Carlos del Castillo
Periodista especializado en tecnología y derechos digitales.
El Instituto Nacional de Ciberseguridad (INCIBE) es el encargado de responder a los incidentes de seguridad informática que afectan a los ciudadanos y empresas privadas. Sara García, una de las expertas del organismo, me contaba hace algunas semanas que “el 60% de las pymes no son capaces de recuperarse de un ciberataque y tienen que cerrar”. “La pandemia ha hecho que todos los negocios se den cuenta de que tienen que digitalizarse. Pero esa digitalización tiene que ser segura, no es ninguna broma”, insistía. Y es que con la extensión de las líneas de fibra de alta velocidad y la democratización de los servicios online, la brecha digital entre empresas ya no se mueve en términos de cuáles pueden estar en las redes y cuáles no. La auténtica brecha está entre aquellas que dan el salto de forma segura y las que están a merced de que un ciberataque se lleve su negocio por delante.
Hay varios motivos por lo que se produce esto. Como periodista que cubre este tipo de sucesos, creo que un gran problema son las ideas preconcebidas sobre qué significa la ciberseguridad, cómo funcionan los ataques informáticos y quién los perpetra. Las historias sobre hackers adolescentes que usan sus ordenadores para violar cualquier sistema han sido explotadas por Hollywood durante años, aprovechando y potenciando su aura de misterio. El personaje del hacker encapuchado y solitario encaja a la perfección en todo tipo de series y películas. Solo tiene un problema: ha generado un imaginario colectivo irreal en torno a los ciberataques y, lo que es peor, da una falsa sensación de seguridad.
La realidad es que detrás del cibercrimen hay una industria consolidada y en auge. La consecuencia más peligrosa de la narrativa del hacker de las películas es que lleva a pensar que una pequeña empresa sin activos digitales importantes nunca podrá ser objetivo de esas personas capaces de saltarse la seguridad de grandes corporaciones. Pero funciona justo al contrario. La industria de los ciberataques está formada por organizaciones consolidadas, que trabajan desde oficinas similares a los call center y cuyos trabajadores incluso llegan a fichar a la entrada y la salida.
¿Cómo es posible que actúen con tanta libertad? El principal motivo es que es relativamente sencillo ocultar el origen real de un ciberataque. A menudo se los relaciona con países como Rusia, Corea del Sur y China. Pero los hechos prueban que pueden venir de cualquier parte. También de España, donde las ciberestafas han pasado a ser una táctica más de las bandas criminales. Una de las últimas grandes operaciones de la Guardia Civil en 2021 fue la detención de 8 personas que consiguieron estafar 600.000 euros a un total de 106 perjudicados de todo el territorio nacional. Actuaban desde Alicante y tenían entre 40 y 59 años. Ni adolescentes, ni lobos solitarios, ni capuchas. De hecho, es mejor no llamarlos ni siquiera hackers: son simplemente ciberdelincuentes, pero cada vez hay más.
«Operación Chrimata». Fuente: Guardia Civil.
Economía del ciberataque
Como cualquier empresa, estas organizaciones intentan sacar el máximo beneficio económico empleando el mínimo posible de recursos. El resultado de aplicar esa lógica económica a los ciberataques es que la mayoría de ellos son sencillos de realizar y no requieren de enormes conocimientos. Esto los hace fáciles de parar, y de hecho la gran mayoría de empresas son capaces de hacerlo. Su verdadero truco es que son masivos: los ciberdelincuentes disparan contra miles de objetivos con la esperanza de que alguno caiga en la trampa. Incluso con porcentajes de éxito por debajo del 0,01% pueden obtener importantes beneficios, ya que un solo golpe exitoso puede amortizar toda una campaña de ciberataques.
¿Cómo de sencillas son esas ofensivas? Pueden serlo al extremo. El archiconocido phishing, la táctica mediante la cual los ciberdelincuentes suplantan a personas o instituciones por correo electrónico para capturar las contraseñas de la víctima, su información personal o financiera, es la más utilizada. El smishing es su variante de contacto por SMS y es la que utilizaba, por ejemplo, la banda desarticulada en Alicante. Este tipo de ataque se basa en infundir una urgencia en la víctima, miedo. Por ejemplo, con mensajes como este, enviado el 3 de enero:
Campaña de ‘smishing’ a través de SMS, suplantando la identidad de BBVA.
El SMS no es del BBVA, por supuesto. El enlace que añade es malicioso y no pertenece al portal oficial de la entidad bancaria (algo que puede sospecharse, por su dominio .net en vez del .com que utilizan las compañías). Pero la alerta de un posible acceso no autorizado a nuestra cuenta o la de la empresa puede llevar a que, en un primer impulso, se pulse sobre el enlace malicioso, lo que comprometería nuestra información o la de la empresa. El modus operandi de este ciberataque de suplantación de identidad está muy basado en esa urgencia y, de hecho, muchos usuarios se dan cuenta del error que ha sido pinchar tan solo instantes después de hacerlo.
Los ataques de ransomware, en los que los ciberdelincuentes secuestran los archivos de la organización y solicitan un rescate por liberarlos, son algo más complejos, pero suelen utilizar también el phishing y el smishing como gancho. El ransomware se ha convertido en la gran amenaza informática y no deja de aumentar (tuvo un crecimiento de un 200% en 2021, según los datos de ESET, una de las mayores empresas de ciberseguridad a nivel europeo) y también debería estar entre las principales preocupaciones de ciberseguridad de las empresas.
«Ante un ciberataque, una buena estrategia de protección previa puede ser la diferencia entre sobrevivir o bajar la persiana».
Cerrar la puerta con llave
Todo esto no debe abrumar. El primer paso es sencillo: reconocer el riesgo que las amenazas informáticas suponen también para las pequeñas empresas y destinar los medios adecuados para contrarrestarlos. Se trata de un cambio de mentalidad: «En el mundo real no sales de tu casa dejando la puerta abierta y las llaves puestas. En el virtual es lo mismo, hay que proteger el perímetro de tu infraestructura lo máximo posible», recordaba en un acto sobre la ciberseguridad en Europa el capitán de navío Enrique Cubeiro, alto mando del Área de Ciberdefensa de las Fuerzas Armadas.
Las empresas de ciberseguridad disponen de planes adaptados a las necesidades de las pymes, mientras que los operadores de Internet cuentan también con la posibilidad de contratar servicios de protección. Estos pueden ser complementados con la contratación de profesionales especializados en la materia, algo especialmente recomendado para aquellas organizaciones que desarrollan el grueso de su negocio en el ámbito online. Eso sí, hay que tener en cuenta en cuenta que el salario de este tipo de especialistas está bastante por encima de la media de profesionales del sector TIC. En términos de talento humano no existen las gangas: con sueldos por debajo de los 35.000 euros al año es probable que la persona no sea capaz o no tenga la experiencia necesaria para hacerse responsable de la ciberseguridad de una empresa, incluso aunque esta sea una pyme.
Por último, además del talento, los expertos coinciden en señalar que la formación es otro aspecto clave. Resulta básico que el personal de la empresa conozca las características de las principales amenazas informáticas. En ciberseguridad, el punto más débil de la cadena es siempre el factor humano. Instituciones como el INCIBE están haciendo un esfuerzo por acercar esta información a las empresas y trabajadores, y sus portales oficiales cuentan con abundantes datos y novedades sobre la evolución de los riesgos y la tipología de ataques activa en cada momento.
La digitalización es un objetivo prioritario para diversificar cualquier negocio y consolidar su presencia en la sociedad de las pantallas que gana cada vez más terreno. Pero en ese proceso, la ciberseguridad resulta clave para evitar que esa vía de supervivencia y crecimiento digital se convierta en ratonera. Ante un ciberataque, una buena estrategia de protección previa puede ser la diferencia entre sobrevivir o bajar la persiana.
También te puede interesar:
Servicios en la nube para la pyme
El Centro Criptológico Nacional lanza ÁNGELES, su nuevo portal de formación y cultura de ciberseguridad
¿Conoces las 5 ciberamenazas que ponen en jaque la seguridad de los dispositivos móviles?
Cómo protegerte de la ciberdelincuencia, un delito que se ha incrementado con el teletrabajo
