El gran reto de la ciberseguridad
El teletrabajo y las nuevas formas de comunicación virtual han disparado los riesgos informáticos a los que se enfrentan las empresas y han multiplicado los ataques, con el secuestro de datos como delito más habitual. Las pymes están concentrando la mayor parte de los ataques, a los que ya se han enfrentado empresas cántabras de todos los sectores que rara vez han conseguido volver a tener acceso a su información en las mismas condiciones que antes de sufrir el bloqueo, aun habiendo hecho frente al pago del rescate. El error humano y la falta de concienciación son siempre vías de entrada para los problemas, pero la escasa inversión en prevención se apunta como la principal clave que explica el éxito de esta modalidad de ciberdelincuencia. “Uno se da cuenta de las dimensiones del problema cuando lo sufre”, lamentan los afectados.
José Ramón Esquiaga | @josesquiaga | Enero 2021
Siempre amenazantes pero difusos cuando son solo una posibilidad, aunque reales y con consecuencias difíciles de reparar cuando se concretan, los riesgos derivados del tráfico de datos por Internet nunca han sido tantos ni tan sofisticados como lo son ahora, estimulados en su número por el impulso que la pandemia ha dado a las nuevas formas de comunicación, y con el enorme botín en juego como principal acicate para que los ciberdelincuentes dediquen más recursos a mejorar sus ataques. Aunque todavía con un reflejo escaso en las estadísticas, el resultado de todo ello está siendo un aumento de los delitos cibernéticos que va a dejar pequeños los incrementos que ya venían registrándose en los últimos años. A ello hay que unir un cambio notable en el perfil de las víctimas que, en lo referido a las empresas, ha situado a las pymes bajo el punto de mira de las mafias, en una tendencia que –al igual que sucede en el número de delitos– era ya identificable en los informes que daban cuenta de la ciberdelincuencia antes de la crisis sanitaria, pero que se ha visto favorecida por las consecuencias de esta. También se ha producido un cambio en los procedimientos para llevar a cabo los ataques, y en la tipología de estos, con el secuestro de datos como delito más habitual y con los accesos remotos a las redes de las empresas como vía de entrada más utilizada por los delincuentes.
Además de colapsar el sistema sanitario y provocar decenas de miles de muertos, la pandemia del covid-19 dio un vuelco el pasado mes de marzo a la forma en que las empresas se relacionan con sus trabajadores y clientes, y lo hizo prácticamente de un día para otro. España, uno de los países europeos en los que menor uso se hacía del teletrabajo, pasó a tener a gran parte de su fuerza laboral efectuando sus tareas desde su domicilio, y conectándose con sus empresas a través de los mismos dispositivos domésticos empleados para otros usos. Pasaron a ser casi rutinarias las videoconferencias y las reuniones telemáticas, convirtiendo a empleados y directivos en usuarios habituales del amplio catálogo de software y aplicaciones existente para ello. Ese brusco cambio en el uso de las tecnologías de la comunicación por parte de las empresas ha tenido un impacto directo y fácilmente cuantificable en el tráfico de datos en tránsito por Internet, y otro por el momento mucho menos cuantificable, pero que los expertos estiman que alcanza cotas proporcionalmente equivalentes, en el número de ciberdelitos relacionados con ese ir y venir de información. Teniendo en cuenta que las estimaciones más prudentes cifran en un 40% el incremento en el tráfico de datos por Internet provocado por el confinamiento, y por más que ese dato se haya moderado con la relativa vuelta a la normalidad de los meses siguientes, en esos porcentajes habría que pensar a la hora de calibrar el crecimiento de los delitos cibernéticos este año, y en ese entorno se mueven, de hecho, las estimaciones recogidas en los estudios que han venido publicándose en los últimos meses.
La mayor parte de esos informes han sido realizados por empresas especializadas en ciberseguridad –esto es, proveedoras de soluciones para atajar el problema– muchas veces a partir de encuestas realizadas a responsables de ese mismo departamento en las empresas usuarios. Ambas circunstancias podían llevar a poner en cuestión los datos, bien por venir de una parte que podrá considerarse interesada en magnificar el problema, o bien por el sesgo hacia las grandes empresas que podría derivarse del perfil de los encuestados, pero lo cierto es que la coincidencia en las conclusiones, y su coherencia con las estadísticas oficiales, les otorgan una fiabilidad difícilmente cuestionable. También se ven respaldados por el continuo goteo de casos que están sufriendo empresas cántabras de todos los sectores y tamaños, que componen un catálogo lo suficientemente amplio de supuestos como para que sean pocos quienes, cuando se plantea esta cuestión, no mencionen algún ejemplo conocido de primera mano. De algunos, los que afectan a empresas de mayor tamaño, llega a tenerse noticia, aunque la mayoría se resuelven –o no– con la discreción que se reserva a los asuntos más desagradables.
Javier Carrión, director general de Sodercan, en una de las videoconferencias organizadas en los últimos meses.
Uno de los casos que trascendió en su día fue el que sufrió en junio de 2019 la empresa pública Cantur, que fue objeto de un asalto informático que bloqueó el acceso a miles de documentos. Javier Carrión, hoy director general de Sodercan, ocupaba ese mismo puesto en Cantur cuando se produjo el ciberataque, por lo que se remite a su experiencia personal cuando se le pregunta por el alcance del problema. Sodercan publicó el pasado mes de octubre una convocatoria de ayudas que contemplaba una línea de financiación específica para apoyar las inversiones de las empresas en materia de ciberseguridad, en el marco de las actuaciones a desarrollar en la mejora de la competitividad y la productividad en el nuevo escenario dibujado por la pandemia. Los 400.000 euros con que contaba la convocatoria se agotaron rápidamente, en un éxito que el director de Sodercan espera replicar en iniciativas similares que confía en poder acometer en los próximos meses: “Era la primera vez que poníamos en marcha este tipo de ayudas y ha sido un completo éxito, con peticiones que suman inversiones por valor de más de un millón de euros. Por desgracia no vamos a tener presupuesto para atender a toda esa demanda, pero repetiremos convocatorias como esta, sin duda”, asegura Javier Carrión, que cree que pese a esa buena acogida, y al grado de concienciación que refleja, hay todavía mucho trabajo por hacer: “Las pequeñas empresas siguen pensando que es un problema que afecta sobre todo a las grandes, cuando no es así en absoluto. Lo que sí es cierto es que las empresas grandes son más conscientes del coste que puede tener un ataque informático, pero el valor de los datos es igual en unas y otras. Eso es lo que sigue siendo necesario transmitir”.
El director de Sodercan recuerda la sensación de impotencia que le provocó el ciberataque sufrido cuando estaba al frente de Cantur, que supuso el secuestro de todos los datos de la empresa y la petición de un rescate para liberarlos, en lo que es una actuación típica de lo que se conoce como ‘malware’. Cantur se puso en manos de una empresa especializada para recuperar esa información, lográndolo en buena medida. “Pero no es un contrato barato, y las garantías de volver a la situación inicial no son completas, ni mucho menos. Es mucho más barato y más seguro invertir en prevención”. La línea de ayudas de Sodercan apoya actuaciones en materia de ciberseguridad que van desde la adaptación a estándares certificados en esta materia, hasta el control de los accesos remotos a la empresa, pasando por un enorme abanico de equipamientos y servicios que, por su amplitud y variedad da cuenta de lo complejo y transversal de las acciones a realizar para reducir riesgos y vulnerabilidades.
Las dimensiones del problema, y lo que puede hacerse para paliarlo, marcan el campo de actuación de las empresas que ofrecen instrumentos que protegen de cara a posibles ataques, en un servicio que es tanto de consultoría como de implantación de ‘hardware’ y ‘software’, y que en su configuración ideal incluye también acciones de formación para empleados y directivos. “La mayor parte de los problemas se producen por malas prácticas por parte del usuario”, asegura Luis Coria, director de Sistemas en Arcanos Itercom, que explica la labor que realiza su empresa a partir de una comparación muy gráfica: “Damos por hecho que alguien va a morder el anzuelo, y nuestro trabajo es conseguir cortar el sedal”. Los señuelos, señala, pueden llegar por correo electrónico, en forma de archivos adjuntos con reclamos que animan a abrirlos, en las descargas gratuitas que ofrece Internet o en webs para adultos, de apuestas o con contenidos que pueden tentar de alguna forma al usuario, como vales de ofertas o participación en promociones con premio: “La primera clave para evitar problemas es la formación, porque la mayor parte de los ataques se paran con sentido común”. El problema, apunta Luis Coria en una idea en la que también coinciden Javier Carrión y el resto de personas con las que se ha contactado para este reportaje, es que son muy pocos quienes están preparados para responder a una amenaza como esta: “En esto las empresas son más reactivas que proactivas: quien no ha sufrido incidentes no suele estar preocupado y no ha tomado las medias para evitarlo, por lo que, cuando llegan, ya es demasiado tarde para hacer nada”.
José Antonio Anievas, responsable técnico de Freelan Intelcom
José Antonio Anievas, responsable técnico de Freelan Intelcom, coincide en que hay muy poca cultura de seguridad por parte de las empresas, y ello pese a que cada vez hay mayor conocimiento, bien por propia experiencia –“una de cada tres empresas ha sufrido un ataque de mayor o menor gravedad”, señala– o por las noticias que llegan de otras empresas que han sufrido ataques. El problema, apunta, es que muchos creen estar protegidos cuando no es así: “Ya no vale con un antivirus o con tener una copia de seguridad en un disco externo, ya que esto es una ‘tormenta perfecta’ y, a quien le alcance y no tenga conciencia sobre qué hacer, puede ser peor el remedio que la enfermedad”.
Arcanos y Freelan son dos de las empresas que ofrecen servicios de seguridad para las redes de comunicación de las empresas, un concepto este último que ha cambiado de forma radical a consecuencia de los nuevos usos que de ellas se están haciendo a raíz de la pandemia y el confinamiento. La amenaza del ‘ransonware’, el secuestro de datos que todos los estudios recogen como el ciberdelito de moda, implica un acceso externo no autorizado, que implica prácticamente en todos los casos la colaboración involuntaria de algún usuario. Lo más habitual –al menos hasta que el teletrabajo cambió de alguna manera las reglas– era que ese acceso se produjera a través del correo electrónico, con un mensaje con archivo adjunto que se invita a abrir para gestionar el pago de una factura, seguir el estado de un envío postal o cualquier otra posibilidad que pueda entenderse como creíble por parte del destinatario. El archivo resulta no ser lo esperado, y con su apertura se ejecuta un programa que se extiende por la red interna y encripta todos los datos. Lo siguiente es la petición de un rescate, normalmente en bitcoins –la criptomoneda más extendida, que permite pagar sin dejar rastros– para liberar la información secuestrada.
Más allá del obvio consejo de no abrir ningún archivo de procedencia dudosa –algo no tan sencillo si tenemos en cuenta la creciente sofisticación de los mensajes– lo que ofrecen empresas como Arcanos o Freelan es poner una barrera entre la red interna de la empresa y el exterior. “Poner un guardia en esa frontera, que se encargará de controlar el tráfico en ambos sentidos”, explica gráficamente David de Andrés, gerente de Arcanos. La función de ese cortafuegos es básica, por cuanto es cada vez más difícil identificar los correos maliciosos: “Hemos tenido casos como el de un correo que aparecía firmado por el CEO de la empresa, y en el que se pedía una trasferencia imitando incluso expresiones habituales en los e-mails reales de este”.
José Antonio Anievas insiste en la importancia de la concienciación, y en la necesidad de hacer un análisis previo de deficiencias –en contraseñas, permisos para usuarios, etc– para, a partir de ahí, ir tomando decisiones: “Habrá que habilitar un sistema de copias de seguridad de la información de la empresa y si es posible otra en la nube privada. Finalmente, habrá que instalar una herramienta de protección en forma de ‘firewall’ de seguridad para la empresa, y de ‘endpoint’”.
La importancia de proteger el ‘end point’ –punto final, en traducción literal– es una de las principales novedades vinculadas a la extensión del teletrabajo y las nuevas formas de comunicación de la empresa con sus empleados, o con clientes y proveedores. “Las empresas pueden tener bien protegidos sus equipos y sus redes, pero el trabajador a distancia está accediendo a esa red desde su propio dispositivo, que puede ser un ‘smartphone’, una tablet o su propio ordenador, pero que casi en todos los casos son dispositivos de uso doméstico, ni protegidos, ni preparados para la labor que se está realizando con ellos. Eso supone una brecha de seguridad muy importante, y se ha convertido en una vía de acceso muy importante para los ciberdelincuentes”, explica Luis Coria. Es habitual, señala el responsable de Sistemas de Arcanos Intercom, que esos dispositivos de uso doméstico operen con sistemas operativos y programas obsoletos y no actualizados, y que no cuenten con ningún tipo de antivirus. “Nuestros equipos detectan esas vulnerabilidades y permiten replicar las condiciones de seguridad de la empresa en los dispositivos que se usen para acceder a su red”.
David Andrés y Luis Coria, director general y director de Sistemas de Arcanos Intercom, respectivamente.
En todos los sectores
Por las propias características de los ataques y la forma de transmitirlos, podría pensarse que el problema de la ciberseguridad afecta casi en exclusiva a empresas de servicios o, en todo caso, a los departamentos administrativos de las que operan en otros sectores. Eso, señalan quienes trabajan en esta materia, es solo parcialmente cierto, y lo es cada vez menos. La extensión de las tecnologías de la información y las comunicaciones al ámbito industrial –en lo que se conoce como Industria 4.0– ha extendido los riesgos a un ámbito donde, además, las consecuencias de un posible ataque pueden ser enormes. Una de las actuaciones a acometer para atajar ese problema, explica Luis Coria, pasa por segmentar las redes de las empresas, de manera que si algún departamento se ve afectado, no transmita el problema a los demás.
Las estadísticas oficiales que dan cuenta de la incidencia de los ciberdelitos en España –y que no recogen todavía datos correspondientes al año 2020– registraban ya el pasado año un aumento notable de los ataques informáticos y los accesos ilegales a redes de comunicaciones, cifrados en un 23,58 y un 19,48%, respectivamente, según la información que publica el Ministerio del Interior. Ese crecimiento fue mucho más acusado en el caso de Cantabria, lo que en buena medida refleja el cada vez mayor interés que despiertan la
s pymes como objetivo de este tipo de delitos: el número de accesos informáticos ilegales a empresas cántabras se incrementó un 80% entre 2018 y 2019, en tanto que los clasificados como ataques informáticos se doblaron en ese mismo periodo.
Uno de esos ataques fue el sufrido por una pyme industrial de la región, que vio secuestrados sus datos de contabilidad y paralizados sus programas de gestión después de que algún programa de encriptamiento encontrara la forma de colarse en su red: “Pensamos que lo hizo a través del correo electrónico, pero en realidad todavía no estamos seguros de cómo sucedió”, señala el gerente de la empresa. Aunque el bloqueo no alcanzó a la fabricación, lo cierto es que sin órdenes de producción y sin acceso al detalle de los pedidos, la actividad de la empresa se vio paralizada. No era la primera vez que sufrían un ataque de estas características, pero nunca antes había sido tan generalizado. Para solucionarlo se pusieron en manos de una empresa especializada, que cobró en torno 6.000 euros y consiguió recuperar la información: “A nosotros nos pasó una factura perfectamente legal, pero suponemos que lo que hizo es pagar el rescate”.
Fue una forma de salir del paso pero, asume la víctima del ataque de ‘ransomware’, en ningún caso una solución: “Hemos ido aprendiendo y, aunque los riesgos siempre existen, hemos puesto los medios para minimizarlos: contamos con dos firewalls, hemos dividido y duplicado servidores, renovado todo el cableado de la empresa… Y sobre todo hemos asumido que esta es una labor que no acaba nunca, reservando una partida de inversión todos los años”. Lo hecho hasta ahora, calcula, ha supuesto en torno a 15.000 euros de inversión, y quedarían cuanto menos otros 20.000 a acometer en los próximos meses para completar las actuaciones en marcha. “Es una inversión muy pequeña, si tenemos en cuenta lo que está en juego: si una empresa pierde los datos, lo pierde todo”.
