Hay vulnerabilidades que se venden en el mercado por dos o tres millones de dólares. Es lo que hace por ejemplo, la empresa Zerodium, que compra y vende exploits para hackear dispositivos al mejor postor. Sus clientes pasan por agencias de gobierno y grandes empresas. Y es que los estados están cada vez más implicados en una ciberguerra que se dirime a escala planetaria.
Lo contaba este pasado miércoles el coronel Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), en una jornada sobre ciberseguridad organizada por la Asociación Española de Compañías Privadas de Seguridad, Asecops. Desde este organismo, dependiente del CNI y encargado de responder a cualquier agresión que sufran las administraciones desde el ciberespacio, Candau insistió en que la transformación digital no será posible si no existe ciberseguridad.
En este sentido, advirtió que la institución para la que trabaja –que no solo defiende las administraciones sino también sectores estratégicos como la energía- se ha visto en ocasiones desbordada y sin capacidad de respuesta, cuando varios incidentes han coincidido en el tiempo. Así, apuntó que en 2022 se produjeron 55.000 incidentes y que para 2023 se estima que puedan llegar a 70.000.
“Es muy importante la libertad de acción, ya que siempre detectamos el ciberataque cuando ya se ha producido. Necesitamos ser más prácticos y proactivos, no reactivos, para llevar el combate no a nuestra trinchera sino a la del atacante”, dijo Candau, quien subrayó que esto solo se puede conseguir con un mayor intercambio de información.
El experto destacó también el aumento de ataques dirigido desde países como Rusia, China o Corea del Norte que buscan, explicó, vaciar de conocimiento tecnológico a un país. Entre nuestros enemigos citó a este tipo de ataques, los perpetrados por bandas organizadas que buscan rescates económicos y las acciones de hacktivistas que difunden FakeNews o impulsan ataques DDOS.
El problema para luchar contra ellos -explicó- está en la diferencia presupuestaria, la inferioridad numérica y el hecho de jugar en campo contrario. “Deberíamos utilizar tecnología para atacar a la tecnología que nos ataca”, concluyó.
Alto rendimiento, bajo riesgo
La jornada continuó con la intervención de Diego Alejandro Palomino, responsable de la sección Fraude en el Comercio Electrónico del Cuerpo Nacional de Policía, quien atribuyó el auge de la ciberdelincuencia a ser “una actividad que comporta un alto rendimiento con muy bajo riesgo”. El experto añadió también que el 84,7% de los delitos informáticos son estafas y muchas de ellas no son denunciadas.
Palomino dividió la ciberdelincuencia en cuatro grandes amenazas: la ciberdependencia, donde incluyó el ransomware, el malware móvil y los ataques DDOS; el fraude on-line, con el phishing y la ingeniería social; los delitos relacionados con material sexual de menores; y la Dark Web. Sobre esta última, aclaró, visitarla no supone un delito, pero sí es un buen escenario para investigar porque allí se producen en muchas ocasiones compraventas fraudulentas.
En su relato sobre estos riesgos, el policía aportó un valioso truco para detectar intentos de phishing: cambiar la dirección del remitente de minúsculas a mayúsculas. Ello nos permite detectar más fácilmente errores tipográficos que no son tan inocentes. Asimismo, advirtió de la existencia de herramientas como FakeCalls, para simular llamadas o Fake Apps, para simular aplicaciones o redes sociales falsas.
Para acabar con todas estas amenazas -afirmó- “hay que potenciar los mecanismos de cooperación internacional”. “Acabar con la ciberdelincuencia exige generosidad, comprensión y apoyo mutuo. Las capacidades y las habilidades suman, pero la actitud multiplica”, añadió.
La vertiente legal de la ciberdelincuencia
Las jornadas organizadas por Asecops también abordaron la vertiente legal de la ciberdelincuencia. Joaquín Jiménez Rubio, de Abogados Rayuela y Jiménez, explicó los cambios derivados en la normativa de compliance, que convierten a las compañías en responsables de los delitos que los empleados puedan producir en el ámbito laboral.
Esto afecta directamente al ámbito de la ciberseguridad, ya que gran parte de las brechas de seguridad provienen de errores humanos. “Para evitar que se produzcan delitos informáticos, una compañía necesita códigos éticos, formación y protocolos de actuación, que le permitan afrontar un proceso judicial con garantías en caso de ser necesario”, aseveró.
En esta misma línea de prevención se expresó también Fernando Montero Romero, director de Operaciones de Freematica España, quien relató su propia experiencia en un ciberataque de tipo ransomware en el que tomaron la decisión de no pagar un rescate. “Nuestra gran recomendación es tener siempre una Plan de Contingencia, eso fue lo que nos salvó de daños mayores”, agregó.
El mayor temor de las empresas a nivel mundial
Según datos de la empresa WTW, que cuenta con 40.000 trabajadores en 140 países, los incidentes cibernéticos constituyen el mayor temor para las empresas a nivel mundial. Un 42% de los encuestados lo identifican como su principal miedo, por delante del fuego o explosión (40%) o los desastres naturales (39%).
Así lo señaló Carolina Daantje, directora de Ciber de WTW, quien explicó todos los daños que puede cubrir un seguro de ciberriesgos. La experta apuntó al ransomware como principal causa de siniestros en estos seguros y explicó que, en ocasiones, puede salir más rentable pagar un rescate que paralizar la acción de una compañía durante semanas. “Es algo que deben decidir en cada caso los expertos, que actúan por cuenta de la compañía de seguros durante las primeras 72 horas, claves para resolver un incidente”, dijo.
Por su parte, el inspector de datos de la AEPD Andrés Molina insistió en que la seguridad no debe sustituir a la privacidad, ni tampoco a la inversa. “La tecnología es por naturaleza insegura. Las personas físicas son el punto más fácil de atacar y uno de los objetivos de la ciberdelincuencia. Vivimos en un contexto de ciberguerra permanente, la inseguridad por defecto desde el diseño es una realidad”, dijo.
La facilidad de atacar a la industria
Por último, el responsable de Auditoría y Pentesting de Global Technology, Pedro Benito Durán, hizo una demostración práctica de lo fácil que puede ser atacar a una industria y paralizar por ejemplo el funcionamiento de un puerto o el proceso de uperización de una planta de leche. Basta con alterar los datos de algún sensor (termostato, ascensor, centrifugadora...) para que un proceso industrial se detenga, ya que “sus protocolos se diseñaron con objeto de ser funcionales, no de ser seguros”.