Falta de inversión pública y empresarial, unida a una educación digital altamente mejorable, así como una dinámica general de planes poco competentes (apenas trabajados o mal estructurados, cuando no inexistentes) en ciberseguridad en el ámbito empresarial. Ese podría ser el resumen del diagnóstico que hacen los expertos en ciberseguridad de IPM, compañía tecnológica de Grupo Ricoh, Check Point Software y de la Universidad Europea de Madrid para Escudo Digital de por qué España fue la tercera nación que más sufrió agresiones digitales a escala planetaria en el segundo trimestre de 2023.
¿Y por qué ocupa España un lugar preferente en las fechorías digitales de los piratas online? Sobre esa cuestión se sustenta este reportaje, que tiene como punto de partida el estudio elaborado por Surfshark, empresa de servicios de VPN que sustenta su investigación en “datos sobre bienestar digital, privacidad, ciberseguridad”. De acuerdo a este estudio, Estados Unidos, Rusia, España, Francia y Turquía son los países que más ataques reciben por parte de los ciberdelincuentes en el ámbito planetario.
España como tercer país más ciberatacado
El caso es que nuestro país está sufriendo, de manera exponencial, una serie de robos de datos, lo que nos hace ocupar el tercer lugar a escala mundial entre los países más ciberatacados, con robo y filtración de datos. Tanto es así que España sólo está por detrás de Estados Unidos y Rusia. La cosa va de mal en peor, ya que nuestro país ha ascendido del puesto quinto que ocupaba en el primer trimestre de 2023, al tercero en el segundo trimestre de este mismo año. Por detrás de nuestro país, como naciones más agredidas digitalmente, se sitúan Francia y Turquía, de acuerdo con el mencionado estudio.
En concreto, en el segundo trimestre Estados Unidos ha recibido casi 50 millones de ciberataques, seguido de Rusia, con más de 15 millones de agresiones digitales y España, que ha recibido 3.724.924 ataques digitales. De manera más pormenorizada todavía, España ha recibido 40.933 ciberataques diarios.
En Escudo Digital nos hemos preguntado de manera específica si está España en el punto de mira de los ciberdelincuentes o si es una cuestión de vulnerabilidad y poca madurez de los sistemas de ciberseguridad de empresas y organizaciones de nuestro país. Para contestar con solvencia a esta pregunta hemos contactado con dos expertos de compañías de referencia en el ámbito de ciberseguridad que operan en España y también hemos con un profesor universitario versado en el asunto. Juan Manuel López, Data Center Manager de IPM, compañía tecnológica de Grupo Ricoh, hace pedagogía al aclarar que “el objetivo de los atacantes es económico, porque los datos son un negocio de oro. Que de todos los ciberataques que se producen a escala mundial cada segundo y de forma masiva, España sea un blanco que resulta dar beneficio (es decir, que no son controlados con suficiente rapidez) solo denota una carencia de desarrollo con respecto a la ciberseguridad. Para solventarlo, es preciso que gobiernos y organizaciones trabajen conjuntamente para implementar medidas de ciberresiliencia y fomentar la educación en seguridad digital”.
Enrique Puertas, profesor de Inteligencia Artificial y Big Data en la Universidad Europea de Madrid, coincide en señalar las fallas del sistema de ciberseguridad español. Puertas lo explica así: “Aunque es posible que haya ataques que van dirigidos específicamente a las empresas y organizaciones españolas, normalmente no es lo que ocurre. Habitualmente, cómo operan los ciberdelincuentes es a través de una serie de ataques masivos. Es decir: lo que van a hacer es lanzar ataques contra todas las direcciones IP que son las direcciones de las máquinas a escala mundial buscando vulnerabilidades. Es un ataque de fuerza bruta, y, en aquellos casos en los que encuentran debilidades, como máquinas vulnerables y organizaciones o empresas que tienen agujeros de seguridad, van a continuar el ataque. Esto no significa que España sea un país objetivo específicamente, sino que, a veces, cuando se hacen estos ataques masivos, da la casualidad de que determinados sistemas informáticos de realizaciones no están correctamente parcheados; es decir, no tienen las últimas actualizaciones de seguridad, y, por eso, son máquinas que están comprometidas y son más fáciles de hackear”.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, coincide con el análisis de sus colegas respecto a por qué España está en la diana de los ciberdelincuentes y agrega el matiz de que es necesario una prevención más integral por parte de todos los actores comprometidos en estos ataques digitales: “se trata de una situación que demuestra una vez más la clara ausencia de expertos en ciberseguridad. El caso es que nuestro país requiere una mayor formación en higiene digital para los usuarios, y un enfoque más proactivo por parte del gobierno y las empresas para la implantación de sistemas y herramientas de protección más adecuadas”.
Principales ataques de malware y ransomware en España y a escala mundial
El director técnico de Check Point Software para España y Portugal ‘dibuja’ un mapa general de cómo es el ciberataque que se perpetra en nuestro país y a escala mundial: “En términos generales de año, se puede apreciar una predominancia de los ataques disruptivos sobre los destructivos. Si bien el ransomware continúa siendo el principal tipo de ciberataque utilizado, no es el único. Tal y como muestra nuestro último Índice Global de Amenazas mensual, recientemente se han descubierto numerosos sitios web falsos destinados a la difusión del malware Remcos; además de una presencia mayor del troyano bancario para móviles Anubis. A escala local, los ciberataques principales continúan centrados en otras herramientas maliciosas ya conocidas como el troyano Qbot, que aumentó su presencia entre las empresas españolas durante el mes de julio, afectando al 7,54% del total de negocios registrados en nuestro país, siendo el malware más recurrente en lo que llevamos de año”.
Nieva pone en valor que “la ciberseguridad continúa evolucionando”, aunque, matiza, “todavía falta mucho camino por recorrer en este campo, y hay que tener presente que para ir por delante de las amenazas hay que adoptar un enfoque más proactivo, tanto por parte de los expertos del sector, como de todos los participantes. 2022 fue un año de concienciación en ciberseguridad para las empresas, que conocieron de primera mano muchos de los problemas que acarrea la falta de seguridad en los dispositivos móviles o el uso de redes domésticas para el trabajo”.
En ese sentido, este experto pone en valor la evolución del desarrollo de las herramientas de ciberseguridad en los últimos tiempos: “Ya durante el tercer trimestre del año pasado, vimos cómo los ciberataques en todos los sectores de la industria aumentaron un 28% en comparación con el año anterior, según los datos de Check Point Research, con unas predicciones que apuntan a un todavía más fuerte crecimiento en todo el mundo impulsado por prácticas como el mayor uso de los exploits y ransomware, el hacktivismo movilizado por el Estado, o herramientas incipientes como la Inteligencia Artificial". Este experto concluye su reflexión sobre este tema con una recomendación: “todas las empresas sin excepción deben comenzar a darle a la ciberseguridad la importancia que tiene. Para ello, es recomendable que protejan sus sistemas y software para evitar cualquier ciberataque, ya que las consecuencias de este tipo de amenazas afectan tanto desde el punto de vista económico, como en otros aspectos, como la pérdida de la confianza de los clientes”.
Enrique Puertas, por su parte, detalla sobre el tema de la ciberseguridad que “en el Instituto Nacional de Ciberseguridad de España, en el INCIBE, una de las recomendaciones que se hacen a todas las empresas, es que tengan un plan de contingencia y de continuidad, es decir, para que en el caso de que se produzca un ataque y se pierdan los sistemas informáticos que se pueda seguir trabajando, aunque sea con medios manuales. Debe existir al menos un plan B para, por lo menos, no echar el cierre. Dentro de las soluciones para proteger los datos, también es interesante fijar una política de contraseñas para que las contraseñas tengan una longitud de, al menos, doce caracteres para arriba, que haya que cambiar las contraseñas periódicamente y que se fuerce a ello. Una serie de restricciones para evitar que se puedan vulnerar las contraseñas. También es importante, establecer una política de uso de medios informáticos con sus soportes de almacenamiento de datos dentro de la empresa; por ejemplo, el uso de los teléfonos móviles personales, así como el uso de memorias USB para intentar minimizar los riesgos de posibles infecciones dentro de la empresa”.
Juan Manuel López, Data Center Manager de IPM, sintetiza las claves de esa estrategia de ciberseguridad: “primordialmente, incorporar medidas proactivas con el propósito de prevenir y repeler ataques cibernéticos. A pesar de su eficacia, estas medidas pueden ser vulneradas, como ha sucedido en numerosas ocasiones. Por tanto, es crucial complementarlas con enfoques reactivos, especializados y diseñados conforme a los más altos estándares de seguridad. Esta estrategia permitirá recuperarse de ataques exitosos y asegurar la supervivencia de la organización con los mínimos costes y riesgos”.
Un plan competente de ciberseguridad
El docente de Inteligencia Artificial y Big Data en la Universidad Europea de Madrid contextualiza que “las preocupaciones de las empresas están relacionadas con todo lo que tiene que ver con el robo de datos puede suponer un problema para la reputación de la empresa u organización. También el hecho de que puedan encriptarle los datos y perder información sin la cual no sería posible continuar el negocio”. Desde el punto de vista de los usuarios, este profesor universitario apela “al sentido común. Los usuarios pueden ser objeto de una serie de correos fraudulentos que nos hacen pinchar en enlaces que nos llevan a páginas maliciosas o que intentan que nos instalemos software malicioso en nuestro PC y que son la puerta de entrada para la mayoría de los ataques”.
Eusebio Nieva, director técnico de Check Point, valora ese reto así: “La ciberseguridad debe continuar avanzando y actualizarse para para defenderse de los nuevos ciberataques. Necesitamos que todos los usuarios, sin importar su experiencia y conocimientos, adopten una mentalidad preventiva. Continuamos estancados en un concepto erróneo en el que se cree que, necesariamente, en algún momento seremos víctimas de un ataque, por lo que los esfuerzos se centran la detección de brechas y vulnerabilidades y cómo remediarlas. Sin embargo, evitar la propia perpetración de las vulneraciones implica también evitar todos los daños asociados a estas. Es por ello que estamos trabajando para que la ciberseguridad evolucione hacía unos nuevos requisitos fundamentales: ser más comprensiva, para abordar y hacer frente a todos los vectores de ataque, desde cloud hasta las redes locales, endpoints, etc; estar más consolidada, para permitir un manejo más rápido y sencillo; ser colaborativa, asegurando el más correcto y óptimo rendimiento entre los softwares de tecnología de seguridad al trabajar de manera conjunta”.
Por su parte, Juan Manuel López centra su análisis en el prisma empresarial y apunta que “en ciberseguridad, es preciso realizar un Security Assessment en el que se determine, al detalle, cuál es el nivel de ciberseguridad de la empresa, a qué nivel de protección se corresponde en comparación a otras empresas de su mismo tamaño y sector y qué vulnerabilidades existen, así como qué soluciones se deben aplicar desde ese punto. Después, en función de las necesidades de cada empresa, se establecerán soluciones de ciberseguridad transversales a todos los departamentos y escalables (que puedan evaluarse en cuanto a utilidad y se puedan evolucionar con el paso del tiempo, adaptándose al momento y al crecimiento de la empresa). Por último, no se puede olvidar el eslabón más importante de la cadena en cuanto a seguridad, que es el usuario. En este caso, el trabajador, el cual es sabido que es la primera vía de entrada de ciberataques. Por ello, es preciso que las empresas atiendan a la formación de sus empleados en ciberseguridad básica “.
Razones por las que un país es objetivo preferente de los ciberdelincuentes
El Data Center Manager de IPM explica de manera muy pedagógica las motivaciones que guían a los ciberdelincuentes digitales a la hora de idear y concretar sus agresiones digitales: “Cualquier empresa de cualquier país puede ser objetivo de los ciberdelincuentes. Más allá de unos pocos ataques que sí son premeditados, los avances tecnológicos han conseguido que puedan lanzarse de forma masiva e indiscriminada sin un objetivo concreto. Y ese es el motivo por el que se producen cada segundo en todo el mundo. Claro, que es un poco más complicado que todo eso. Los datos dicen que España es el tercer país más atacado, pero por encima están Rusia y EEUU. Esto no es casualidad. Los ciberdelincuentes amenazarán primero a las organizaciones y a los territorios de los que más pueden beneficiarse, ya sea por su posición estratégica, por brechas de seguridad no controladas que puedan sucederse debido a tensiones políticas, guerras u otras acciones, por chantajes o simplemente por la posesión de información confidencial que otros países u empresas pueden valorar por sus propios motivos no éticos. Las posibilidades son múltiples”.
Eusebio Nieva entra en el detalle de las variedades de objetivos y ataques que direccionan la acción delictiva de los corsarios digitales: “Por lo general, nos encontramos con dos tipologías marcadas en este tipo de ataques: la búsqueda del cobro de un rescate, y la disrupción del servicio. Según los datos de nuestro último Security Report 2023, ha aumentado el interés de los ciberdelincuentes por las infraestructuras críticas, como la educación y la investigación, manteniendo al sector sanitario como número uno, con un aumento del 78% interanual de ciberataques, hasta el punto de que este sector ha recibido una media de 1.426 ataques semanales. Los ciberdelincuentes son plenamente conscientes del impacto que ocasiona cualquier interrupción en los servicios vitales. Tratándose de servicios públicos básicos, los retrasos o ausencias de estos pueden repercutir negativamente en la confianza de los ciudadanos, sumando a su vez las posibles pérdidas monetarias, de filtración de datos y en última instancia, de vidas humanas. Por estos motivos, a diferencia de otro tipo de empresas, este tipo de organizaciones se muestra mucho más propenso a la realización de los pagos en caso de secuestros por ransomware o chantajes por fugas de datos”.
Qué planes harían a España un país más consistente en cuanto a la ciberseguridad
Enrique Puertas, profesor de Inteligencia Artificial y Big Data, lo tiene claro: “Si en el ámbito estatal se fijara la obligatoriedad de que todos los sistemas informáticos que tratan con información sensible fueran supervisados de manera regular, cambiarían muchas cosas. Cuando hables de sistemas informáticos que custodian datos críticos me refiero a los sistemas de información que se van a implementar en la administración pública, como los sistemas que van a estar funcionando en los hospitales, en los centros de salud, así como los sistemas que tratan con las infraestructuras importantes del país, etc. Si todos esos sistemas de información tuvieran la obligación de pasar auditorías de seguridad periódicas solucionaría muchos de estos problemas".
Este docente universitario amplía esa perspectiva de estructura afinada de ciberseguridad al ámbito empresarial que genera cierto volumen de ingresos y empleo: "Aparte de esto, creo que sería muy recomendable fijar la obligatoriedad de que las empresas de un tamaño medio grande contaran en plantilla con departamentos especializados en ciberseguridad, es decir, que no fuera sólo tener subcontratado una monitorización remota, sino que dispusieran de departamentos de ciberseguridad de forma obligatoria. Sería lo mismo que contar con una figura obligatoria para determinadas empresas que cumplen unos requisitos de tamaño y cuentan con la figura de experto en datos, en seguridad, debería ser obligatorio también que la gran mayoría de las empresas contaran con esta figura y con equipo de personas. Es importante también que, al igual, que ocurre con otros trabajos de ingeniería en los que hace falta tener un visado y la gente que trabaja en esos proyectos tiene que cumplir unos requisitos de titulación, en los sistemas informáticos, sería algo bueno que hubiera algo parecido. Ahora mismo no hay ningún tipo de control sobre los sistemas de control que se montan en empresas y organizaciones en la administración pública y también en empresas fuera de la administración pública. Podría ser otra idea contar con un tipo de visado de calidad que certificase que un proyecto ha trabajado ingenieros titulados. Esto permitiría reducir los posibles fallos de seguridad que, a veces, ocurren por falta de experiencia o conocimiento por parte de los equipos que han trabajado en el desarrollo de ese sistema informático”.
Por último, el profesor de la Universidad Europea de Madrid aporta una visión matizada y bastante completa de cómo disuadir y combatir activamente la actividad delictiva de los piratas online, al tiempo que ilustra sobre la importancia de articular de una política de ciberseguridad operativa y funcional, en la que prime la colaboración y un alcance universal de la persecución y punición del delito digital: “Todo lo que tiene que ver con la aplicación de regulaciones, leyes a escala internacional es bastante complicado porque cada país tiene sus normativas y cuando cambiamos de Estado se introducen tiempos que dan una ventaja a los ciberdelincuentes. Lo que hay que hacer realmente es aplicar las leyes que ya existen, es decir, cuando se está realizando un ciberataque, lo que se está haciendo básicamente es contravenir alguna de las leyes que casi seguro ya existen en los países. Algunos países pueden llegar a tratarlo como terrorismo, por ejemplo, si se están haciendo ataques contra infraestructuras críticas como centrales térmicas, nucleares u hospitales; estos países pueden llegar a considerarlo como terrorismo y se perseguiría como tal. Al final, en la mayoría de los países, las leyes y regulaciones que tienen contemplan perfectamente la persecución de estos delitos. El problema es perseguir estos delitos a escala internacional, como ya ocurre con los delitos tradicionales, ya que, esa persecución es complicada cuando intervienen varios Estados. Hay que tener en cuenta las órdenes internacionales para perseguir delitos, ver si en ese país está contemplado el delito de la misma forma o de forma equivalente está en otro. Este tipo de cosas complican las acciones que se pueden tomar en estos casos. En resumen: si se persiguiera de forma activa a escala internacional a los ciberdelincuentes, esa coordinación generaría unas acciones punitivas y disuasorias que obviamente sí que podrían mitigar este tipo de actividades”.