España recibe un ciberataque crítico cada cuatro días
El Centro Criptológico y el Instituto Nacional de Ciberseguridad detectaron el año pasado 150.000 incidentes informáticos.
La Junta de Andalucía ha contabilizado 8.100, un 32% más que en 2017.
“Solo se cuantifica lo que se detecta y solo se detecta la punta del iceberg”, afirma Bernardo Quintero, el cuarto de los 13 nombres que aparecen en el organigrama de Chronicle, la división de seguridad de Alphabet, la matriz de Google. Aún así, el Centro Criptológico Nacional, integrado en el Centro Nacional de Inteligencia (CNI), ha registrado en el último año 38.000 incidentes de ciberseguridad, un 44% más.
Su director, Félix Sanz Roldán, reconoció el 14 de febrero ante la comisión mixta de seguridad del Congreso que de esa ingente cantidad le habían preocupado “entre 100 y 200”. También admitía que aunque en términos generales “no hemos salido mal”, “algunos han triunfado y han entrado en sitios donde no queríamos que entraran”.
Apenas un mes después de esta comparencia se conoció que un virus había campado libre por los sistemas de Defensa durante tres meses. El Gobierno ha informado de que se ha tratado de un ataque de una potencia extranjera.
El Instituto Nacional de Ciberseguridad (Incibe), el segundo gran centro de respuestas ante emergencia informáticas (CERT, en sus siglas en inglés) que opera en España, en su caso orientado a empresas, ciudadanos, universidades e infraestructuras críticas, ha registrado 111.519 incidentes en 2018, de los que 722 se dirigieron contra los gestores de esas infraestructuras críticas.
Desde la Junta de Andalucía se ha constatado que los problemas de seguridad se han multiplicado por 10 en seis años. En 2018 se identificaron 8.110 incidencias por código dañino, fraude e intrusiones. Esta cifra implica que las amenazas han crecido en la comunidad un 32% en solo 12 meses.
Los ciberataques más comunes
Los ciberataques más comunes son el ransomware (secuestro del sistema), robo de datos, denegación de servicios, caída y alternación de las páginas webs, espionaje y hackeo de dispositivos, según palabras del director operativo del Departamento de Seguridad Nacional, Joaquín Castellón, recogidas en la Ponencia sobre Ciberseguridad encargada por el Congreso y publicada el 12 de marzo después de año y medio de trabajo.
¿Quiénes atacan? “Criminales, hacktivistas, corporativos y gobiernos”, resume Bernardo Quintero. En esta clasificación caben las organizaciones delictivas que lanzan ataques indiscriminados contra usuarios y empresas a cambio de dinero. Los más populares posiblemente hayan sido Wannacry y Petya, que en 2017 paralizaron en todo el mundo cientos de miles de ordenadores utilizando tecnología robada a la Agencia Nacional de Seguridad (NSA) de Estados Unidos.
También figuran en este capítulo los ataques con un objetivo preciso, como los dirigidos al sistema Swift que utiliza la banca mundial. El más sonado tuvo lugar en 2016 cuando se desvalijaron 73 millones del Banco Central de Bangladés depositados en la Reserva Federal de Estados Unidos, en un ataque planeado para hacerse con un botín de 800 millones de dólares, que solo fracasó porque el sistema advirtió que el término inglés foundation estaba mal escrito.
Internet de las cosas, además, ha traído nuevas formas delictivas en ámbitos hasta ahora impensados. No en vano, el 80% de las infraestructuras críticas está en manos privadas, mientras que los ataques críticos se han dirigido fundamentalmente al sistema financiero, el energético, las redes de transporte y el suministro de agua.
La investigadora de la Universidad de Málaga, Cristina Alcaraz, que acaba de terminar un proyecto para la empresa Mnemo sobre seguridad sanitaria, indica, por ejemplo, que existen virus específicos en el campo de la sanidad, malwares y ransomwares que roban datos para venderlos en el mercado negro, con las aseguradoras y la industria farmacéutica como destino final. Sanz Roldán ha reconocido que se produce un ataque crítico cada tres o cuatro días.
'Hackers', pero también potencias extranjeras
El hackativismo está vinculado en el imaginario colectivo Anonymous, aunque son múltiples y diversos los operadores en este campo, con la diana siempre en las webs de gobiernos y entidades públicas, unas veces para provocar la caída sus páginas y otras para modificar su contenido, mientras que las agresiones a las grandes corporaciones tienen orígenes y objetivos mucho más complejos, en los que no solo está en juego el espionaje industrial.
“España, por ejemplo, es una potencia en armas ligeras, material antidisturbios y uniformidad militar. Cada vez que acudimos a concursos internacionales hay otros países y otras empresas que quieren saber cuáles son nuestras ofertas”, puntualizan fuentes de las Fuerzas de Seguridad del Estado.
“Nosotros hemos sabido que alguna empresa española de infraestructura ha coincidido con otros países concursando para la construcción de una autopista en un tercer país y se ha encontrado con su propio proyecto ofrecido un poco más barato. Todo esto es absolutamente cierto”, afirmaba el 14 de febrero el director del CNI ante la comisión mixta de seguridad en el Congreso.
La imbricación de los intereses de los gobiernos y de las grandes empresas se convierten en una vía de acceso a determinados secretos y tecnologías. Un ejemplo elocuente tuvo lugar en 2010 cuando VirusTotal identificó el origen de un virus que, desde China, había atacado simultáneamente a RSA, firma de seguridad informática proveedora del Departamento de Defensa de Estados Unidos, y a dos organismos oficiales de aquel país.
Esta gesta abrió las puertas de Google a VirusTotal que ese año también arrojó luz sobre Stuxnet, un gusano que tomó el control del software que controlaba 1.000 centrifugadoras utilizadas para aislar el uranio enriquecido de la planta nuclear de Natanz, en Irán. Este ataque se considera el primer acto conocido de ciberguerra.
En sentido contrario, se ha sugerido que el malware que durante meses ha andado suelto en el sistema de Defensa en realidad buscaba secretos de la industria militar española. “Los ataques financiados por estados son los más sofisticados. Aquí se nota la cantidad de recursos invertidos en desarrollar tecnologías ofensivas”, aprecia Bernardo Quintero.
“Se suele nombrar a China, Estados Unidos o Rusia como las grandes potencias en esta materia, pero todos los estados cuentan a día de hoy, en mayor o menor medida, con recursos ofensivos en seguridad”, agrega el experto en seguridad de Chronicle desde sus oficinas en Málaga.
Ataques de enemigos, pero también de amigos
Fuentes de las Fuerzas de Seguridad del Estado consultadas diferencian “los ataques que vienen de los amigos y los que proceden de los enemigos”. En el primer caso, señala a Francia, Reino Unido, Alemania, Estados Unidos e Israel que buscan “sobre todo información que les permita tantear cómo está aquí el terreno y cómo funcionan las cosas.
En el segundo bloque apunta a Rusia, “aunque su actividad en España es mucho menor que en el Reino Unido, Francia o Alemania”, y a Marruecos, un país que para otras fuentes pasa más desapercibido. Recuerda, además, que laboratorios chinos, norcoreanos y últimamente también rusos trabajan subcontratados tanto por gobiernos de terceros países como por empresas.
“¿Acaso se puede creer que un contrato de gas o de armas se negocia sin que exista ese conocimiento previo, sin espionaje? Hay una estrategia industrial pero cada vez más alimentada por la inteligencia”. “Siempre hubo topos y sigue habiéndolos, pero ahora no son ningún empleado desleal, sino un cable o un pendrive”, constata esta fuente.
Bernardo Quintero, que en el pasado realizó auditorías y test de penetración, un trabajo que en esencia consiste en manejarse como un hacker para detectar los puntos débiles de los sistemas, rememora que a través de una impresora mal configurada accedió al ordenador de una secretaria y de ahí al ordenador y al móvil del consejero delegado de una corporación.
Los equipos del ejecutivo estaban cifrados y bien protegidos para aguantar un ataque directo, pero no pudieron evitar una intrusión que llegaba por una fuente aparentemente fiable. “Un sistema es tan fuerte como su eslabón más débil”, concluye. El fundador de VirusTotal aclara, a raíz de las voces que cuestionan que se detectara a tiempo el virus en Defensa, que criticar y proponer ideas para frenar un malware cuando ya está identificado es fácil.
Otro asunto es cuando se desconoce cómo será y cómo llegará, más aún cuando tenemos redes “muy distribuidas e interconectadas”, en las que participan sistemas heterogéneos y donde “la puerta de entrada puede estar lejos del objetivo final mejor protegido”.
En todo caso, y como hizo constar en la Ponencia sobre Ciberseguridad el general Carlos López Medina, jefe del mando conjunto de Ciberdefensa, “defender es mucho más caro que atacar. El atacante tiene poco que perder y mucho que ganar porque es posible alcanzar al adversario en profundidad”.
En cualquier caso, el fundador de VirusTotal apunta que “hay muchos ataques o bien pasan desapercibidos o bien no se les da publicidad, especialmente en el ámbito de hacking estatal”. Recuerda que al llegar a Google en 2012 trabajaba con el Threat Analysis Group, una firma también de Alphabet donde Mike Wiacek, cofundador de Chronicle y antiguo analista del Departamento de Defensa de Estados Unidos, tenía ya entonces monitorizados más de un centenar de grupos de hacking.
También te puede interesar