El coronavirus dispara los ciberataques

La extensión masiva del teletrabajo, con equipos informáticos y estados de ánimo más vulnerables, alienta los casos de ‘phishing’

25 mayo 2020 14:03 | Actualizado a 25 mayo 2020 14:27
Se lee en minutos
Para guardar el artículo tienes que navegar logueado/a. Puedes iniciar sesión en este enlace.
Comparte en:

Entre 70 y 150 dólares por inundar de spam un millón de direcciones de correo electrónico válidas. Entre 10 y 15 dólares por una cuenta de Play Station o de apuestas online. Entre 2 y 12 dólares por 1.000 seguidores en redes sociales. Entre 0,5 y 10 dólares por 1.000 cuentas de correo electrónico válidas. Entre 0,50 y 20 dólares por una tarjeta de crédito comprometida.

Son algunos de los precios de mercado que se mueven hoy por la Deep Web, ese 75% de la información que circula por Internet de forma ‘invisible’, sin estar indexada y accesible en los buscadores que solemos usar cuando queremos encontrar algo.

Y, aunque ni mucho menos toda la información no indexada responde a actividades ilícitas o delictivas, difícilmente vamos a encontrar un enlace en Google que nos venda «servicios de spam a demanda». Para encontrarlos habrá que bucear en la Deep Web, donde el ‘crime as a service’ (delincuencia como servicio) nunca como ahora había estado tan profesionalizado y orientado a cliente.

«El nivel de sofisticación de los ‘phishing’ de estas últimas semanas es tremendo» Xavier Gracia, Deloitte

Las acciones de phishing que han proliferado estas últimas semanas aprovechando la pandemia global de Covid-19 han puesto de manifiesto el grado de sofisticación y profesionalización de una industria, la del cibercrimen, que ya hace tiempo que dejó atrás el arquetipo del hacker solitario de sótano y sudadera para dar paso a modelos empresariales que seleccionan, atraen y retienen talento, que utilizan Inteligencia Artificial, análisis de datos, neuromárketing, redacción de contenidos con técnicas de clickbait y call centers con decenas y centenares de teleoperadores atendiendo llamadas.

«Hay ‘malware as a service’, con cibercrimen absolutamente industrializado. Todo es monetizable. Hay machine learning, Inteligencia Artificial, call centers enormes... el nivel de sofisticación de los phishing de estas últimas semanas es tremendo, combinando nuevas tecnologías y factor humano, con analistas». Es la visión que tiene Xavier Gracia, socio de Risk Advisory de Deloitte, que alerta del alto nivel de sofisticación que se ha detectado en este sector.

Igual de lejos que ese hacker solitario de novela pulp quedan aquellas campañas rudimentarias de phishing fácilmente detectables, entre las que ‘el mail de los nigerianos’ y otras variantes quedaron como ejemplos clásicos. Nada es parecido al cliché, ni por asomo. Menos aún durante estas últimas semanas.

Los ciberataques con técnicas de ‘phishing’ se aprovechan de la situación de angustia psicológica de mucha gente, más vulnerable a caer en la trampa.

Helena Rifà, profesora de los estudios de Informática, Multimedia y Telecomunicación de la UOC y directora del máster interuniversitario de Seguridad de las tecnologías de la información y la comunicación (MISTIC) en esta universidad, explica que, «aunque los ataques siempre están ahí, a partir de marzo ha habido un crecimiento importante».

«Durante el estado de alarma -prosigue Rifà- cambia el foco de esos ataques, que normalmente se llevan a cabo sobre todo a empresas, y con el teletrabajo se dirigen a la gente que está en sus casas».

«Una de las formas más exitosas -prosigue Rifà- es el phishing, que suplanta una página real para que tú pongas tus datos personales en otra falsa. Normalmente te llega un email en el que se recrea una web que parece real. Con el coronavirus, este tipo de cosas es más fácil que penetren en la sociedad, porque la gente se encuentra en situación de angustia, no está tan concentrada».

«Y si además -ejemplifica esta profesional- el correo electrónico que recibes es de la OMS, con una noticia bien redactada que te interesa, porque los atacantes saben que es un tema de interés, entonces la gente abre ese enlace a la noticia, sigue leyendo más noticias y acaba descargándose un mapa de calor para saber dónde hay más frecuencia de contagios, con una APP que acaba siendo un malware».

Los ordenadores domésticos han sido estos días una vía de entrada de ataques

 Sin enterarnos. Sin que nadie nos haya vaciado ninguna cuenta corriente. Porque un ataque con técnicas de phishing «no necesariamente es para vaciarte la cuenta corriente, sino para tener los perfiles personales de la gente, que luego se venden», explica esta profesional.

«Directamente no te van a vaciar la cuenta corriente -coincide Manuel Prieto, CEO de Easy Payment Gateway, empresa dedicada a los servicios de pago por Internet-, pero desde luego persiguen un beneficio económico. No es necesariamente dinero en efectivo. Si por ejemplo logro tu número de tarjeta de crédito y encuentro una web que me permite comprar un móvil con él, luego podré revender ese móvil. O si tú tienes una cuenta de Play Station con una serie de logros que has conseguido a base de jugar muchas horas, si te la roban te habrán robado dinero».

«Con el estado de alarma, cambia el foco de los ataques y se dirigen a la gente que está en sus casas» Helena Rifà, UOC

«Eso se extiende -prosigue Prieto- al caso de las empresas, donde puedo entrar en tu base de datos, falsear pedidos e insertar una serie de pedidos que luego no te pago, o conseguir una serie de datos personales de tus clientes para hacer ataques dirigidos a posteriori. Pongamos que tú tienes una floristería y yo accedo a tu base de datos -ejemplifica- y hago un phishing mandando un correo electrónico a todos tus clientes, como si fueses tú, con un enlace para descargar malware».

«A la floristería -prosigue Prieto- no le ha afectado el ataque, pero a tu cliente sí, con lo que vas a tener un daño reputacional enorme. Este tipo de ataques suelen planificarse con empresas mucho más grandes que una floristería, claro: pero si me lo pones muy fácil, me merecerá la pena una floristería».

El coronavirus en el centro   
«Todo es monetizable», insiste Xavier Gracia, de Deloitte, y el lugar en el que se monetiza esta información robada es esa Deep Web en la que se comercia con ella, pero donde también se ofrecen y contratan servicios a demanda, con organizaciones delictivas bien estructuradas en marketing, ventas y logística, orientadas a la satisfacción del cliente y con servicios online las 24 horas del día, siete días a la semana.

«En el mercado negro -explica Helena Rifà, de la UOC-, lo que se hace con el phishing es acceder a perfiles y comportamientos, a la manera de hacer de la gente, y cada vez los precios son más altos, porque cada vez hay más aplicaciones que te permiten extraer más datos, con tracking de dónde viene la gente, dónde se concentra, con mapas... Se ha diversificado mucho la oferta y se lleva a cabo el ‘crime as a service’, donde compras el servicio que te interesa. Y eso va desde los datos en bruto a servicios que hayan pasado esos datos por procesos. El mundo del ciberataque ha ido evolucionando de forma análoga al resto, y eso implica análisis de datos, Inteligencia Artificial...».

«Desde finales del pasado mes de marzo -prosigue esta profesora de la UOC, que la semana que viene organiza un congreso sobre ciberseguridad y ciberataques durante el estado de alarma-, en España se han estado sucediendo unos 2.600 ataques diarios, con la creación de muchos dominios relacionados con el coronavirus, de los cuales muchos contenían algún tipo de malware».

Desde finales de marzo, en España se están llevando unos 2.600 ciberataques al día, de los cuales los ataques con técnicas de ‘phishing’ y vinculados a la Covid-19 son una parte fundamental.

 «Muchas de estas páginas -añade Rifà- que proliferaron a partir de marzo contenían fake news muy llamativas y muy bien hechas. Los ataques tienen mucha parte psicológica, y por eso es importante conseguir captar la atención, recurriendo a gente experta en psicología», pero también en redacción de contenidos. «Es un ámbito muy interdisciplinario, no es solo algo de tecnólogos».

Xavier Gracia, socio de Risk Advisory de Deloitte, coincide en que «todos los ciberataques externos de phishing han aumentado mucho con el reclamo Covid-19, y se han registrado dominios y verdaderas campañas para fraudes a usuarios y empresas, por ejemplo con enlaces a vacunas. En estas semanas se ha tenido que poner el foco de la ciberdelincuencia en la concienciación sobre el ‘topic’ Covid-19, con mucha atención a contener estas campañas basadas en Covid-19».

Manuel Prieto, CEO de Easy Payment Gateway, explica que «cuando hablamos del usuario final, nos encontramos en una situación en la que no somos más vulnerables que hace tres meses, pero sí que estamos más predispuestos. El coronavirus nos ha preocupado mucho y ha dado un motivo a la población que se preocupa para que haga una acción. Cuando estás en una situación más sensible eres más propenso a picar, y así es como es más fácil que vayas a un mapa en Internet y toques algo que te instala un malware o un virus».

De promedio, en los hogares españoles ha habido estos días 4 dispositivos funcionando de forma simultánea, bien sea por motivos de teletrabajo, bien sea por educación online.

A esta situación de mayor vulnerabilidad psicológica debe añadirse el impacto que ha tenido el teletrabajo masivo, y que Xavier Gracia, de Deloitte, describe como «el test de estrés más grande de la Historia en teletrabajo». Un test de estrés que, en su opinión, se ha pasado con mejores y peores notas, en función del área que se analice, pero donde sin duda la ciberseguridad es el aspecto que sale en peor lugar.

«Cuando teletrabajamos -explica Gracia-, no solo tenemos que conectarnos a un correo, sino a unos procesos. Una parte importante es la protección End Point, que es ese dispositivo pegado al usuario, que habitualmente se encuentra en la oficina, y que sería el eslabón más débil de la cadena. Como que hemos tenido que sacarlo de la empresa y conectarlo a un ADSL doméstico no securizado, muchas empresas han tenido que dedicar esfuerzos a securizar esos End Point».

«Luego -prosigue Xavier Gracia, de Deloitte- están las aplicaciones de teletrabajo, con ejemplos como Microsoft Teams o Zoom, que han generado agujeros de seguridad, y hemos tenido que ir aprendiendo a utilizarlas y a configurarlas con ciberseguridad».

Ordenadores domésticos
Pero no todo el mundo ha podido llevarse un dispositivo securizado desde su empresa. «Con la Covid-19 como cebo, hemos ampliado el perímetro de exposición -prosigue Gracia-, digitalizando procesos en tiempo récord; algo que seguro que se tendrá que revisar. A ello hay que añadir el uso de dispositivos personales, donde muchos empleados han tenido que usar el ordenador de casa para teletrabajar, con los riesgos de ciberseguridad que ello implica».

Sistemas operativos desactualizados y con brechas de seguridad son solo uno de los ejemplos que acuden a la mente cuando se piensa en esos riesgos de ciberseguridad provocados por el uso masivo de ordenadores domésticos. «De media -explica Xavier Gracia-, en las casas hay a día de hoy cuatro dispositivos trabajando de forma simultánea. En términos de comunicación, este test de estrés masivo que se le ha hecho al teletrabajo ha ido muy bien. En términos de adopción ha ido bastante bien».

«En términos de ciberseguridad, en cambio, para las grandes organizaciones que ya contaban con políticas de Bring Your Own Device (trae tu propio dispositivo) y que colocaban en ellos software para protegerlos y, por ejemplo, borrar remotamente los datos de un móvil si lo pierdes, no ha habido grandes cambios si exceptuamos el ordenador de casa, que no estaba en esa política», señala este profesional de la ciberseguridad.

Las pymes han sufrido más los efectos de los ciberataques durante estas semanas

En una política Bring Your Own Device, un empleado aporta un dispositivo propio, sea un móvil o un ordenador, con el que además de su uso personal tendrá acceso a datos de la empresa tales como su correo electrónico, con la condición de que la empresa instale en él medidas para proteger su información de empresa. Para una gran empresa, hacer entrar un ordenador doméstico en sus políticas Bring Your Own Device no supone un gran cambio. Pero no ha sido el caso de las pymes.

«Si bien es cierto que las pymes no reciben tantos ataques dirigidos como las grandes empresas, cuando los reciben, la mayoría no se paran», explica Xavier Gracia. «El ciberataque dirigido es el que menos se da. La mayoría van a buscar vulnerabilidades (un sistema operativo sin actualizar, un clic en un enlace que descarga un malware) y no se trata de ‘a nosotros quién nos va a atacar’, sino de la tecnología que tienes para protegerte».

Un estudio del Instituto Nacional de Ciberseguridad (INCIBE) cifra el coste de los ciberataques en las pymes en un impacto medio que se sitúa entre los 20.000 y los 50.000 euros, con el cifrado de datos como una de las prácticas más lucrativas.

Entre 20.000 y 50.000 euros   
A lo largo del año pasado, solo en España se registraron al menos 120.000 incidentes de ciberseguridad, una cifra que según datos de Sophos multiplica por siete los ataques a empresas en comparación con 2014. Las mayores afectadas por este tipo de delincuencia fueron las pequeñas y medianas empresas (pymes), que están en el punto de mira de los ciberdelincuentes: más de la mitad de ellas, el 53%, reconoció haber sido víctima de un ciberataque en 2017, según el informe SMB Cybersecurity Report de Cisco

Sin embargo, esa cifra podría ser en realidad mucho más alta. Como explica Helena Rifà, de la UOC, «reconocer que se ha sido víctima de un ciberataque no da buena imagen, por lo que solo sale a la luz una parte de las empresas que han visto comprometida su seguridad. Pero se calcula que en realidad el porcentaje de las que han sido atacadas puede superar el 80%».
Ante este riesgo, las pymes necesitan adelantarse al problema y ser proactivas. «Si se actúa cuando la seguridad ya se ha visto comprometida, el coste económico es mucho mayor», explica Rifà.

«No somos más vulnerables que hace tres meses, pero sí que estamos más predispuestos» Manuel Prieto, Easy Payment Gateway

Un estudio del Instituto Nacional de Ciberseguridad (INCIBE) cifra el coste de los ciberataques en las pymes en un impacto medio que se sitúa entre los 20.000 y los 50.000 euros, con el cifrado de datos como una de las prácticas más lucrativas.

Sin embargo, si los ciberdelincuentes consiguen lo que buscan es porque aprovechan un agujero tecnológico, por lo que solo la formación de trabajadores y empresarios no resuelve el problema. También es necesario contar con un sistema bien diseñado.

«Las empresas -concluye Xavier Gracia, de Deloitte- tienen que tener una estrategia, tienen que ser seguras y tienen que ser resilientes. Porque tienen que asumir que les van a atacar. Poner la amenaza en el centro y pensar, sobre todo en el caso de las pymes, que si la digitalización no tiene marcha atrás, la parte de ciberseguridad tiene que ir de la mano».

Comentarios
Multimedia Diari