En 2015 hubo un aumento del 50% en incidentes relacionados con seguridad informática, y España suele ocupar entre el tercer y cuarto puesto de países más atacados, según se puso de manifiesto durante del desayuno informativo que se cele el pasado mes de marzo en la Universidad Pontificia Comillas ICAI-ICADE bajo el título de “Ciberseguridad: tecnología del futuro para una amenaza del presente”.
En él, los expertos en ciberseguridad en ámbitos tecnológicos y legislativos han destacado que nuestros datos privados y los que almacenan las empresas de nosotros están cada vez más expuestos a los ciberdelincuentes gracias a la tendencia a migrar datos a la nube, que hace más fácil el acceso mediante técnicas cada vez más sofisticadas.
Aunque en algunos ataques hay motivaciones políticas con técnicas de ciberespionaje, APT (Amenazas Persistentes Avanzadas), hacktivismo y obtención de información crítica de personas, empresas y administraciones,“la motivación de los ataques es, sobre todo, económica: el cibercrimen mueve más dinero que la droga”, apuntó Javier Jarauta, profesor de seguridad en la Escuela Técnica Superior de Ingeniería (Comillas ICAI) y Director de Consultoría del Grupo SIA. Para ello se utilizan técnicas como elphising, malware o ransaomware para chantaje, troyanos bancarios… “Nos exponemos a grandes ataques que tienen como objetivo recopilar datos para luego monetizarlos”, dijo Jarauta nombrando casos como los de eBay o Sony.
En este sentido, Javier Santos, profesor de seguridad en Comillas ICAI y Director de Ciberseguridad en KPMG, reveló la existencia de un mercado negro que paga grandes cantidades de dinero a hackers para que descubran vulnerabilidades no conocidas en los sistemas. “Se llegan a pagar hasta 250.000 dólares para explotar vulnerabilidades desconocidas incluso para las propias empresas, en lo que supone un modelo de negocio alternativo”, dijo Santos. Incluso “romper” la seguridad de un iPhone (el dispositivo más seguro, según los expertos) está valorado en un millón de dólares. Eso es lo que ha intentado recientemente el gobierno estadounidense al solicitar las claves para desencriptar los teléfonos de Apple. “Si Apple entregara la llave al gobierno americano para acceder a sus móviles por la puerta trasera supondría una violación del derecho de expresión y nos abocaría a un mundo menos seguro; es un mal camino porque, de una manera u otra, acabaría llegando a quien no debe llegar para utilizarlo con fines lucrativos”, expuso Ángel Prado, profesor de seguridad en el Máster de Telecomunicación de Comillas ICAI y Director de Seguridad en la compañía estadounidense Salesforce.
Los expertos coincidieron en la necesidad de reducir el tiempo desde que se descubre el ataque hasta que puede ser solucionado. “Un malware tarda pocas horas en entrar en un sistema y afectarlo; la identificación del problema y su solución tarda semanas o, incluso, meses”, dijeron los especialistas, que se mostraron confiados en que esos tiempo se puedan ver reducidos en breve. Según los datos, los ataques cuestan a Estados Unidos entre 300.000 y 1.000 millones de dólares, una cifra que supera con creces la inversión que se lleva a cabo en seguridad.
Aumento del 50% en los ciberataques
La alta exposición de los datos que pueden ser robados y utilizados por terceras partes con intenciones maliciosas hace que los expertos hayan detectado “vectores de amenazas”, como los define Santos: ciberespionaje y robo de información (robar información estratégica y venderla o, simplemente, utilizarla como ventaja competitiva); ciberdelito (del hacker “juguetón” y con ganas de notoriedad se ha pasado al robo para sacar beneficio); ciberactivismo (como Anonymus, que con pocos recursos tienen gran repercusión), y terrorismo, ya que lo ciber es parte de la guerra. No en vano, la OTAN lo define como guerra híbrida, en la que a la guerra tradicional que utiliza soldados sobre el terreno, se le unen soldados detrás de una pantalla de ordenador. “Hay ataques brutales y hay que aplicar técnicas militares”, explicó Jarauta.
“Hoy la guerra no se concibe a la manera tradicional, sino que todas las guerras son también ciberguerras: la combinación de ambas produce la tormenta perfecta”, aseguró Jarauta, quien recalcó que muchos países, incluido España, tiene operativo un conjunto de ciberdefensa “que es otro ejército aparte, además del de tierra, mar y aire”, y cuya misión es la de atacar y defenderse”. Una de sus misiones es la de proteger infraestructuras críticas, sobre las que los expertos lamentan que están poco preparadas en caso de ataque masivo. Por esa razón se hacen simulacros de ataque: “la OTAN realiza importantes ejercicios de ataque para saber el grado de preparación de los estados; siendo inevitables, el objetivo es minimizar los ataques y sus efectos”, dijo Susana De Tomás, profesora de Comillas ICADE especialista en defensa y seguridad.
Protegiendo las infraestructuras críticas
La Ley de Infraestructuras Críticas obliga a los operadores de estas infraestructuras (electricidad, gas, aeropuertos… y así hasta 12 sectores) a protegerse. “En los tres últimos años se ha avanzado mucho, pero se necesitan más inversiones y más personal. Respecto a este punto, todos los ponentes lamentaron la falta de profesionales en España y alabaron a la Universidad Pontificia Comillas ICAI-ICADE, pues en todas las asignaturas hay módulos de seguridad, además de las asignaturas específicas sobre el tema. “Es básico formar a los alumnos en este ámbito porque la evolución de la ciberdelincuencia es exponencial”, dijeron.
Alumnos y jóvenes en general que no son realmente conscientes de que su seguridad privada puede estar amenazada por la presencia en redes sociales, por ejemplo. “Al 10% de los norteamericanos les han robado dinero de su tarjeta de crédito y la cifra total asciende a 5.500 millones al año”, desveló Palacios, que insistió en la necesidad de que los usuarios de internet aumenten las precauciones a la hora de dar sus datos o desconfiando de correos electrónicos sospechosos. “Hay tres pasos para prevenir: un filtro de phising, comprobación de un enlace antes de entrar en él y que el sistema requiera una firma digital antes de abrir archivos sospechosos”, indicó Prado. Aunque “lo esencial es comprobar si el candado que identifica en internet a una página segura está cerrado: en ese caso, los datos están protegidos”, recomendó David Contreras, investigador del Instituto de Investigación Tecnológica de Comillas ICAI.
Aunque las empresas españolas no están obligadas a revelar los ciberataques que reciben, esta primavera se promulgará una directiva europea sobre ciberseguridad con la que se obligará a las empresas a notificar los ciberataques que reciban. “Es un paso cualitativo muy importante e impondrá un mínimo común para proteger las infraestructuras críticas”, según De Tomás.
Los especialistas desgranaron también algunas tendencias de futuro en las que, desde el principio, la seguridad debe estar muy presente. Los expertos de Comillas ICAI hablaron de los servicios Cloud (“este entorno de negocio solo será posible si implanta desde el comienzo sobre principios de seguridad”), y del Internet de las cosas (“si no se piensa desde el principio en la seguridad de los dispositivos y de la información que gestionan habremos creado una nueva forma de ciberdelincuencia con consecuencias mucho mayores que el e-crime actual”).
