Odian contarlo, pero las empresas se están viendo obligadas a admitir lo que pasa en sus sistemas informáticos. Y suelen ser historias espeluznantes. Esta misma semana, Quest Diagnostics, un laboratorio clínico estadounidense que forma parte de las 500 mayores empresas de ese país, ha informado de que los datos de 11,9 millones de pacientes (incluidas tarjetas de crédito y cuentas bancarias) estuvieron ocho meses expuestos por el error de seguridad de un proveedor. Hace unos días, Travelex Holdings, una empresa con sede en Londres, suspendió sus servicios en 30 países por otro agujero en sus sistemas, según Bloomberg. En España se han vivido casos muy llamativos en los últimos tiempos, como el hackeo en Prosegur a finales de noviembre, o el que obligó a la suspensión de la programación local en la cadena SER (del grupo PRISA) ese mismo mes por un ataque de ransomware, un encriptador de archivos que también afectó a la consultora Everis; o el que infectó al hospital universitario de Torrejón de Ardoz el mes pasado e inutilizó sus ordenadores y las pantallas de las salas de espera (y obligó a sus empleados a volver al lápiz y al papel).
Los datos, que se suponía que eran la nueva mina de oro con la digitalización, también son munición para la ciberdelincuencia, un negocio cada vez más lucrativo y devastador. Según las cifras de la consultora Gartner, el gasto en seguridad empresarial mundial alcanzó los 124.000 millones de dólares en 2019, un 8% más respecto a 2017. El Observatorio Español de Delitos Informáticos constata que los fraudes, las falsificaciones, los accesos ilícitos o las violaciones de propiedad industrial, tanto a particulares como a empresas, se han disparado hasta los 110.613 casos detectados en 2018 (últimas cifras disponibles). Cuatro años antes no llegaban a los 50.000. El Instituto Nacional de Ciberseguridad (Incibe) gestiona más de 100.000 incidentes al año de empresas y particulares, de los que unos 700 corresponden a operadores estratégicos (desde eléctricas hasta empresas de telecomunicaciones, puertos…). Casi 5.000 personas han sido detenidas o son investigadas por delitos relacionados con el cibercrimen en el país, según Statista.
En suma, miles de vulnerabilidades son descubiertas cada mes, algo que va en aumento. Pilar López, presidenta de Microsoft España, decía hace un par de semanas en una charla en Esade que la amenaza de la ciberdelincuencia “es más real que nunca”. Y alertaba de que la mayoría de las empresas españolas no están preparadas para responder a un ciberataque que pueda paralizarlas por completo. “Afortunadamente, estamos avanzando y cada vez se tarda menos en detectarlo. Las empresas tienen que aprender a protegerse y diseñar un plan global de seguridad”. Cierto es que su compañía vende productos para ello, pero también lo es que la alerta no solo proviene del sector. Ana Botín, presidenta del Banco Santander, mencionó la ciberprotección como uno de “los mayores retos sociales”, el pasado verano, durante la junta de accionistas de la plataforma educativa Universia. “Es importante saber dónde se ha cometido el robo, pero también quién es el responsable”, apuntó. Porque los delincuentes están por todas partes, a veces tienen el apoyo de sus propios Estados y es difícil sentarlos en el banquillo.
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de dólares
Banca
Ser. públicos
Software
Automoción
Seguros
Tecnología
Inversión
Energía
B. de consumo
Salud
Distribución
Comunicación
Viajes
Sector público
Fuente: Accenture
C. AYUSO / EL PAÍS
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de dólares
Banca
Ser. públicos
Software
Automoción
Seguros
Tecnología
Inversión
Energía
B. de consumo
Salud
Distribución
Comunicación
Viajes
Sector público
Fuente: Accenture
C. AYUSO / EL PAÍS
La ciberseguridad en el mundo
Coste medio de cada ataque completado en millones de dólares
Banca
Servicios públicos
Desarrollo de software
Automoción
Seguros
Tecnología
Inversión
Energía
Bienes de consumo
Salud
Distribución
Comunicación
Viajes
Sector público
Fuente: Accenture
C. AYUSO / EL PAÍS
En la firma de seguridad S21Sec tienen monitorizadas algunas bandas que han logrado ingresos de más de 50 millones de euros. “Es un negocio redondo, hay estudios sobre la rentabilidad de las organizaciones que hablan de retornos del 2.000%”, señala Jorge Hurtado, su vicepresidente de Servicios Gestionados. “Lo que hace 15 años era una persona en un garaje, hoy son equipos de cientos de personas con herramientas propias y un montón de recursos a su alcance”. En Internet se anuncian sin impunidad supuestas “empresas” que ofrecen servicios completamente ilegales. “Muchos clientes nos preguntan si es posible hackear un teléfono, un whatsapp, una red social… a lo que respondemos siempre que sí, todo sistema es vulnerable y con los conocimientos y herramientas adecuados puede ser hackeado”, anuncian en una de ellas.
José Luis Narbona, profesor asociado de criminalística en la Universidad de Alcalá y presidente de la Asociación Nacional de Ciberseguridad, no quiere sonar alarmista, pero menciona que España está a años luz de lo que necesita en inversión y conciencia sobre este tema. “Todo parte de una cuestión económica y se ha convertido en una guerra global. El incremento de ataques a empresas españolas es bastante alto e inversamente proporcional al gasto que realizan para garantizar la confidencialidad de los datos”. Una inversión que a menudo es pobre, dispersa y casi siempre tiene un sentido de urgencia que la hace inútil para construir una verdadera estrategia de negocio.
Fraudes silenciosos
Lorenzo Martínez, fundador de Securizame y perito judicial en delitos informáticos, ha visto solicitudes de rescate de datos provocadas por ransomware en pymes de 3.000, 10.000 y hasta 12.000 euros (en empresas mayores pueden pasar de los 100.000). También ha visto cómo muchos negocios medianos y pequeños se ven desarmados (sin acceso a todos sus sistemas) y acceden al chantaje de los criminales cuando se dan cuenta de que están en un callejón sin salida. Algunos incluso después de aguantar un mes buscando alternativas. “También se dan estafas como el llamado timo al CEO, de cientos de miles de euros”. Esto último es más sofisticado. Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo electrónico —aparentemente— de ese proveedor que le pide que esta vez haga el ingreso en otra cuenta bancaria. Lo solicita en un correo electrónico cordial utilizando un lenguaje adecuado y dirigiéndose a él por su nombre y apellidos. El ejecutivo confía, cambia el destino del dinero… y lo pierde. Por vergüenza, muchas veces estas torpezas se ocultan y no se denuncian. Grave error. Fernando Anaya, director para España de Proofpoint, avisa que el 93% de los ataques utilizan el correo electrónico como puerta de entrada, “de ahí la importancia de concienciar a los empleados”.
Software dañino (Malware)
Ataques a la web
Denegación de servicio
Filtraciones internas
Ingeniería social
Código dañino
Dispositivos robados
Ransomware
Ataques de Bots
Por consecuencias del ataque
Interrupción
del negocio
Fuente: Accenture
C. AYUSO / EL PAÍS
Software dañino (Malware)
Ataques a la web
Denegación de servicio
Filtraciones internas
Ingeniería social
Código dañino
Dispositivos robados
Ransomware
Ataques de Bots
Por consecuencias del ataque
Interrupción
del negocio
Fuente: Accenture
C. AYUSO / EL PAÍS
Software dañino (Malware)
Ataques a la web
Denegación de servicio
Filtraciones internas
Ingeniería social
Código dañino
Dispositivos robados
Ransomware
Ataques de Bots
Por consecuencias del ataque
Interrupción
del negocio
Fuente: Accenture
C. AYUSO / EL PAÍS
La ciberdelincuencia ataca a todos los sectores y está en todos los niveles, aunque algunos negocios son más vulnerables que otros. La banca, por descontado, es el número uno de la diana. También la que más invierte en protección. La Reserva Federal americana (Fed) lo puso de manifiesto el pasado martes. El ataque a uno de los mayores bancos de Estados Unidos podría afectar al 38% del sistema financiero de ese país, según sus cálculos. El personal de la Fed hizo el ejercicio de qué pasaría si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros durante solo un día: el contagio sería inmediato, el resto de las entidades intentarían apalancar su liquidez y 4 de cada 10 dólares del sistema quedarían bloqueados.
No es ciencia-ficción. Un informe de McKinsey cita que desde 2013 los llamados “ataques Carbanak” (robos basados en malware) han costado a la banca mundial 1.000 millones de dólares. En ellos, cometidos por al menos tres bandas criminales como después se acreditó, los ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los procesos bancarios, así como las brechas de seguridad para llegar a cajeros automáticos, tarjetas de crédito y transferencias. Estas acciones que afectaron a un buen número de bancos rusos también dejaron al descubierto la cada vez más difusa relación entre ciberataques, fraudes y delitos financieros. José Luis Martínez Campuzano, portavoz de la patronal bancaria española (AEB), cree que “a medida que los bancos fortalecen sus barreras de protección, los ciberataques derivan hacia el eslabón más débil de la cadena, el cliente, a través de phishing, vishing, smishing”.
Es el mal de este tiempo: sociedades más digitalizadas y a la vez más desnudas ante el ciberdelito. Quizá por ello las encuestas muestran un derroche de voluntad. Un estudio realizado por Willis Towers Watson y ESI ThoughtLab, presentado en Madrid esta semana, cita que organizaciones de todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34% durante el próximo año, y cerca del 12% lo harán en más de un 50%. Pero quien crea que el dinero arregla el problema se equivoca. Sin soluciones integrales en todos los niveles del negocio la respuesta fallará, según los expertos.
La salud, el punto débil
Ocurrió en un reciente congreso del sector. Un responsable de seguridad de una empresa estadounidense contó a un profesional español la enorme preocupación que hay en su país por los ataques a centros sanitarios. Y no, como se podría pensar, por el simple secuestro o robo de datos. “Hablaba de que temen, por ejemplo, que una manipulación de los historiales pueda cambiar el grupo sanguíneo de los pacientes. Solo eso podría tener consecuencias catastróficas”, relata el receptor de la confidencia. Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de medicamentos ya puso en guardia a las farmacéuticas, aunque eso no ha evitado que se sigan dando casos. Bayer reconoció hace dos semanas que un malware llamado Winnti se infiltró en sus ordenadores el año pasado. Su unidad de defensa limpió los sistemas afectados y no encontró pruebas de la fuga de datos, pero Costin Raiu, director de su equipo de seguridad, reconoció que “sólo porque una empresa haya evitado con éxito un episodio no significa que el grupo de criminales que estén detrás de Winnti no lo vuelva a intentar”.
¿Cómo debe afrontar el sector sanitario estos problemas? Xabier Mitxelena, de Accenture, cree que “es un objetivo fácil porque tiene muchas puertas de entrada”. La consultora hace simulaciones periódicas en hospitales y señala que, como sector crítico, las empresas “tienen que tomarse más en serio los riesgos de la tecnología”. En especial, habla de la “sensibilización de los médicos” y de la importancia de establecer comunicaciones seguras. Marco Merino, responsable de tecnología de la empresa genómica Veritas Intercontinental, observa dos derivadas del problema. La primera se refiere a los datos personales sobre salud: “Su exposición es muy grave y puede ser utilizada con malicia con una finalidad de chantaje o como herramienta de presión sobre ciertos colectivos. Esto genera millones de pérdidas anuales, como se puede comprobar en los informes del sector”. En segundo lugar está la información clínica que las empresas utilizan para la investigación y desarrollo de nuevos fármacos. “Estamos, por tanto, en una situación de espionaje industrial. Por fortuna, ya existen modelos muy evolucionados de protección”.
Los servicios públicos
En el sector público la cuestión es parecida. La información de varios Ayuntamientos en Estados Unidos (desde Baltimore hasta Atlanta o Nueva Jersey, pero también ciudades pequeñas como Riviera Beach y Lake City) ya ha sido saqueada por ciberdelincuentes, y algunas de estas ciudades han optado por pagar un rescate para poder atender a sus ciudadanos. En España se empiezan a dar casos, como el que afectó en octubre al Ayuntamiento de Jerez a través de un correo electrónico y bloqueó todos los ordenadores. Un mes antes, otros consistorios españoles, como el de Bilbao, habían sido asaltados por el mismo virus sin tanto éxito. Los vecinos de la ciudad andaluza tuvieron que soportar durante varios días el bloqueo de multitud de trámites, como el padrón o cambios de domicilio. La alcaldesa, Mamen Sánchez, se negó a pagar rescate alguno.
Para Jesús Romero, socio de consultoría en ciberseguridad de PWC, “el riesgo tecnológico cada vez tiene más peso y hay un punto clave: además de prepararse para proteger sus activos, ahora la empresa tiene que estar preparada para responder. Es importante que sea resiliente a un ataque, que sepa actuar y remediarlo cuanto antes, porque el tiempo es fundamental”. Como otros consultados, insiste en que la seguridad absoluta “no existe”. “Cada compañía debe saber el riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones, la protección de su marca y la información de sus clientes”.
Xabier Mitxelena, responsable de Accenture Security en España, pone un ejemplo muy gráfico: “Si entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel, lo primero que le dices es que no lo coja. Pero cuando vamos a cualquier sitio, lo primero que hacemos es buscar la wifi sin saber si es segura”.
Suerte que en este caso la regulación tira del desarrollo de la seguridad informática. La decena larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad, el Reglamento General de Protección de Datos o la Ley de Seguridad Privada, junto a un puñado de reales decretos, reglamentos e instrucciones técnicas que han cambiado la visión del problema desde los consejos de administración. “Cuando empecé en esto intentaba hacer ver que la seguridad no es un concepto tecnológico; que, si haces bien las cosas, tienes una ventaja de calidad. Hasta ahora habíamos construido una seguridad reactiva, intentando proteger el perímetro de la empresa con barreras, pero ese perímetro ha cambiado y ha subido la valoración del dato como elemento diferenciador de la competitividad de la empresa”, dice Mitxelena. Al menos las grandes compañías dicen tener integrada la seguridad como un elemento embebido en el negocio y no como un coste o una unidad separada del resto. Tienen muchos más recursos y están dispuestas a apostar por la ciberseguridad, porque además, saben que a la larga les supondrá un ahorro y puede que les ofrezca ventajas frente a competidores. Según un estudio mundial de Accenture publicado el año pasado, los ataques que terminan con éxito causan pérdidas medias de ocho millones de euros por compañía en España. En Estados Unidos el botín sube a 22 millones.
Lecciones aprendidas
Las consultoras recomiendan, además de concienciación, poner a prueba la capacidad de las empresas con simulacros periódicos y análisis continuos. Es algo habitual en las grandes del Ibex y en algunos sectores que también son muy sensibles, como el farmacéutico. Y si ocurre el desastre, hay que cruzar los dedos y no entrar en pánico.
Telefónica ha aprendido del incidente que vivió en la mañana del 12 de mayo de 2017, cuando sufrió el golpe del ransomware llamado Wannacry. Hoy Juan Carlos Gómez, director global de ciberinteligencia de la compañía, explica que la alta dirección está muy concienciada con este tema. Su organización integra la seguridad dentro del mismo paraguas y combina distintas herramientas, desde las que ofrecen proveedores externos hasta las desarrolladas en la compañía o, cada vez más, las que obtienen de las start-ups donde invierten. Su red, dice Gómez, es global y se apoya en 15 centros situados en los países donde opera. “Tenemos un gran volumen de activos a proteger, hacemos un gran esfuerzo en la concienciación de los empleados porque, por muchas medidas que tengas, alguien puede hacer un clic y propagar un ataque”. Esa seguridad, apoya Fernando Anaya, “debe ser multicapa, no hay una solución única ni una sola tecnología, sino un proceso”. Lo mismo opina Carmen Dufur, directora de ese área de la consultora Capgemini. “En nuestro caso trabajamos 4.000 personas en ciberseguridad en todo el mundo y eso crea una gran comunidad que ayuda a generar inteligencia, que al final es un gran valor añadido”.
Riesgos que las organizaciones
consideran más relevantes y están
trabajando para mitigar
En %. Encuesta realizada por McKinsey
entre sus directivos
Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputación de la organización
Capitalización de la empresa
Seguridad física
Seguridad nacional
Estabilidad política
No sabe/no contesta
La ciberseguridad en las empresas
españolas
Porcentaje de empresas que la han
implementado o lo harán en los próximos
dos años. Por número de empleados
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3.000
Más de 3.000
TOTAL
Fuente: McKinsey y Deloitte.
C. AYUSO / EL PAÍS
Riesgos que las organizaciones consideran
más relevantes y están trabajando para mitigar
En %.
Encuesta realizada por McKinsey entre sus directivos
Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputación de la organización
Capitalización de la empresa
Seguridad física
Seguridad nacional
Estabilidad política
No sabe/no contesta
La ciberseguridad en las empresas españolas
Porcentaje de empresas que la han implementado o
lo harán en los próximos dos años.
Por número de empleados
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3.000
Más de 3.000
TOTAL
Fuente: McKinsey y Deloitte.
C. AYUSO / EL PAÍS
Riesgos que las organizaciones consideran más relevantes y están trabajando
para mitigar
En %. Encuesta realizada por McKinsey entre sus directivos
Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputación de la organización
Capitalización de la empresa
Seguridad física
Seguridad nacional
Estabilidad política
No sabe/no contesta
La ciberseguridad en las empresas españolas
Porcentaje de empresas que la han implementado o lo harán en los próximos dos años.
Por número de empleados
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3.000
Más de 3.000
TOTAL
Fuente: McKinsey y Deloitte.
C. AYUSO / EL PAÍS
En la cadena Mango, por ejemplo, tienen lo que llaman “embajadores de seguridad”, empleados de la compañía que no son informáticos, pero que están atentos a lo que pasa en cada departamento. “Cuando lanzamos la medida nos sorprendió el número de personas que se presentaban voluntarias”. En el textil los esfuerzos se concentran en la cadena logística, donde un error tendría impacto directo en las tiendas. Otro ojo lo tienen puesto en los periodos de mayores ventas, como las rebajas o el Black Friday, donde admiten haber detectado “un aumento de los intentos [de acceso indebido] de hasta un 300%”.
Vuelta al pasado
El virus que infectó a Telefónica y a otras muchas empresas e instituciones, como el centro nacional de salud británico, no se dirigía específicamente a la operadora. En un solo día atacó a 140.000 máquinas en más de 100 países gracias a una brecha de seguridad en ordenadores con el sistema operativo Windows no actualizado debidamente.
La historia que puede no ser algo del pasado. Javier Antón, director de ciberseguridad de Fujitsu, recuerda que Microsoft ha dejado de dar soporte hace unos días a las versiones Windows 7 y Windows Server 2008. “Muchas compañías que tengan sistemas basados en estas aplicaciones se han quedado sin ese servicio y tendrán que migrar a otros sistemas, algo que puede generar agujeros de seguridad que, seguramente, van a aprovechar los cibercriminales”. Es, insiste, una lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera sencilla. “La pelea está muy desequilibrada porque los hackers solo tienen un objetivo: atacar a una entidad definida. Han pasado de ser golpes masivos a actos dirigidos, personalizados. Si quieren atacar a alguien, solo tienen que esperar su momento, porque nadie está actualizado al 100% en cuanto a parches o soporte de operaciones”. Cuando esto ocurre, el pago siempre se reclama en forma de criptomonedas para no dejar rastro. Y aunque no hay ninguna norma que prohíba ceder a la extorsión, los expertos recomiendan no hacerlo nunca, “a menos que toda tu compañía esté en riesgo de desaparición”, matiza Antón. Narbona recuerda que aun así puede ser completamente inútil: pagar no garantiza que te devuelvan los datos. O que lo vuelvan a intentar en el futuro.
El último recurso
Cuando todo falla entran en juego las aseguradoras, que han desarrollado más y más productos específicos. Todas las grandes, desde Mapfre hasta Zurich, Axa, AIG o Generali, han entrado en este negocio. En Allianz, por ejemplo, aseguran que sus productos no solo sirven para proteger a pymes y autónomos, sino que se enfocan cada vez más a “una estrategia preventiva” del ciberdelito. Muchas pólizas cubren desde la certificación forense (el peritaje sobre los daños informáticos) hasta planes de recuperación de las funciones del negocio o asesoramiento y defensa jurídica frente a la extorsión o el borrado de la huella digital. Pero nada sale gratis. Un informe de Kaspersky citado por el Incibe valora en 33.700 euros el presupuesto medio que necesitaría una pyme para resolver un problema de seguridad como fugas de datos, fraude o ataques de denegación de servicio. De modo que lo habitual es contratar pólizas por obligación legal o para cubrir solo accidentes que afectarían de modo irreversible a la empresa.
Otra vulnerabilidad, pero en clave empresarial, está en la poca visibilidad de la industria española en este sector, superada a menudo por las ofertas que realizan grandes consultoras internacionales o multinacionales instaladas en el país. El Incibe tiene contabilizadas unas 1.600 firmas con raíces nacionales de las más de 6.000 del sector. Quizá sea, como menciona Yago Jesús, director de Tecnología en la empresa eGarante, que “hay mucho intrusismo en el negocio y no se valora la I+D propia como en otros países”. Un mal que hace que cada vez más sean autónomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni posibilidad de crear y compartir conocimiento. O, como menciona Lorenzo Martínez, que las soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las mismas: “Disponer de un buen backup [copia de seguridad], cuando en muchos casos también puede ser cifrado”. Un problema que tiene una doble cara, como recuerda Arancha Jiménez, directora de seguridad de Atos Iberia: la eterna falta de profesionales para responder a la alta demanda del mercado. Personas que “investiguen, que evolucionen”. Que vayan tan rápido como los malos.
Consejos para pymes
Las pequeñas y medianas empresas son más vulnerables pese a que pueden llegar a perder todos sus recursos en un ataque. El problema, como señala la directora de comunicación de Sumauto, Isabel García, es que “en su pensamiento siguen siendo analógicas”. Marco Lozano, responsable de servicios para empresas del Incibe, recomienda empezar por un análisis de riesgos que responda a estas preguntas: “¿A qué nos dedicamos? ¿Qué procesos son críticos? Si hay un accidente, ¿con cuántos procesos puedo contar para seguir trabajando? ¿Cuáles son mis activos y cómo me voy a proteger?”. Establecer las medidas adecuadas para mantener los servidores, un sistema de alimentación ininterrumpida, aplicaciones de prevención anti-ransomware o hacer copias de seguridad para restaurar el sistema “no son cosas extremadamente complejas ni que necesiten una inversión enorme. Pero a veces el día a día no nos deja implantarlas”.
Cualquier política debe empezar por la concienciación de los empleados. Es importante, como señalan en RSM Spain, que estos lean los procedimientos de seguridad, informen sobre llamadas o textos inusuales, acepten las actualizaciones de seguridad, no hagan clic en links de desconocidos y sean cuidadosos con las redes sociales. Y, en especial, eviten conectarse a redes inalámbricas seguras y no abran correos desconocidos.
Source link