En su libro La amenaza hacker (Planeta), Deepak Daswani (Santa Cruz de Tenerife, 1980) desgranó – según el subtítulo de la obra– todo lo que empresas y particulares deberían saber para protegerse adecuadamente de una ciberdelincuencia que incrementa su actividad día tras día.
¿Estamos seguros?
La seguridad total y absoluta no existe porque siempre pueden esperarse errores técnicos y humanos. La tecnología la desarrollan también personas, con lo que en ese proceso, a la hora de programar, cabe el error humano. Incluso aun sometiendo los desarrollos a grandes controles. En cualquier momento un investigador de seguridad puede descubrir un error nuevo en un sistema, dispositivo o protocolo estándar; la tecnología que veníamos usando, de repente se convierte en vulnerable.
Pues qué inquietud, ¿no?
Bueno, dejar descartado el cien por cien de seguridad no significa que estemos en manos de la fortuna. Si seguimos una serie de buenas prácticas y recomendaciones, es posible alcanzar un nivel de seguridad confiable.
¿Y en Canarias ya todos saben que hay que tomar medidas?
Llevo diez años en estos temas, tanto en la pura ciberseguridad como divulgando su necesidad, y entre las cuestiones que más se habla está instalar la necesidad de una concienciación. Queda trabajo por hacer, pero el salto que se ha dado en una década es muy grande, no cabe duda. Hace esos diez años habría contestado que estaba aún todo por hacer, era imposible entonces que cualquier empresa, del tamaño que fuera, invirtiera más allá de comprar un firewall al proveedor habitual. ¿Auditorías para medir el grado de seguridad y prepararse contra un potencial ataque? Qué va, y eso es de lo primero que debe hacerse.
Pero ha mejorado.
Sí, ahora todos los negocios invierten. Es cierto que las pequeñas y medianas empresas tradicionalmente no han destinado muchos fondos a estas cuestiones y faltan muchas por subirse al carro, pero empiezan a ser más demandados estos servicios. Las grandes llevan años sometiéndose a auditorías en este ámbito. El problema es de recursos, hay negocios que ahora mismo bastante tienen con subsistir después de los problemas en los que les ha metido la pandemia.
¿Y cómo se conjuga esa falta de recursos con la seguridad? Porque los que no paran son los ciberdelincuentes.
Claro, al final tienen que pasar por el aro y proveer fondos para la ciberseguridad. No hay otra.
¿Es muy caro?
Como todo. Una auditoría de seguridad no es más cara que otras cosas, comprar tecnología o soluciones específicas puede que lo sea más. En cualquier caso, la inversión irá en proporción al tamaño de la empresa, no hay que matar moscas a cañonazos. Los precios han bajado porque hay más competencia y más oferta.
¿Y la competencia es fiable o hay mucho cantamañanas?
Pues también pasa como en todos los ámbitos que están en boga. Hay quienes buscan una posición rápida para ganar dinero o para satisfacer su ego. Este es un campo complicado y en el que cuesta mantenerse al día. Claro que aparecen quienes hacen auditorías como churros utilizando herramientas automatizadas. Y proliferan los que se dedican a divulgar como hago yo desde hace diez años, porque hablar es fácil, lo complicado es hacer. Aparecen expertos que de repente desaparecen.
¿Y se les pilla?
Muy fácilmente. Lo que yo hacía cinco años atrás ya no me vale, porque tengo que estar al día en el plano técnico. Un vendehumos puede aparecer hablando en un momento, pero no va a salir de ahí. Detrás de todo este mundo de la ciberseguridad hay mucha investigación que hay que publicar.
¿Es más sencillo hacerlo yendo por libre o desde dentro de una empresa?
Yo trabajo por mi cuenta. Desde luego si tuviera que estar en la organización de una gran empresa, gestionando equipos y proyectos cada vez más grandes, no contaría con el tiempo que dedico ahora mismo para estar al día. O bien, tienes que contar con un buen equipo que esté en la batalla diaria.
Decía que el panorama ha mejorado en los últimos diez años. ¿Las empresas han aprendido a golpes o es por convencimiento?
Muchos han aprendido a golpes, sí. No todos, también ha habido quienes han atendido a las advertencias que les hacía su personal para gestionar la tecnología. En mi función divulgadora, también actúo en el ámbito privado de una compañía. Explico las amenazas a los comités de dirección y los trabajadores para que sepan las medidas a tomar de cara a evitar incidentes de seguridad.
¿De qué modo se presentan los ataques que tienen éxito?
Hay múltiples formas, pero los más habituales son los que se basan en el engaño al usuario. Es una de las cuestiones a explicar al personal, cómo conducirse para no tener problemas en su vida profesional y personal. Con los directivos, el objetivo principal es convencerles de la importancia que tiene invertir. Algo habitual es que el CISO (Chief Information Security Officer) de una gran empresa, o el jefe de Informática de una pequeña, recurra a mis servicios para hacer ver a sus jefes que tienen que tomarse más en serio la protección.
Por cierto, ¿ya no hay empresa que se precie sin CISO?
Ya no hay una grande que no lo tenga. En las de menor tamaño, ese rol se comparte con el de responsable de sistemas o incluso de otras áreas. Lo ideal es que tengan un conocimiento técnico, pero si no lo tienen, simplemente gestionan y subcontratan a algún profesional autónomo o a una empresa especializada.
Descríbame un ataque típico. ¿Cómo operan los malos?
Generalmente, como le decía, los errores son técnicos o humanos. Gran parte de los ataques comienzan por un engaño al usuario para robarle sus credenciales –phishing– y acceder a los sistemas de la organización. En los últimos años, los ciberdelincuentes se dedican a introducir ransomware, porque es la forma más fácil para monetizar. Introducen ese virus, que cifra todos los archivos del ordenador, inutiliza el sistema y la única manera de recuperar el control es con una contraseña que solo se obtiene pagando un rescate.
¿Y caen las empresas?
Bueno, está publicado. No descubro nada, Telefónica, Cadena Ser, Media Markt, Mapfre, Adeslas, millones de organizaciones en todo el mundo. Secuestran los datos, no puede abrirse ningún archivo y aparece un mensaje que te dice el precio del rescate, en bitcons.
¿Hay otra solución en lugar de pagar a los ciberdelincuentes?
Copias de seguridad.
¿Eso te salva?
En algunos casos, sí. Curiosamente las grandes empresas tienen eso gestionado y no tienen que pagar, pero el problema está en el tiempo que está parada su actividad. O incluso instituciones, recuerde que también fue víctima el Sepe (Servicio de Empleo Público Estatal) hace un año. Son más los casos de pymes que se ven obligadas a pagar, claro, porque no están tan protegidas.
¿En Canarias también?
Claro. Muchas han recurrido a mí para pagar.
¿Y meterse en las cuentas bancarias de las empresas? ¿Esto también lo hacen?
También. Es un tipo específico de phishing llamada estafa al CEO que se está viendo mucho. Se trata de los business email compromise que intentan, ya no robar credenciales, sino que directamente intentan suplantar la personalidad del jefe o de un proveedor externo para dirigirse a quien realiza los pagos habitualmente y cambiarle el número de cuenta de abono. Pasa mucho en los últimos años. En 2020, el 50% de todo el dinero que obtuvo el cibercrimen en Estados Unidos fue a través de este tipo de acciones delictivas. No le digo cuáles, pero a varias pymes de Canarias les han robado alrededor de 300.000 euros de esta manera.
Poniéndonos en la piel de los delincuentes, ¿tan buen negocio es este que no paran de crecer?
El cibercrimen mueve más dinero ya que el narcotráfico. Es la actividad delictiva más lucrativa del mundo en los últimos años. Se calcula que hurta 600.000 millones de euros anuales a la economía mundial. Esa cifra es una estimación, yo estoy seguro de que es mucho mayor.
El CNI alertó esta semana de que Rusia intentaba impedir que se pagara el paro en España. Esa noticia no tiene pinta de ser muy real. Ninguna de las partes hace públicas estas acciones. En el contexto actual de enfrentamiento bélico, ¿proliferan los mercenarios que se ponen al servicio de un estado?
En el mundo del cibercrimen, si alguien sin conocimiento quiere atacar a una compañía con el fin que sea, subcontrata los servicios de un ciberdelincuente. Claro, a este se le solucionan los problemas para monetizar sus actuaciones al cobrar por trabajo realizado, ya sea robar información, tumbar un sistema... Rusia, tradicionalmente y desde hace mucho tiempo, es uno de los países número uno en organizaciones cibercriminales, desarrollo de malware, fraude con tarjetas bancarias... Son campeones en esas materias.
Si una pyme tiene un nivel de seguridad y una gran empresa otro mayor, ¿de qué grado es la seguridad en un servicio estratégico como una central energética o el control del tráfico aéreo?
Son las que llamamos infraestructuras críticas, que engloba a muchos sectores esenciales, desde el transporte a la sanidad, por ejemplo. Se les presta una atención muy especial, porque también son vulnerables, de hecho ya han recibido ataques: wannacry (un ransomware de 2017), luego el ataque masivo que paralizó una central eléctrica precisamente en Ucrania, el secuestro de un hotel en los Alpes que dejó encerrados en las habitaciones a los clientes, un oleoducto quedó inutilizado en Estados Unidos el año pasado durante unos días... Los ataques no cesan y la atención es máxima para evitar el caos, pero no puede descartarse que algo pueda ocurrir en un momento dado.
Muchos ejemplos me cita.
Y no son ni mucho menos todos.
En España el Sepe.
Y otras administraciones, ayuntamientos, y los que vendrán.
¿Entonces es verdad que no va de si me tocará o no sino de cuándo sucederá?
Nos hemos acostumbrado a que organizaciones de todo tipo sufran estos ataques. Al menos ha servido para que se les deje de juzgar por ser víctimas y empezar a hacerlo por cómo reaccionan al incidente. En los primeros tiempos se cargaban las tintas contra una empresa sobre la que ponía las garras la ciberdelincuencia, hoy está asumido que puede pasarle a cualquiera; lo importante es la capacidad de reacción, que en muchos casos es lo que determina si una empresa podrá seguir adelante o no.
Rusia también se ha encontrado con grupos que, como Anonymous, han declarado que van a ir contra sus sistemas.
No es la primera vez. Esta respuesta ha surgido cada vez que ha existido una injusticia, es parte de la actividad del hacker, defender la justicia y los derechos de los ciudadanos. Ya actuaron contra el Daesh denunciando perfiles e intentando tirar sus páginas, por ejemplo.
