Economía

Los hackers nunca duermen

El cibercrimen se sofistica y profesionaliza mientras las empresas se quedan atrás y agrandan la brecha de sus vulnerabilidades

Tan simple como coger el móvil, teclear en el buscador «Have I Been Pwned?», entrar en esa web e introducir nuestra dirección de correo electrónico. A poco que tenga vinculada con él la cuenta de algún servicio online o red social, hay altas probabilidades de que su correo esté hackeado. Es decir, que su dirección de email y su correspondiente contraseña circulen por la red, con toda probabilidad metidos en un paquete con otros millones de direcciones de correo y sus contraseñas, en el mercado de la ciberdelincuencia.

Troy Hunt, el experto en seguridad australiano que en diciembre de 2013 creó esta web (cuya traducción al castellano sería «¿He sido hackeado?») para concienciar a los usuarios de Internet de lo vulnerables que somos, lleva contabilizadas más de 4.800 millones de cuentas de correo electrónico hackeadas en todo el mundo. Y seguirán subiendo, a decir de los expertos.

Robos masivos de contraseñas, ataques ransomware, ataques de denegación de servicio y ataques a la Internet de las Cosas son la principales ciberamenazas que afrontan hoy las empresas

«Hay dos tipos de contraseñas: las que han reventado y las que todavía no», explica Tomàs Roy, director del área de Estratègia de la Ciberseguretat del Centre de Seguretat de la Informació de Catalunya (Cesicat). Pero el hecho de que, casi con toda seguridad, acabarán en manos de algún hacker, es una realidad. «La gente no es consciente de ello -prosigue y de que se compran y se venden en el mercado credenciales [contraseñas] que se utilizan para ver el correo o hacer copias de los móviles».

Es el caso de los 164 millones de direcciones de correo electrónico y contraseñas robados a Linkedin en 2012 que, cuatro años después, se pusieron a la venta en la Internet oscura, tras haberse guardado ahí a la espera de que se diesen las ‘condiciones de mercado’.

«Hay gente atacando en Dropbox, Linkedin, Facebook... y por otro lado tú sigues reutilizando la misma contraseña una y otra vez, sin cambiarla», insiste Tomàs Roy. Para este experto en ciberseguridad, los robos masivos de credenciales (correos y contraseñas asociadas) son, junto a los ataques ransomware (basados en aprovechar la vulnerabilidad de algún software sin actualizar y el descuido de alguna persona que le da al click de ratón equivocado), los DDoS (ataques de denegación de servicio, encaminados a hacer ‘caer’ una web) y los ataques a la Internet de las Cosas (IoT), las principales amenazas que afrontan hoy las empresas.

Tercer riesgo mundial
En la edición de 2018 de The Global Risks Report que elabora el Foro Económico Mundial, los ciberataques y el robo o fraude de datos aparecen en la tercera y cuarta posición, respectivamente, del ‘top diez’ de los riesgos mundiales más probables para este año, por detrás de los fenómenos climáticos extremos y de los desastres naturales, y por delante de riesgos como las migraciones masivas de población involuntarias o el fracaso en la mitigación y adaptación al cambio climático.

Los ciberataques y el robo o fraude de datos aparecen en la tercera y cuarta posición en el 'top diez' de riesgos mundiales más probables para este 2018 

Los ciberataques ocupan, además, la sexta posición en el ranking de los riesgos con mayor impacto, que encabezan las armas de destrucción masiva, seguidos por riesgos medioambientales de diversa índole y de suministro de agua, pero por delante de riesgos como las crisis alimentarias o la proliferación de enfermedades infecciosas.

El impacto del cibercrimen sobre las empresas es notable, y va al alza. Un reciente informe de la empresa de ciberseguridad Kaspersky Lab cifraba en 74.000 euros el coste medio en 2017 de un incidente de ciberseguridad en una pyme. Un año antes, ese coste era de 72.000 euros. En las grandes empresas, el coste medio pasaba de los 720.000 euros por incidente en 2016 a los 830.000 euros en 2017. Nada indica que esta tendencia al alza remita.

El coste medio de un incidente de ciberseguridad era en 2017 de 74.000 euros para las pymes y de 830.000 euros para las grandes empresas

«Desde hace dos años, estamos viendo una profesionalización por parte de la ciberdelincuencia», explica Tomàs Roy, que añade que «es un negocio lucrativo, más que el mercado de la droga, que adopta términos de empresa como el ‘Crime as a Service’ [por encargo] y con tipos de ataques cada vez más adaptativos a su entorno».

Pero donde realmente está el potencial de crecimiento de los riesgos es en el sector industrial, que está abrazando la transición a la Industria 4.0 con equipos especialmente vulnerables. «Mientras en el área IT [tecnologías de la información] las amortizaciones de las inversiones son entre 6 y 10 años -explica Roy-, en la Industria esas amortizaciones tardan entre 20 y 30 años, así que las empresas que están entrando en la Cuarta Revolución Industrial han adoptado una tecnificación sobre sistemas y redes muy viejas, no preparadas para esto, y la exposición [al riesgo de un ciberataque] es muy grande».

Y la brecha se agranda. «Frente a un cibercrimen mucho más lucrativo y especializado -concluye Tomàs Roy- hay una protección de empresas que no ha avanzado de la misma manera».

Glosario de términos

  • IIoT  La Industrial Internet of Things (IIoT) es la Internet de las Cosas (IoT, en sus siglas en inglés) llevada al ámbito de las actividades industriales. Se trata de una red formada por un conjunto de objetos conectados a Internet que se pueden comunicar entre sí y con humanos para transmitir y tratar datos, con o sin intervención humana. En el ámbito industrial (IIoT), a los riesgos inherentes que tiene toda empresa se le añaden los de la seguridad industrial. Un ciberataque a una industria conectada no sólo afectará el área de seguridad (security), sino que también tendrá impacto en la seguridad industrial (safety). Los efectos de un ataque a los dispositivos conectados de una instalación industrial (por ejemplo, una planta química) o una infraestructura crítica (una central nuclear, una planta de tratamiento de aguas) van más allá de los de un ‘simple’ robo de información, y pueden tener implicaciones físicas devastadoras en su entorno inmediato.
  • DDoS El ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) sigue siendo uno de los más extendidos y populares entre los ciberdelincuentes. Consiste en bombardear el servidor en el que se encuentra alojada una página web o servicio online con múltiples peticiones de conexión, masivas y simultáneas, hasta provocar la saturación de ese servidor y la denegación a los usuarios legítimos de acceder a los contenidos alojados. Lo que popularmente se conoce como tener una «web caída». Con la profesionalización de la ciberdelincuencia y su ‘salida al mercado’ como ‘Crime as a Service’ (en el que los profesionales del cibercrimen ofrecen sus servicios por encargo a potenciales clientes), contratar un ataque DDoS a una empresa cuesta hoy «unos pocos euros», según fuentes del sector de la ciberseguridad. Los efectos de uno de estos ataques sobre un negocio basado en el tráfico de usuarios (como por ejemplo, una pyme dedicada al comercio online) pueden ser catastróficos.
  • APT Una amenaza persistente avanzada (APT, en sus siglas en inglés) es un ataque a gran escala, oculto, sofisticado y continuo dirigido hacia una entidad específica con el fin de penetrar su seguridad informática. Una APT generalmente fija sus objetivos en organizaciones o naciones por motivos económicos o políticos, y requiere largos periodos de tiempo y técnicas sofisticadas. El ‘beneficio’ de este tipo de ataques no siempre tiene que ser a corto plazo, y las motivaciones de quienes los perpetran son diversas. La extorsión económica a cambio de no divulgar la información confidencial extraida es una de las consecuencias más habituales, pero no es la única. Mientras los ‘Black Hat Hackers’ atacan con el objetivo de robar, destruir información o simplemente por satisfacción personal, hay otros perfiles como los ‘Hacktivists’, cuyas motivaciones para esos ataques son políticas o sociales, e incluso los ‘White Hat Hackers’ que, una vez han penetrado en el sistema, informan al administrador de sus vulnerabilidades.
Sigue navegando