Hay otra pandemia, pero es invisible. Una infección descontrolada, aunque dirigida, que se estima que causará pérdidas por cinco billones de euros en todo el mundo durante 2021. Solo en Asturias, según los expertos del sector, más de 350 empresas sufren cada día algún tipo de ciberataque. Si los datos siguen así, cada compañía sufrirá dos hackeos al año. Secuestros, robos de información, extorsiones o estafas. Y las administraciones públicas tampoco se libran. El gran problema, como con el virus, es la movilidad. Un tránsito que en la aldea global de la red se llama interconexión. No parece importar el nivel de seguridad de los servidores, nadie está a salvo y la región está sufriendo una oleada de ataques. Una asturiana experta en ciberseguridad apunta a un caso concreto. En 2017 Telefónica sufrió un hackeo masivo. “Y ellos tienen al mejor”, señala. Se refiere al famoso hacker Chema Alonso, a quien la compañía fichó el año anterior como jefe de datos. “Si le hackearon a él, pueden hackear a cualquiera”, sentencia. El último caso sonado en Asturias (un hackeo a la empresa Asac Comunicaciones) puso en jaque a administraciones públicas de todo el país. Un “error humano”, en el que alguien hizo clic en el enlace que no debía, derivó en una brecha en la seguridad de la tecnológica asturiana y, todos sus clientes terminaron por verse afectados. Entre ellos, organismos estatales que manejan información sensible.
Una parte del riesgo de los hackeos es la sustracción de datos, el otro, la parálisis. Numerosos trabajadores de decenas de entes públicos estuvieron de brazos cruzados durante unos tres días cuando Asac sufrió el ataque. La cifra se celebró como un éxito. Durante las primeras horas, se temía que el hackeo dejase sin actividad a los clientes durante “dos semanas”. Hay quien, como el Servicio Público de Empleo Estatal –que sufrió un ciberataque recientemente– tardó meses en volver a la normalidad. Con el objetivo de minimizar unos daños cada vez más sangrantes en la economía española, el Gobierno ha anunciado que invertirá 450 millones de euros para impulsar la industria de la ciberseguridad.
Los datos de los hackeos
350
Cada día, más de 350 empresas asturianas sufren algún tipo de hackeo, según las empresas especialistas del sector. De media cada empresa sufrirá unos dos ataques al año.
5 mill.
Hasta cinco billones de euros le costarán a la economía mundial los ataques informáticos durante este 2021, según los cálculos de Cybersecurity Ventures
450 mill.
El Gobierno invertirá unos 450 millones de euros en materia de ciberseguridad, para tratar de minimizar los daños de unos ataques cada vez más comunes
10 mill.
Los hackers piden rescates en criptomonedas para no ser rastreados por los cuerpos de seguridad. En 2020 a EDP le pidieron hasta 10 millones de euros por no difundir información
Marco Antonio Prieto, director técnico de la tecnológica asturiana que sufrió el último ciberataque, tiene en su despacho varios premios de ciclismo. Conoce la comparación. La relación entre los hackeos y la ciberseguridad es la misma que tienen el “dopping” y el antidopaje. Hay quien se dedica exclusivamente a encontrar debilidades en los muros defensivos de los servidores de empresas y administraciones. Y los buenos “suelen ir por detrás”. Es por eso que, a veces, es imposible evitar los ataques. Su empresa, con sede en Llanera, está entre las seis de España con más altos estándares de seguridad. Ha sido de las últimas en caer, aunque también de las más rápidas en “levantarse”. Lo que ha reforzado su reputación a nivel nacional. Desde el Centro Criptológico Nacional (CCN-CERT), dependiente del CNI y donde siguen investigando el incidente, apuntan a las habilidades técnicas de los trabajadores de Asac como “su principal fortaleza y la razón por la que la amenaza no fue a más”. Tras el éxito, ya les han llamado, por ejemplo, de la Diputación de Segovia para que les brinden su ayuda a resolver un ciberataque que también tumbó sus servidores.
La empresa tiene un sinfín de contratos con empresas y administraciones de todo el país. Entidades de la talla del Tribunal de Cuentas o el Consejo de Seguridad Nuclear confían su información al servicio “en la nube” de Asac. Con tal cantidad de contratos, que un cliente llame informando de que ha sufrido un hackeo es algo habitual. Reaccionan rápido. Movilizan trabajadores, devuelven la normalidad a los servidores y fin de la historia. O eso es lo que suele pasar.
A principios de mayo recibieron una de esas llamadas. La afectada era, como suele ocurrir, una empresa. Cada vez es más común que los hackers ataquen a empresas o incluso autónomos. Los técnicos limpiaron los servidores. Pero “algo”, todavía no saben el qué, se quedó escondido en algún rincón del sistema informático. Y los hackers, que operaban desde el extranjero y habían lanzado un ataque “básico” contra la empresa, uno de tantos, vieron una brecha en ese servicio en la nube. Como si mirasen por el ojo de una cerradura, pudieron atisbar un horizonte más suculento: la abrumadora cantidad de información que maneja la tecnológica asturiana.
Desde los ordenadores de la firma se colaron en “una pequeña parte de los servidores de Asac”. Allí están los datos de ayuntamientos, diputaciones, organismos nacionales clave (como la Unidad de Inteligencia Financiera del Gobierno), instituciones culturales, empresas municipales de movilidad o autoridades portuarias... Era la una de la mañana del 8 de mayo y en el búnker de Llanera, donde se alojan los servidores de la firma, un trabajador observó una anomalía en los datos que alojan las grandes pantallas que adornan las paredes de la sala. Las decisiones se tomaron tan rápido que fueron “a espaldas de los jefes”. Alguien estaba intentando entrar sin estar invitado y ya estaba cruzando la puerta. La solución preventiva: un apagón total. Las consecuencias, dejar sin servicio a la mayoría de sus clientes. En una situación incierta, la decisión, dado el resultado y los comentarios del Centro Criptológico, fue la correcta.
Cuenta Marco Antonio Prieto que a él le llamaron pasadas las cuatro de la mañana, cuando todo estaba apagado. Rápidamente se movilizaron, comunicaron la incidencia a las fuerzas y cuerpos de seguridad y a los clientes afectados. La amenaza, como gran parte de las que se registran en el mundo, parece proceder de Rusia.
Casi en broma, durante “la resaca” de unas semanas trabajando a doble turno para restaurar los sistemas dañados y comprobar que la infección no se había extendido hasta resultar una amenaza real para la seguridad nacional, los trabajadores de Asac se refieren a los hackers como “los rusos”. Aunque apuntan que el origen de los atacantes todavía es incierto y es probable que nunca se sepa.
Como en la gran mayoría de los ciberataques, los altos cargos de la empresa tuvieron la oportunidad de hablar con los piratas. Poco después del hackeo llegó un correo desde una dirección de la “deep web”, la parte no accesible de la red en la que se aloja la delincuencia. “Mantuvimos el contacto con ellos hasta el pasado jueves”, relata el directivo de la empresa. Desde el CNI les indicaron que alargasen el contacto lo máximo posible, pidiesen pruebas de la información a la que pudieron acceder y que tratasen de “sacarles de las criptomonedas”. Los hackers, que se comunicaban en un inglés “bastante correcto”, pidieron, en primer lugar, un rescate a la empresa. Un puñado de bitcoins que, al cambio, rondaba en esas fechas el millón de euros. Si pagaban, los piratas se comprometían a dejar libres los servidores que habían encriptado y a no difundir la información que, aseguraban, habían sustraído.
Explica Prieto que pagar es “absurdo”. Si pagas y no cumplen no puedes reclamar a nadie. Nadie te garantiza que los delincuentes vayan a cumplir. De hecho, cuenta, es bastante común que las compañías cedan al chantaje, porque no pueden estar paradas durante el tiempo que tardan en recuperar sus servidores y poder volver a trabajar. Al tiempo que los hackers se colaban en Asac, ocurría lo mismo al otro lado del Atlántico. La empresa americana Colonial Pipe sufría un ciberataque que afectó a uno de los mayores oleoductos del país. La infraestructura se paralizó.
Los hackers que atacaron a la empresa estadounidense, según el FBI, están vinculados a un grupo llamado DarkSide, que se cree que operan desde Rusia o Europa del Este. En este caso, con subidas del precio de la gasolina en EEUU y pérdidas millonarias para la empresa, Colonial decidió pagar. También en criptomonedas, desde la empresa enviaron 4,13 millones de euros a cambio de la contraseña que liberase la infraestructura. Tras esto, el gobierno americano ha manifestado que perseguirá con igual dureza los ataques informáticos y el terrorismo.
El ciberataque operado por el grupo DarkSide es similar al que se cree que se lanzó sobre Asac, un virus de tipo “ransomware”. Un programa informático capaz de secuestrar los servidores de la empresa y que solo la libera con una contraseña solo conocida por ellos. Adivinarla sin pagar puede llevar meses o años. Y, el chantaje, suele ser más económico que las consecuencias de la parálisis.
Uno de los encargados del área de Seguridad de la facultad de Ingeniería Informática de la Universidad de Oviedo apunta a que el hackeo sufrido por Asac tiene su origen en el crimen organizado. No se trata de un joven encapuchado tecleando en un portátil desde su habitación. Los ciberdelincuentes son “profesionales” y actúan como una “mafia”. Suelen pedir “elevados rescates y están dispuestos a negociar”, explica. Aunque, relata, la mayoría de las empresas nunca admitirá haber cedido al chantaje o haber sufrido un hackeo, porque puede tener “un daño reputacional grave”. Si bien, insiste en que, en principio no se debe pagar, añade que ocultar el ciberataque es “un absurdo”.
“Por muy grande o buena que sea tu empresa, no estás a salvo de que el día de mañana alguien desarrolle un programa para el que no estás preparado”, asegura un experto en ciberseguridad que colabora con las fuerzas de seguridad en algunos casos. Además, compartir esa información servirá para que otros “puedan prepararse para un ataque similar”, indicia.
Es una amenaza global, constante y muy lucrativa para los delincuentes. La empresa EDP, con sede en Oviedo, sufrió un ciberataque en abril de 2020. Entonces, los piratas pidieron unos diez millones de euros en bitcoins a cambio de no hacer pública la información que decían haber sustraído. Normalmente, explican desde la empresa, te amenazan “mandando una prueba, una parte de la información a la que han accedido, una captura de pantalla de los ficheros, algo”. El mismo profesor de la Universidad de Oviedo recuerda que en el caso de la eléctrica, “tardaron más de un mes en volver a funcionar al cien por cien”.
Fue esto lo que tranquilizó a Asac. Cuentan desde la empresa que, en el intercambio de correos con los piratas, solo les mencionaron un nombre, el de la primera empresa en la que habían entrado. Así, vieron que no había peligro. Teniendo clientes que trabajan con información de alto valor estratégico para el país, que los hackers hicieran referencia a una pequeña empresa hacía ver que el peligro era menor del que pudo parecer en un primer momento. Hubo dos factores que sirvieron para salvar los muebles, la rápida reacción de los trabajadores y su amplio volumen de datos. Calculan desde la tecnológica que, con la velocidad de conexión que suele haber en la región desde la que se cree que se operó el ataque y la cantidad de datos que manejan en su servicio en la nube, para descargar los ficheros hubieran tardado días. Y el tiempo que pasaron dentro de los servidores no fue, ni siquiera, peligroso.
De momento, siguen trabajando en limpiarlo todo. La amenaza es difícil de detectar. En el Ayuntamiento de Castellón, por ejemplo, que sufrió un hackeo importante, pasadas unas semanas, cuando se creía que todo había acabado y se había solucionado, información que se le había sustraído a su servicio de policía local, acabó publicada en la “deep web”. Datos de violencia de género, de tentativas de suicidio, nombres, direcciones...
Al margen de los grandes ciberataques, como el que también sufrió la empresa GAM, resultan habituales otras estafas a menor escala y que ha padecido, por ejemplo, el Ayuntamiento de Oviedo. El timo del CEO, en el que un pirata se hace pasar por un contratista habitual, para engañar a los empleados y solicitar transferencias a cuentas de su propiedad. La estafa se ha perfeccionado y ahora los delincuentes llegan, incluso, a usar mensajes de audio enviadas al móvil de los trabajadores con instrucciones sobre cómo hacer la transferencia usando técnicas de imitación de voz para hacer creíble la suplantación del empresario.
Los delincuentes van por delante y, luego, vienen las medidas. Tras los recientes hackeos que tuvieron lugar primero en el SEPE y, después, en la empresa asturiana (viéndose afectadas unas cuarenta administraciones públicas) el Gobierno de España ha reaccionado. El pasado 26 de mayo se aprobó el nuevo “Plan de choque de ciberseguridad” y la implantación del Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS). El COCS reforzará las capacidades de vigilancia, protección y respuesta ante incidentes de ciberseguridad. Así, el Estado redoblará su inversión en ciberseguridad para trata de poner freno a la amenaza silenciosa de la otra pandemia.
