El rey del contraespionaje: el español que protege los datos informáticos del IBEX 35

Apenas son ocho personas trabajando en una discreta oficina de San Sebastián. Bien delante de sus ordenadores, bien gestionando a sus pocos clientes (apenas una decena) o bien saliendo a reunirse con ellos.

Sin embargo, tras las pantallas de esos ordenadores se encuentran varios de los datos informáticos más importantes de nuestro país. Además, quizá una decena de clientes parezca poco, pero lo cierto es que la mayoría de ellos son varias de las empresas más importantes de todo el IBEX35.

¿El artífice de todo esto? David Barroso, un ingeniero informático palentino que en septiembre de 2015 fundó CounterCraft, una compañía que en menos de un año se ha convertido en una de las 'startups' tecnológicas más prometedoras del mundo de la ciberseguridad y que acaba de levantar un millón de euros de financiación.

La clave del éxito: el contraespionaje

Muy grosso modo, CounterCraft se dedica a diseñar 'software' para que las grandes empresas, que por desgracia están acostumbradas a que muchos intrusos quieran acceder a sus datos confidenciales y robárselos, puedan evitarlo.

Sin embargo, esta 'startup' vasca ofrece un valor añadido: el contraespionaje. Es decir, la posibilidad de no sólo repeler cualquier ataque, sino también engañar y 'trolear' al atacante para que se piense que está accediendo a información que podrá robar... cuando en realidad es él el que está siendo espiado por la compañía en cuestión.

"Engañamos al atacante dándole información falsa, colgando cosas que no valen para nada..."

"Lo llamamos defensa activa", nos cuenta Barroso. "No sólo se trata de apagar fuegos, atrincherarte y protegerte, sino también de hacer todo lo posible –siempre desde el punto de vista legal– por adelantarnos al atacante, tenderle una trampa y así poder ver quién es, de dónde viene, qué quiere, qué va a mirar, cuánto tiempo está, qué herramientas utiliza, si hay más personas involucradas, a qué hora hace los ataques, si es la competencia, si es un gobierno, si es un criminal...".

Pero, ¿cómo se consigue esto? "Entreteniéndolo y haciéndole perder el tiempo: enseñándole cosas que en realidad no valen para nada, dándole información falsa, haciendo parecer que la empresa es muy grande cuando en realidad es muy pequeña (y viceversa)", etc.

Así se diseña una trampa antiespías

Ante algo así, la curiosidad es evidente: si damos por hecho que un posible intruso no va a ser idiota, precisamente, ¿de qué manera concreta se le puede tender una trampa para que pique en el cebo? "Jugamos mucho con el tema del engaño: por ejemplo, podemos crear servidores o servicios que parecen olvidados o poco seguros, pero que tienen (en apariencia) información importante", asegura.

De este modo, "el atacante puede creer que hay un agujero de seguridad, cuando en realidad ese servidor está siendo muy vigilado y lo vamos a cazar".

No basta con defenderse del atacante; le hacen creer que está seguro... mientras lo vigilan

Pero no es el único truco: "Imagínate que alguien está interesado en los planes estratégicos de una empresa. Como lo tenemos controlado, lo que hacemos es colocarle un documento con un plan estratégico que en realidad es falso, que ha sido modificado, para que piensen que la empresa va a hacer una cosa... cuando en realidad a lo mejor hará justo lo contrario".

¿Acaba aquí la cosa? En absoluto: "Podemos dejar puntos de acceso Wifi que parecen fácilmente accesibles, o documentos con planos que no son reales, o archivos que nos lanzan un aviso cuando son abiertos por gente externa y nos da toda la información de esa persona... Se trata de engañar al atacante", nos cuenta sin pestañear.

No expulses a tu enemigo; espíalo

Al final, el método de Countercraft tiene un doble objetivo y recompensa: en primer lugar, porque el atacante acaba perdiendo el tiempo y puede llegar a frustrarse; en segundo, porque con todo este despiste se consigue que dicho atacante esté mucho tiempo indagando en servidores en los que está siendo vigilado, con lo que la empresa en cuestión podrá recabar mucha más información sobre él.

Barroso, de hecho, recurre a una comparación muy ilustrativa: "Cuando los espías rusos iban a Gran Bretaña en la Segunda Guerra Mundial, si el MI5 [el Servicio de Seguridad inglés] los detectaba, no los detenía, sino que les dejaba hacer y los vigilaba de cerca. Si los detenía, antes o después serían sustituidos por otros, así que preferían tenerlos vigilados para saber qué querían hacer. Pues nosotros hacemos lo mismo: si detectamos a un intruso, antes de hacer nada preferimos vigilarlo y dejarle hacer, entretenerlo, hacerle perder el tiempo, etc".

Y es que, al final, "las empresas se dan cuenta de que tienen que acostumbrarse a vivir con el enemigo dentro. Porque cuanto antes lo echen, antes llegarán otros".

La pregunta a continuación parece evidente: cuando se identifica a esta persona, ¿qué se hace con ella? "Depende de cada caso. Si se trata de un empleado está claro: se le despide y se le pone una denuncia. Pero imagínate que se trata de un gobierno, que te está robando datos. ¿Qué haces ahí? Poco puedes hacer, más allá de hablar con el gobierno de tu país y que intenten echarte una mano. Ante una cosa así no puedes poner una denuncia, porque no te sirve de nada".

"Sí, claro que te puede espiar un gobierno"

Barroso no duda un segundo a la hora de describirnos el panorama actual en materia de seguridad informática: "Hoy en día es una guerra: gobiernos, empresas, criminales, los propios empleados que están siendo pagados por tu competencia... cualquiera puede espiarte o querer robarte información. Es una jungla, mucho más de lo que parece".

Es aquí donde nuestro lado conspiranoico sale a relucir: ¿realmente se pueden producir ataques de un gobierno de otro país? ¿De verdad ocurren este tipo de cosas? "Sí, la respuesta claramente es sí. También dependerá de la empresa, pero imagínate a una empresa española que compite con empresas de medio mundo por un contrato millonario en el extranjero. Es evidente que a todas las empresas que concursan les interesará ver el proyecto que van a presentar las demás. Bueno, pues no es sólo que las empresas se espíen entre sí, sino que también los gobiernos pueden ayudar a una empresa de su país para espiar a las demás".

"Un gobierno puede ayudar a una empresa de su país para espiar a la competencia extranjera"

Y es que "cuando hablamos de ataques informáticos siempre pensamos en los bancos, pero hoy en día cualquier tipo de empresa importante puede ser objeto de espionaje: si estás luchando por un gran contrato, si has encontrado petróleo en unos terrenos... A día de hoy el espionaje está a la orden del día", asegura.

Y en esas luchas está ahora mismo Countercraft, una 'startup' española que, en apenas un año de vida, ha conseguido la relevancia con la que soñaría cualquier empresa. Ahora, con el millón de euros de su ronda de financiación, la compañía contrará nuevo personal y, sobre todo, luchará por crecer centrándose en nuevo foco geográfico de clientes: las grandes empresas (energéticas, financieras...) de Europa y Oriente Medio.

Caso real: robo de datos a un bufete

En Teknautas le hemos pedido a David Barroso que nos detalle un caso real al que hayan tenido que enfrentarse: cuál era la problemática, de qué manera se engañó al atacante y cómo acabó todo.

Por motivos obvios, el caso real no es el de una gran compañía del IBEX35, sino el de un bufete de abogados.

---

Cliente: Bufete de abogados internacional
Amenaza: Robo de propiedad intelectual

Cuando un bufete sospecha que mucha de su documentación interna está siendo robada, lo que hacemos es desplegar una serie de trampas internas y externas para detectar cuanto antes qué hacen y quiénes son.

Estas trampas son de diferentes tipos: archivos que nos avisan cuando son abiertos y que se dejan en ciertos sitios (el portátil de un directivo, el servidor de ficheros...), puntos de acceso Wifi para ver quién se conecta, máquinas que parece tener fallos de seguridad, etc. Es decir, una telaraña de cosas que un usuario normal no encontraría (sólo son encontradas por las personas que están haciendo lo que no deberían).

Una vez que alguien cae en alguna parte de nuestra telaraña, intentamos sacar la máxima información de él, para poder saber con quién nos enfrentamos, e incluso podemos llegar a engañarle y manipularle: dándole información falsa, haciendo que pierda el tiempo, haciendo creer que lo que busca no está aquí, etc.