estadounidense (CIA).

Flancos débiles

Pero ha sido en la última década cuando la ciberdelincuencia se ha transformado en una amenaza poco a poco más extendida y apremiante. El inconveniente ha adquirido una enorme magnitud por la cantidad de personas que son frágiles a estos ataques: desde el empresario al que le atacan el sistema y le solicitan un rescate hasta las administraciones, universidades u centros de salud que son hackeados, pasando por todos y cada uno de los usuarios cuyos datos personales son el botín robado por los ciberdelincuentes. La alta penetración de teléfonos inteligentes entre la población, la digitalización de procesos, actividades y empresas, y el apogeo del trabajo en recóndito acelerado por la pandemia son factores de progreso para la sociedad, mas a la vez forman un enorme mapa perforado por el que los atacantes pueden entrar. Sin ir más allá, esta semana un pirata informático prorruso llamado NoName057 bloqueo a lo largo de horas las páginas webs de múltiples bancos españoles

El apogeo del cibercrimen se da, además de esto, en un contexto geopolítico en el que, paralelamente a guerras como la de Ucrania, se libran de forma enterrada guerras virtuales, y frecuentemente lo que semeja solo un crimen con motivo económico tiene detrás asimismo una filiación ideológica. Los gobiernos ya consideran el espacio cibernético como el quinto dominio militar (que se aúna a los de tierra, mar, aire y espacio), y los ataques ordenados en la guerra de Ucrania lo demuestran: conforme una investigación de Microsoft, entre junio de dos mil veinte y junio del año siguiente las infraestructuras de Ucrania, sus empresas y las cadenas de suministro recibieron el veinte% de los ataques cibernéticos perpetrados por agentes vincu­lados a Estados en el planeta. Las compañías, puesto que, asimismo están expuestas a padecer ataques por las conexiones directas o indirectas que tienen con objetivos militares.

La magnitud del inconveniente se agudiza asimismo por la parte económica. Un informe de la compañía experta en ciberseguridad Secure IT apunta que el valor global del dinero movido por la ciberdelincuencia alcanza ya el uno con cinco% del PIB mundial, más que las cantidades del tráfico de armas, drogas y trata de personas combinados. En Estados Unidos, conforme una investigación de IBM, el costo medio de las filtraciones va en incremento y en dos mil veintiuno fue de cuatro con veinticuatro millones de dólares americanos, un doce% más que en dos mil quince. El daño reputacional asimismo es un factor a tomar en consideración. Estudios académicos apuntan que firmas que están en el veinticinco% más elevado en concepto de reputación pasan a estar bajo la media un par de años tras el ataque. “No te juzgarán por ser atacado, pero sí por cómo respondes al ataque”, advertía a Bloomberg el directivo de una compañía atacada.

El apogeo de la criminalidad cibernética lleva, puesto que, a el interrogante de de qué manera pueden las compañías prepararse ante posibles ataques y, sobre todo, si son siendo conscientes de cuánto les costará. Un estudio reciente que realizó Citi para examinar el incremento de la demanda de profesionales de la ciberseguridad explica de qué manera cada vez es más bastante difícil contratar a personal de este campo y de qué manera han aumentado los costos en equipamiento, programas y personal. Apunta dos causas sobre este auge: por una parte, el impacto de la geopolítica en la urgencia de las guerras cibernéticas y, por otro, la conciencia cada vez mayor de los usuarios de que los datos que prestan a las compañías deben estar bien asegurados. No es para menos: el setenta y cinco% de las filtraciones de datos debe ver con el cibercrimen, y de media las compañías tardan doscientos ochenta y siete días en descubrir que han sido atacadas, así que en este tiempo los datos son objeto de actividades ilegales sin que los dueños lo sepan.

Para prepararse, primero hace falta ponerse en la piel del ciberdelincuente. “Hay que entender quién es el atacante y qué motivación tiene: si es económica para lograr un rescate, si lo hace por activismo o si tiene que ver con la guerra. En el primer caso, lo más rentable es atacar a los sectores que con mayor probabilidad pagarán el rescate, como el sanitario, la Administración pública o la industria. Y lo más habitual es que accedan a ellos mediante sus proveedores, más pequeños y con menos medidas de seguridad”, explica Francisco Valencia, directivo general de Secure IT. El informe de Citi señala que el ámbito sanitario es donde más han crecido los ciberataques, con mucha diferencia, y a pesar de ello es uno de los ámbitos más desatendidos en inversión en ciberseguridad. El ataque en el Hospital Clínic de Barcelona del pasado mes de marzo, que forzó a cancelar visitas y que aún colea con filtraciones y solicitudes de rescate, es un caso.

El Hospital Clínic de Barcelona padeció un ciberataque en el mes de marzo pasado. @franciscoavia (Hospital Clínic Barcelona)

La forma en la que se lanzan los ataques cambia mucho, mas su sencillez ideal atemoriza. “Una de las maneras es atacando la contraseña, y hay dos formas de hacerlo: por fuerza bruta, probando las contraseñas más usadas por la ciudadanía como fechas de cumpleaños u otras, o creando diccionarios específicos: los atacantes rastrean las redes sociales de las personas y prueban con nombres y conceptos que tienen relación con la víctima”, explica Valencia. Hay una tercera forma, la más utilizada: “La gente suele poner la misma contraseña en el trabajo que en redes y sitios web que no están tan asegurados. Es tan fácil como atacar a estos sitios y ya tienes acceso a la empresa. Estas bases de datos de contraseñas de sitios no seguros se cuelgan de forma ilegal en la dark web y ahí se compran y se venden”.

Es exactamente en la dark web, internet al lado de la ley donde hay un buscador semejante a Google, donde se pueden adquirir o arrendar asimismo listas de mails y emplearlas para apresar víctimas con la técnica del phishing, el envío masivo de correos en los que, si uno hace click, da entrada a un virus o a un programa malicioso. “Esto es lo más usual, aunque también crean páginas web falsas, por ejemplo de agencias de viajes, en las que se pide identificarse y crear una contraseña: lo más probable es que esta contraseña sea la misma que en el trabajo y de ahí sacan el acceso”, explica Valencia.

Retrato robot

Los atacantes acostumbran a ser jóvenes, muy frecuentemente menores, que desde cualquier punta del planeta trabajan para los conjuntos de cibercrimen. “Estos grupos generan virus —ahora en parte lo hacen con inteligencia artificial— como LockBit, desarrollado por un grupo ruso. El esfuerzo del atacante es mínimo: alquila el virus, contrata una lista de correos, manda el spam y espera a que alguien pique”, abunda el directivo general de Secure IT. En verano hay más ataques, por el hecho de que los hackers se aprovechan de que los informáticos se van de vacaciones. Ante este panorama, ¿están preparadas las compañías en España? “Aplican medidas de seguridad según su tamaño, porque tiene que ver con el presupuesto y el personal. En las pequeñas y medianas muchas veces no tienen recursos para hacerlo, pero, además, no conocen cómo funciona: confunden la ciberseguridad con el personal de informática, y son dos cosas distintas”, explica Valencia. La ciberseguridad, especifica, acostumbra a tener un costo equivalente al diez% de lo que cuesta la inversión en informática.

Invertir en ciberseguridad consiste en una parte técnica —ir alén de medidas de seguridad básicas como el antivirus, un sistema de correo cerrado o la autentificación en dos pasos—, mas sobre todo en tareas de prevención: organizar bien los datos, tener protocolos sobre los distribuidores y la información que se comparte con ellos, formar a los empleados o establecer protocolos sobre contratación y despido de personal. “Sorprende ver grandes compañías, administraciones públicas y hospitales que no tienen ni las medidas de seguridad básicas, y esto tiene que ver con la falta de conciencia de la alta dirección, que cree que es un problema de los informáticos. Estamos en seguridad cibernética como estábamos hace 25 años en seguridad laboral”, concluye Valencia.

Caer en la trampa

En España, el Instituto Nacional de Ciberseguridad (Incibe) administró el año pasado ciento dieciocho mil ochocientos veinte incidentes, un ocho con ocho% más que el año precedente, tanto a particulares y empresas como a operadores esenciales o a la red académica. Más de cincuenta y siete ataques fueron a empresas y, de estos, nueve de cada diez estaban relacionados con sistemas frágiles. Incibe tiene un canal abierto con recursos para empresas tanto en prevención como en reacción y una herramienta donde las compañías pueden autodiagnosticar su situación de vulnerabilidad. La mayoría de las llamadas, explica la corporación, deben ver con casos de phishing y smishing (envío de un mensaje SMS simulando una entidad lícita) o sobre suplantación de identidad. La línea de ayuda es anónima, por el recelo de las compañías a contar que han sido atacadas. Bajo ese anonimato, un pequeño empresario que provee de servicios a empresas industriales cuenta su experiencia: “Es muy frustrante y, una vez que te ocurre, temes perder a tus clientes”. En su caso, el ataque llegó por el procedimiento del phishing, y si bien consiguieron solventarlo parcialmente veloz, el perjudicado acepta que la compañía no estaba preparada: “Teníamos algunas medidas, pero resultó que no bastaba con esto. Lo que faltó también fue que los empleados estuviesen formados para evitar caer en la trampa”.

“La ciberseguridad es y seguirá siendo una asignatura pendiente para las pymes porque la ciberdelincuencia avanza con métodos y técnicas cada vez más sofisticados. La clave para enfrentarse a ello pasa porque tanto dirección como empleados estén concienciados”, asevera María Eugenia López, responsable de ciberseguridad para empresas en Incibe. “Por desgracia”, agrega, “hay compañías que no se percatan de ello hasta que no se ven afectadas por un incidente de ciberseguridad. Sin embargo, invertir en soluciones es más rentable que paliar las consecuencias que puede conllevar un incidente”.

En España, el noventa y cinco% del tejido empresarial está formado por pequeñas y medianas empresas y su nivel de seguridad depende mucho de cuánto hayan avanzado en el proceso de digitalización. “Es un desafío global y es relativamente nuevo, así que siempre vas un pasito más lento que la amenaza”, reconoce Francisco Vidal, directivo de economía de Cepyme, que recuerda que hay una parte esencial de las compañías que aún marcha de forma totalmente analógica. En España hay uno con uno millones de empresas con menos de diez trabajadores. La encuesta del INE sobre el uso de las tecnologías de la información y telecomunicaciones señala que un veinticuatro% de estas compañías no trabaja con ordenadores. En las que tienen más de diez trabajadores, dos tercios de los empleados emplean ordenadores con fines empresariales, y las compañías que tienen conexión a la red o una página son el setenta y ocho con cinco%. “Si no tienen ordenador, ¿cómo les va a preocupar la ciberseguridad? En ocasiones hay un mínimo de presencia digital, por ejemplo el uso del móvil como un ordenador, del WhatsApp para mandar facturas… Son empresas que están a medio camino”, apunta Vidal.

El directivo de Cepyme acepta que “cuanto más pequeña es la empresa, menor es la demanda de ciberseguridad”, lo que explicaría las solicitudes residuales de ayudas relacionadas con la ciberseguridad en el kit digital (una iniciativa del Gobierno, cuyo objetivo es subvencionar la implantación de soluciones para lograr un avance significativo en el nivel de madurez digital) entre las compañías pequeñas —en cambio, en las compañías de entre diez y cuarenta y nueve trabajadores, el doce% de las ayudas del kit digital demandadas debían ver con la ciberseguridad—. “Cuando te aumenta la demanda, empiezas a tener varias sucursales conectadas, una página de comercio electrónico y un portal para clientes, crece la necesidad de invertir en ciberseguridad”, explica.

Una encuesta de Google a pequeñas y medianas empresas de más de 3 trabajadores da ciertos datos ilustrativos: tres de cada diez responsables de informática confiesan no conocer el término de ciberseguridad, y en dos tercios de los casos la compañía se encarga interiormente de este tema, siendo la mayor parte de las veces el propio responsable de la administración quien acepta estas funciones. Poco más de la mitad de las compañías encuestadas cambia su clave de acceso cada 3 meses o menos, y una tercera parte de las pequeñas y medianas empresas no tiene incorporado el protocolo básico de seguridad https en sus webs. “Las pymes creen que no van a ser objeto de un ataque, no creen que tengan nada interesante que se pueda robar, y de hecho solo un 17% declaran haber sufrido un ciberataque, aunque lo más probable es que ni se den cuenta”, concluye Vidal.

Sede del Instituto Nacional de ciberseguridad. 
Sede del Instituto Nacional de ciberseguridad. 
J.Casares (EFE) (EFE)

Protección de datos y prevención

Uno de los primeros pasos para la prevención es comprender la ley y cumplirla. La normativa de protección de datos es la más básica y cumplir con ella deja poner un primer coto a los ciberataques. Pero hay diferentes estrategias, como señala un reciente informe del banco estadounidense Citi: en Europa, España era en dos mil dieciocho la que puso más multas (cuatrocientos setenta y uno), mas la suma total fue una de las más bajas, con cincuenta y seis millones de euros. Francia, en cambio, puso solo veintiocho multas y con ellas colectó doscientos setenta y uno millones. Varios estudios señalan que la estrategia de grandes multas ejercita más presión a las compañías a fin de que cumplan las reglas, si bien la estrategia de sanciones más pequeñas si bien más numerosas logra igualar un nivel de seguridad en empresas de diferentes tipos y tamaños.

Los bufetes de abogados se han ido amoldando a la demanda creciente de asesoramiento. Leticia López-Lapuente es directiva del área de protección de datos y comercio on line en el despacho Uría Menéndez: “Llevamos más de una década ayudando a empresas en la prevención y la reacción a ciberataques, pero de forma más recurrente desde hace cinco. Nuestros clientes son de distintos tamaños y sectores, y encontramos un poco de todo: empresas que sufren ataques de ransomware (secuestro de datos), de robos que vienen a través de proveedores, errores humanos…”. Esta especialista apunta que en el plano de la prevención aconsejan a las compañías para tener protocolos de cumplimentación claros: “Por ejemplo, las reglas de uso de los dispositivos, el establecimiento de restricciones, políticas de gestión de brechas, y también elaboramos materiales formativos”. Una vez que ya se ha sufrido el ataque, el ángulo jurídico es uno de los más esenciales. La filtración puede implicar que la compañía esté infringiendo contratos o dañando a clientes del servicio, y esto deriva en reclamaciones. “Se pueden generar muchos riesgos, que también se pueden asegurar con seguros de ciberresponsabilidad”, apunta López-Lapuente. Según una encuesta de Google, solo un doce% de las pequeñas y medianas empresas españolas tiene una póliza contratada. La especialista de Uría Menéndez piensa que las compañías están poco a poco más mentalizadas y se van fortaleciendo los equipos, si bien asimismo falta dar un paso más en regulación. La directiva europea NIS2, aprobada hace poquitos meses, va a ser de obligado cumplimiento por la parte de los organismos gubernativos, servicios esenciales y por la parte de empresas de más de doscientos cincuenta empleados y facturación superior a cincuenta millones de euros. Le falta, puesto que, transversalidad en el tejido empresarial, “seguramente para no cargar más a las empresas pequeñas”, apunta la letrada.