En alerta permanente: de las incursiones rusas en Elche al secuestro de la I+D de las pymes

Ciberseguridad: por qué Putin quiere entrar en tu servidor, bajo este título se celebró en Alicante Technology una charla donde se trataba de advertir de los riesgos a los que estamos expuestos cada vez que nos conectamos. Dos autoridades de la Guardia Civil en la materia y un experto abordaban una materia tan transversal como infinita en estos tiempos.

El epígrafe venía justificado por los datos que previamente había aportado Josué Castillo, jefe de la sección Técnica de Telecomunicaciones del Ayuntamiento de Elche. En una gráfica, expuso como la mitad de las intrusiones detectadas tenía su origen en Rusia en el último año. En concreto, 3.336 de las 6.440 detectadas por los diez principales países. El segundo punto de conflicto estaba en Países Bajos con 957; el tercero, Estados Unidos con 540. La lista la completaban Francia, China, Alemania, España, Corea del Sur, Gran Bretaña y Hong Kong.

TE PUEDE INTERESAR

La banca se enfrenta a una oleada de reclamaciones por fraudes 'online'

J. Zuloaga

Y puede ser que todos construyamos en el imaginario la idea de que la guerra ha disparado los ataques o que los hackers de sombrero negro sean mayoritariamente rusos; pero la mesa de expertos dejó esta afirmación muy en el aire. En concreto, el coronel Luis Fernando Hernández, jefe del Área Técnica de la Jefatura de Información de la Guardia Civil aseguró a El Confidencial que “no hay que buscar una causa directa en la guerra Rusia-Ucrania para entender lo que está pasando en el país, el cual está siendo sometido a mucha presión en el ciberespacio”.

El apetitoso botín de la I+D

La circunstancia es extensible a toda la Unión Europea desde hace años. “El elemento más disruptivo en estos momentos es el espionaje a estructuras financieras, sobre todo, a los departamentos de I+D de las empresas”, explicó el coronel a El Confidencial en una entrevista tras su intervención. El mando de la Guardia Civil subrayó que “el know how de las compañías europeas está siendo literalmente robado a través de Internet. Hay un problema muy grave y ya la Unión Europea hace poco más de un año dio una alarma que cifra que los incidentes en los entornos productivos de la UE habían originado la pérdida de más de 200.000 puestos de trabajo de personal especializado que trabajaba en desarrollo tecnológico”.

TE PUEDE INTERESAR

Profesionales, voluntarios y criminales: la ciberguerra sí importa en Ucrania

Daniel Iriarte

Pero, ¿es correcto señalar a un país determinado? El coronel, cauteloso ante este tipo de afirmaciones, apuntó: “Lo que pasa es que siempre hay un eje del mal, siempre hablamos de ciertos países. Nuestra experiencia desde la Guardia Civil es que el mal, lo mismo come hamburguesas que le gusta el arroz o come polvorones... No se puede hacer una atribución a un área geográfica específica porque para empezar están las acciones de falsa bandera o los problemas de atribución”.

Luis Fernando Hernández apuntó cómo los programas detectan el último nodo por el que pasó el atacante y desafortunadamente no hay correlación necesariamente. “Uno de los talones de Aquiles es la dificultad que existe para la atribución. Así como el espía tradicional al uso, el James Bond de turno, era británico y sí puedes determinar su nacionalidad o saber para quien trabaja, la cibercriminalidad es como un servicio y el ciberdelincuente vende sus habilidades a otros ciberdelincuentes y esos no tiene por qué ser un estado. Al final todo se traduce en el vil metal o en este caso, vil criptomoneda. Puedes llegar a determinar dónde fue el último punto de ataque, pero ni con mucho puedes hacer un planteamiento de atribución”.

La guerra como detonante

Independientemente de la nacionalidad, los expertos sí coinciden en remarcar el punto de inflexión que supuso la guerra contra Ucrania en el ciberespacio. El coronel del Instituto Armado lo confirma, pero en los “dos bandos”. “Por un lado, hay cibercriminales que, en el último momento, les ha salido un sentimiento patrio y han puesto sus habilidades, no al servicio del Estado, sino que van por libre. Ya ha ocurrido en casos conocidos como el de un ataque a una fábrica iraní, donde los autores se erigen en juez y parte y deciden aplicar sanciones. Es el argumento que utilizan y es muy peligroso. Otra cosa es que sea auténtico o sea una acción de falsa bandera”.

Los incidentes son más comunes de lo que pensamos y, tal y como revela el coronel, las alertas son permanentes. “Sí, ha habido incidentes y de hecho en la cumbre de la OTAN en Madrid tuvimos que activar todas las administraciones y, en este caso, liderados por el Centro Nacional de Inteligencia, Centro Criptológico Nacional junto con el mando conjunto del Ciberespacio y las unidades de investigación tecnológicas de Policía Nacional y Guardia Civil, establecimos un dispositivo especial de ciberprotección, porque había un grupo criminal que se llama Killnet —grupo ruso, eslavo, que ha dicho que apoya al régimen ruso— que amenazó con hacer ciberataques contra intereses españoles y de la propia organización de la OTAN. No hicieron nada”. Desde 2014, cuando hay un acto importante, se activa una célula de crisis con recursos de ciberprotección. Existe un paralelismo entre el nivel de alerta terrorista y ciberterrorista y España se encuentra en el grado 4 sobre 5 desde hace tiempo.

La protección de la IP

Frente a las administraciones están las empresas y, de acuerdo, con las últimas tendencias, las áreas de Investigación y Desarrollo de las compañías se han convertido en el nuevo botín de los piratas. Las Fuerzas y Cuerpos de Seguridad están realizando campañas informativas a través de las Cámaras de Comercio, porque “los datos son demoledores”, según el mando de la Guardia Civil. “Se calcula que en una ratio de tres años todas las empresas sufrirán algún incidente grave. Recientemente un observatorio de estudios de Navarra dio un dato preocupante: el 20% de las pymes tras sufrir un incidente grave como un ransomware, quiebra. No se recupera”.

TE PUEDE INTERESAR

Así se gestó un 'atraco virtual' de 240.000 euros a través de Bizum

Pablo D. Almoguera. Málaga

Para la Guardia Civil, uno de los datos más escalofriantes es que “hay un 24% de grandes compañías que cuando ven que la implantación de mecanismo de seguridad penaliza su capacidad productiva, prescinden de las estructuras de seguridad para seguir produciendo. Eso es una aberración porque estás desguarnecido, porque hoy produces, pero mañana…”, deja suspendida en el aire la afirmación el coronel Hernández.

El Gobierno, vía Incibe, y las áreas de la Policía Nacional y Guardia Civil que lidian con las denuncias recomiendan invertir. “Este mundo está muy complicado, pero para obtener un beneficio hay que invertir y no solo en máquinas sino en hardware y software de seguridad, pero hay que hacerlo en personas que sepan sacarles el máximo rendimiento a esas máquinas y lo que tenemos es que intentar que nuestra estructura y nuestra empresa se ponga en el percentil alto”, comenta, aunque es consciente de que no hay seguridad absoluta.

TE PUEDE INTERESAR

Los ciberdelincuentes también esperan los fondos UE: la 'estafa al CEO' es su arma

Pablo D. Almoguera. Málaga

“Personalmente me escandaliza, aunque ya no me sorprenden muchas cosas, cuando veo que empresas muy importantes sufren un ataque grave y cuándo le preguntas por la copia de seguridad y contestan: ‘Ahí es que tenemos un problema". El coronel advierte: “Lo primero que está pasando ahora es que los atacantes de ransomware es que te cifran los backups y luego van a por el sistema, cuando el objetivo es la extorsión. Creo que es una falta de rigor de estas empresas, no de los profesionales TIC que tienen que sufrir estar en la última fila de las inversiones. Eso es lo que intentamos modificar para que se den cuenta de que esto va muy en serio y que puede tener un impacto brutal en la actividad”