Tormenta perfecta para el cibercrimen

Tormenta perfecta para el cibercrimen

La ciberdelincuencia siempre ha sido un fenómeno capaz de poner a empresas y gobiernos contra las cuerdas, pero ahora las alarmas suenan más fuerte por el impacto de la pandemia, el teletrabajo y, más recientemente, la guerra en Ucrania.

«Cualquier empresa puede sufrir un ciberataque, con el perjuicio económico y reputacional que conlleva», advierte Miriam Puente, experta del Instituto Nacional de Ciberseguridad (Incibe), el organismo público que se ocupa de la lucha contra el cibercrimen.

Pero el mercado español de la seguridad informática no solo provoca preocupación, sino que también mueve mucho dinero: 1.749,3 millones de euros en 2022, un 7,7% más, pudiendo superarse la barrera de los 2.200 millones en 2025, según datos de IDC.

José Antonio Cano, director de Análisis y Research de esta consultora, recuerda que el 57% de las organizaciones europeas sufrió un bloqueo en el acceso a sus sistemas en 2021.

El mayor impacto estuvo relacionado con las copias de seguridad, pero los delincuentes también utilizaron otras vías.

Así lo atestiguan los ataques sin archivos y a las cadena de suministro, un objetivo de creciente interés.

VIABILIDAD EN JUEGO

Tanto, que el 17% de las compañías que sufrieron ataques durante el último año afirma que el impacto fue lo suficientemente grave como para amenazar su viabilidad empresarial, tal como recuerda Manuel Pérez, director de Ciberriesgos de la aseguradora Howden.

Aunque es imposible frenar las amenazas, cabe la posibilidad de desplegar una mejor estrategia para que transformación tecnológica y ciberseguridad avancen en paralelo.

Sin embargo, eso implica tener una percepción correcta de la dimensión de un problema que muchos aún consideran ajeno.

«Nueve de cada diez directivos españoles consideran sus sistemas superiores a los de sus competidores y se sienten protegidos, aunque este exceso de confianza abre la puerta a la ciberdelincuencia», advierte Luis Hernández, senior manager de Auditoría IT de la consultora Mazars.

Como los ciberataques son cada vez más baratos de ejecutar, según avanza la tecnología se hace necesario aumentar la complejidad de la defensa.

Por eso, la seguridad digital se ha convertido en un elemento de competitividad, hasta el punto de que está favoreciendo el nacimiento de negocios capaces de anticiparse, resistir, recuperarse y evolucionar en condiciones adversas, de estrés y aumento de los ciberataques.

EMPLEADOS PREPARADOS

Por desgracia, los delincuentes virtuales también tienen múltiples recursos para poner en jaque a la sociedad.

«Los empleados son uno de los puntos más débiles y hay que seguir formándolos ante las situaciones en las que se pueden ver envueltos», asegura Sergi Gil, socio de Ciberseguridad de KPMG.

De hecho, según un informe de Boston Consulting Group (BCG), el 77% de los ciberataques se deben a fallos humanos.

Los expertos de Getronics, multinacional de servicios TIC de origen holandés, confirman que los delincuentes digitales «buscan incesantemente brechas en los sistemas informáticos más comunes y aprovechan cualquier agujero para comprometer los sistemas».

Getronics da cobertura de ciberseguridad desde un centro de operaciones situado en Barcelona, fundamentalmente a empresas que no pueden permitirse contar con expertos en plantilla a tiempo completo.

SIN SOSPECHAS

En cuanto a los incidentes que más afectan a las organizaciones, últimamente ha despuntado el ataque bautizado como Living off the Land (LotL), lanzado a través de programas confiables que no levantan sospechas, según alerta Manuel Prada, responsable de Seguridad IT de la firma de servidores en la nube Acens.

También continúa pisando fuerte el ataque del CEO, en el que los delincuentes se hacen pasar por altos cargos de compañías para desviar pagos a proveedores y realizar ingresos a sus cuentas.

«Se usan los sistemas informáticos, pero gran parte de este ataque se basa en el engaño o la ingeniería social«, detalla Miguel de Castro, ingeniero en la firma de ciberseguridad CrowdStrike.

En el nutrido catálogo de amenazas también figuran los ataques de día cero (zero day attack, en inglés), que persiguen la ejecución de un código malicioso, recuerda Miguel Ángel Thomas, responsable de Ciberseguridad en la consultora NTT Data.

Y cada vez son más frecuentes las intrusiones provocadas por la explotación de credenciales o los fallos de disponibilidad mediante ataques de denegación de servicio (DoS), que pueden afectar a varios recursos de la empresa (redes, servidores o equipos de trabajo) e incluso impedir su actividad habitual.

DATOS

Quienes combaten las amenazas suelen comprobar que la información que contienen los sistemas está comprometida por un acceso no autorizado o su modificación mediante cifrado vía ransomware o secuestro de datos.

Y muchos incidentes incluyen el borrado, la pérdida o la fuga de esos datos.

En el top de ciberdelitos destaca el fraude provocado por la suplantación de entidades para engañar a los usuarios y obtener una recompensa, que se combina con ataques de phishing, smishing y vishing.

El objetivo es cazar credenciales de acceso a medios de pago y otra información con la que lograr beneficios.

Y no es un problema menor, pues los fraudes informáticos o estafas representan el 89,6% de los ciberdelitos, según el último Informe del Ministerio del Interior.

Por segmentos, el mayor número de incidentes afecta a los sectores tributario y financiero (52%), seguido del transporte (24%) y la energía (14%).

En todo caso, no hay negocios ajenos a las amenazas. Sin ir más lejos, la pandemia ha aumentado los ataques a sistemas sanitarios e industriales.

De hecho, casi el 40% de los equipos de control industrial fueron atacados al menos una vez durante el segundo semestre de 2021, según datos de Kaspersky.

Más recientemente, la guerra en Ucrania ha vuelto a disparar la ciberdelincuencia, con un incremento de los ataques ransomware del 253%, según estimaciones de la compañía de soluciones empresariales de ciberseguridad Datos101.

Lo más preocupante es que el 55% de las empresas no es capaz de detener los ciberataques de una forma eficaz, según apunta un reciente estudio de Accenture, e incluso muchos de sus responsables opinan que el coste de esta batalla resulta insostenible. Sin embargo, la experiencia nos demuestra que prevenir es más barato que curar.

ROBOTS Y TALENTO

Los especialistas en ciberseguridad siguen siendo unos profesionales muy cotizados. Iker Arce, responsable del centro formativo The Bridge, recuerda que España necesita 90.000 expertos.

«La escasez se da desde administradores de sistemas a desarrolladores, ‘DevOps’ y administradores de bases de datos», añade Antonio Ramos, de MundoHacker.

El 70% del tiempo de trabajo de los equipos ‘ciber’ se dedica al ecosistema de aplicaciones, lo que impide una respuesta activa ante una brecha de seguridad.

Por eso, la robotización de algunas tareas empieza a considerarse fundamental.

Pasados apenas unos meses desde el anuncio de su nacimiento, el metaverso se ha convertido ya en el gran protagonista del panorama tecnológico. Pese a que esta red de entornos virtuales no ha hecho más que dar sus primeros pasos, en ese camino aún incierto han surgido ya inquietudes relacionadas con su privacidad y seguridad.

La amplia colección de datos confidenciales que promete albergar este universo en el que se vive, se compra y se vende a través de avatares, sin un método concreto para identificar a los cibercriminales, presenta un gran atractivo para la piratería. La tecnología del blockchain es la base de su posible descentralización, ya que elimina intermediarios al realizar una gestión segura de la autentificación o la validación de los procesos. Eso descarta ataques por fuerza bruta, pero, según los expertos, no excluye de la necesidad de poner coto a las tácticas de ingeniería social que pueden desarrollarse.

Así lo asegura Yaiza Rubio, chief Metaverse officer de Telefónica: «La exposición en la Web 3.0 sobre la que se basa el metaverso es más grande que nunca y los cibercriminales tendrán más intención de comprometer a los usuarios con técnicas ya conocidas como el phising». Esta estrategia de engaño a través de archivos infectados o enlaces a páginas fraudulentas en el mail es ya el principal riesgo en las primeras experiencias con plataformas virtuales para acceder a perfiles ajenos o robar activos digitales.

Sin embargo, la experta apunta que existe otro riesgo igual de importante que atañe a la propiedad intelectual en el mercado de los NFT, llamados a ser el pilar de interacción y transacción de los usuarios en el metaverso. OpenSea, el mercado más popular de estos activos, de momento solo puede verificar las obras a posteriori, y eso hace que muchas de las que se han creado con esta herramienta sean falsas o plagiadas, como ha reconocido la plataforma.

Un ejemplo: este año, la firma de lujo Hermès demandó a un creador de NFT por vender copias del diseño de su bolso Birkin. «Ahora mismo, cualquiera puede comercializar algo con una simple foto sin propiedad intelectual, y por eso hay que crear plataformas que la protejan. No se puede delegar todo en el usuario», sostiene Rubio.

DINERO DIGITAL

El mundo de las criptomonedas apunta a ser otro factor clave para la seguridad del metaverso. Según un reciente estudio encargado por Agora, proveedor de API, el 70 % de los desarrolladores considera que el intercambio de estas monedas a través de blockchain será clave para dar forma al metaverso.

Durante los últimos años, este mercado se ha disparado y, con él, el interés de los ciberdelincuentes. A ese respecto, Chester Wisniewski, investigador principal de amenazas de Sophos, explica que «la percepción de que las criptomonedas son más seguras debido a la encriptación y a las matemáticas que implican es falsa». De hecho, añade, «su carácter anónimo facilita su robo, y además, la naturaleza irreversible del blockchain hace casi imposible arreglar las cosas cuando una transacción es ilegítima«.

En opinión de este experto, los millones de dólares robados durante los últimos años (casi 6.800 en 2021, según un análisis de Crypto Head) demuestran que «se trata de un mercado problemático». De hecho, opina que «la forma más segura de guardar criptomonedas es en un monedero offline».

Para Eusebio Nieva, director técnico de Check Point Software para España y Portugal, «el riesgo siempre va a ser la gestión de contraseñas«. Así, se han multiplicado los timos relacionados incluso con criptomonedas falsas que crean los estafadores para, una vez disparar su valor, huir con las ganancias. Y otro tipo de ciberataques como el ransomware (secuestro de billeteras) o minería de criptomonedas introduciendo software fraudulento en servidores de usuarios para acceder al dinero de forma masiva.

Por eso, de cara a su uso en el metaverso, Miguel Ángel Fañanás, director de VU Security en Europa, ve necesario dar al usuario «herramientas y entidades para legitimar y verificar las transacciones sin acciones sospechosas«. En este sentido, Wisniewski recuerda que la complejidad de criptomonedas como Ethereum, que utilizan «contratos inteligentes [programas que se ejecutan solo cuando ocurre un evento concreto]», no ha impedido «que se produzcan fraudes».

En la misma línea, Rubio opina que «alguien que controle código y tenga malas intenciones puede llegar a ejecutar ciertas operaciones». Y por eso cree que habrá un auge de auditores que certifiquen contratos en el metaverso.

A juicio de Marina Pareja, consultora de Asuntos Públicos de Atrevia, al ritmo que la experiencia del mundo físico se traslade a este entorno virtual irán surgiendo riesgos ya identificados, como el ciberacoso o el ciberespionaje, con «la posibilidad de acceder a una reunión de trabajo virtual con el robo de una identidad digital». Incluso los propios dispositivos «serán una superficie más de ataque» como recopiladores de datos, añade, a medida que su desarrollo madure y el metaverso gane atractivo.

La pandemia ha acelerado el proceso de digitalización del conjunto de la sociedad. Este hecho, como no podía ser de otra manera, ha tenido muchas consecuencias positivas. Sin embargo, también ha sido una de las principales razones por las que muchos delincuentes han pasado del mundo físico al virtual para aprovechar que el número de operaciones que se realizan a través de Internet ha aumentado de una manera exponencial.

A falta de estadísticas oficiales del año pasado, las fuerzas y cuerpos de seguridad españolas detectaron un total de 287.963 ciberdelitos en 2020, un 32% más que el año anterior, según indica el último estudio sobre la cibercriminalidad publicado por el Ministerio del Interior. Los fraudes constituyeron el 89% de ese total de actividades delictivas.

Ante el auge de este tipo de delitos y la creciente sofisticación de las técnicas utilizadas, la tecnología se ha convertido en el mejor aliado de los usuarios contra la ciberdelincuencia. «Hoy en día, todo tipo de negocios funcionan por canales telemáticos y cada vez son más los trámites que se realizan en Internet, por lo que es lógico que la delincuencia se esté trasladando a la Red», argumenta Sergio Ruiz, CEO de Signaturit e Ivnosys.

En este contexto, añade: «La labor que tenemos compañías como la nuestra es hacer que este mayor volumen no implique que los fraudes crezcan de forma proporcional«. Signaturit e Ivnosys es una empresa especializada en crear firmas electrónicas que ofrecen plena seguridad jurídica a los usuarios a la hora de realizar cualquier trámite y certificar los documentos que se reciben masivamente en el día a día, como correos electrónicos o SMS.

«Todo lo relacionado con elementos de identificación de sujetos en la Red puede convertirse en una medida de seguridad muy valiosa. Nuestro objetivo es que con estas herramientas el cliente vaya un paso por delante de los ciberdelincuentes«, comenta Ruiz.

ÚLTIMAS TENDENCIAS

Entre los sistemas de seguridad más utilizados destaca la autenticación multifactor. Básicamente, es un método de control que solo permite al usuario acceder al servicio digital que ha solicitado tras presentar dos o más pruebas diferentes que acreditan que es quien asegura ser.

«Si contamos con soluciones de seguridad y sistemas de autenticación multifactor en nuestros dispositivos, que revisen enlaces, webs y ficheros antes de que podamos acceder a ellos o ejecutarlos, estaremos dificultando la tarea a los ciberdelincuentes», aclara Josep Albors, director de Investigación y Concienciación de Eset España, firma especializada en software de seguridad.

Esta técnica está en la base de otra que ha ganado mucho peso en el mundo de la ciberseguridad. Se trata de la red de confianza cero, que parte de la premisa de que cualquier operación que se realiza en Internet no es segura hasta que se demuestre lo contrario y ofrece capas de seguridad extra sin importar la localización de los dispositivos o su propietario.

Pero en un entorno como el actual, con los fraudes registrados al alza, la verificación y la identificación tampoco son suficientes. Y por eso, empresas y usuarios recurren a otras técnicas en busca de más seguridad.

Entre ellas, la consultora Gartner destaca en un informe publicado este mismo año la denominada malla de ciberseguridad. Su objetivo es que todas las herramientas (antivirus, cortafuegos, servidores proxy, escáner de vulnerabilidades…) con las que cuenta un equipo o un espacio de trabajo interoperen entre sí. De esta forma, se crea un perímetro de seguridad que protege a los usuarios de todo tipo de amenazas.

Sistemas como el citado se hacen aún más necesarios en un momento en el que se almacena cada vez más información delicada en la nube, a la que además es posible conectarse desde muchos dispositivos. Por eso, también es una de las tendencias en ciberseguridad que más va a crecer en 2022, según la propia Gartner. Además, la consultora considera que aquellas compañías que lo apliquen hasta 2024 reducirán el impacto financiero de los ciberataques en un 90%.

Más allá de los sistemas de seguridad, Ruiz aboga por mejorar los conocimientos de los usuarios para que sepan a qué peligros se exponen: «La delincuencia online va a seguir existiendo y, por lógica, seguirá creciendo. Esto tiene que preocuparnos, pero no tiene por qué asustarnos. El camino a seguir es claro: formación, precaución y, por último, aplicación de herramientas».

«Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Verifique aquí para desbloquearla». Quien no ha recibido nunca uno de estos mensajes de phising forma parte de un grupo cada vez más reducido y afortunado.

Compras, solicitudes de servicios, suscripciones… un simple recibo sirve para engrosar la base de datos de las empresas. Lo que saben de sus usuarios, y que necesitan para realizar las gestiones que les demandan, también puede constituir una brecha en la seguridad tanto del cliente como de la propia compañía. El consumidor es parte de su big data, lo que las convierte en custodios de su información.

La transformación digital y el teletrabajo, no obstante, son al mismo tiempo una puerta de acceso más amplia que expone a las compañías a la aparición de nuevos ciberataques, cada vez más sofisticados. El año pasado sólo en España se produjeron más de 40.000 al día. Y las empresas constituyeron el principal objetivo.

Actualmente, «los ciberataques con mayor potencial de peligrosidad son el ransomware, el phising -el más numeroso- y el DDoS o ataque masivo a servidores», exponen desde MGS Seguros. Precisamente, las compañías de este sector conocen bien las consecuencias de los ciberataques, ya sea como afectadas directas o como aseguradoras de otras empresas que los sufren.

LAS MÁS SENSIBLES

El exponente más claro de la necesidad de protección de las empresas es la banca, que durante los últimos años ha sufrido un notable aumento de los ataques. Para colmo, España es el segundo país que los recibe con más frecuencia.

«Los riesgos de ciberataques al sector financiero son máximos y de gran repercusión para España», especifica Gabriela Giannattasio, portavoz para Europa, Oriente Medio y África de la firma de soluciones digitales Veritran. «Las instituciones financieras son consideradas como infraestructuras críticas», añade.

Los datos del Ministerio del Interior corroboran que, en el ámbito privado, el sector más afectado es el financiero y el tributario (54%), seguido del transporte (21%) y el energético (11%). La filtración de datos, dice Giannattasio, podría usarse para cometer otros delitos y causar, además de daños económicos, un gran perjuicio para la reputación de un banco.

Por esta razón, para BBVA la seguridad no es solo una prioridad estratégica, sino también un elemento principal en su transformación digital: «Hemos establecido una estrategia de seguridad integral sobre tres pilares: ciberseguridad, seguridad de datos y seguridad en los procesos de negocio y fraude».

Desde esta entidad explican que los ciberataques más habituales en banca son «el secuestro de sistemas de información usando malware (como el ransomware WannaCry) o la instalación de APTs (Advance Persistent Threat), el phising y los ataques de fraude al CEO».

Sin embargo, aunque parezca que las grandes compañías son el objetivo prioritario, los ciberdelincuentes también miran a las pymes. Al fin y al cabo, estas «manejan información sensible en sí mismas, pero además son un trampolín hacia las grandes, ya que suelen ser parte de sus cadenas de suministro», destacan desde la firma de ciberseguridad Eset.

En las pymes, añaden, el efecto de un ciberataque se multiplica al llegar aderezado con posibles multas reglamentarias, falta de capacidad para prevenir, defender y responder a dichas amenazas, y una cantidad limitada de recursos para hacerlo.

BARRERAS MÚLTIPLES

Existen muchos tipos de ciberataque, que «suelen combinarse para hallar las vulnerabilidades de los sistemas y aplicaciones corporativas», asegura Juan de la Torre, portavoz de la consultora Devoteam. Frente a ello, la defensa debe ser múltiple: «No hay una medida perfecta, sino una conjunción de ellas», añaden desde MGS.

En opinión de De la Torre, hay que securizar los accesos de los empleados, colaboradores y clientes, estableciendo, por ejemplo, el múltiple factor de autentificación y la gestión de los usuarios en una plataforma única. Por ejemplo, para rehuir las amenazas relacionadas con los datos bancarios se incluyen soluciones de seguridad móvil en sus apps y en el resto de sus canales digitales, así como sistemas biométricos de reconocimiento facial, voz o huella dactilar combinados con un segundo factor de autenticación como la tokenización.

«El caldo de cultivo perfecto para un ciberataque suele estar relacionado con no invertir y actualizarse continuamente», explican desde Veritran. No obstante, las pymes también pueden blindarse ante ello.

Para Eset son claves las contraseñas fuertes y la autenticación de doble factor. Pero también, una auditoría de acceso, actualizar las soluciones de ciberseguridad, mantener copias offline y en la nube, cerrar puertos y detener servicios que no se usen. Y, por encima de todo, proteger servidores y dispositivos con un antimalware actualizado.