España bajo (cíber)asedio

Carlos Hidalgo

Mientras España celebra o lamenta una nueva copa de Europa del Real Madrid, celebra el ascenso a una división superior de su equipo o se lamenta por su descenso, es más que posible que los datos personales de casi todo el país se estén subastando en algún foro de la llamada web oscura.

Todas o casi todas las empresas del IBEX 35 han sufrido ciberataques a lo largo de los cuatro últimos años. Ataques en los cuales se han robado datos de sus clientes, proveedores y usuarios. Teniendo en cuenta que muchas de las empresas del IBEX nos son imprescindibles para poder vivir en sociedad (ya sean eléctricas, empresas de telecomunicaciones, bancos, constructoras o cadenas de supermercados), el alcance de esos ataques afecta a casi todos los habitantes de España. Por no hablar de los ataques a entidades públicas, como ha sido el caso de la DGT o el del Poder Judicial, cuyas bases de datos son enormemente vulnerables y han sido asaltadas muchas veces.

Para añadir más incertidumbre a este sombrío panorama, hay empresas que sufren estos ataques y que no informan de ellos, en un vano intento de echar tierra sobre el problema y fingir que nunca ha pasado.

Que España es objetivo para los ciberdelincuentes no es ningún secreto y es algo que lleva sucediendo desde hace años. Y muchos de los ataques informáticos no vienen solo de bandas de delincuentes, sino que también están patrocinados por agentes estatales. Por ejemplo, dos de los grupos más peligrosos de los que intentan ciberasaltos en España, conocidos como APT (las siglas en inglés de “Amenaza Persistente Avanzada”), tienen vínculos con los servicios de inteligencia militar de Rusia y de China.

El Estado, por supuesto, busca sus maneras de defenderse. El Centro Criptológico Nacional (el CCN, que forma parte de la estructura del CNI) ha puesto a disposición de todas las administraciones públicas y de algunas de nuestras empresas estratégicas, herramientas que permiten prevenir algunos de esos ataques y planes de formación para evitar caer en algunas de las trampas de los ciberdelincuentes. Lo mismo puede decirse del INCIBE, el Instituto Nacional de Ciberseguridad, así como de las fuerzas y cuerpos de seguridad del Estado. Todas estas instituciones, más otras creadas por las universidades y por las comunidades autónomas, se han esforzado por llamar la atención sobre este tipo de delincuencia y de prevenir los ataques informáticos, a personas y entidades por igual.

Y es en el caso de las personas donde más esfuerzos se ha de hacer. La formación y concienciación en ciberseguridad ha de ser tan natural para nosotros como las medidas de prevención que tenemos al salir a la calle para evitar robos. Y esto no se aplica solo a los ciudadanos de a pie, sino también a las personas con responsabilidad o acceso a datos más delicados. Los ataques simulados por parte del CCN o de empresas de ciberseguridad a empresas o entidades estratégicas muestran que sus mandos superiores tienden a ser enormemente descuidados a la hora de lidiar con emails extraños, llamadas fuera de lo habitual o la protección de sus credenciales de acceso.

En un caso de hace cuatro años, un grupo de apenas una quincena de ciberdelincuentes se las apañó para robar 18 millones de dólares a un banco de Hong Kong con una simple llamada de teléfono a su director en la que se hicieron pasar por uno de los clientes más importantes de la entidad. Y todavía no se ha conseguido localizar a los responsables. Hoy en día, para un golpe similar, harían falta muchas menos personas y las herramientas para falsificar la voz de cualquiera son tan accesibles como un filtro de Instagram.

En cualquier caso, vistos los ataques que ya conocemos, podemos prepararnos para una oleada de suplantaciones, ciberestafas y publicidad no deseada basada en los datos que han sido robados. Consecuencias de no estar totalmente preparados para una guerra que lleva ya muchos años librándose.

Deja una respuesta