CAMINOS DE INNOVACIÓN
Matemáticos, ingenieros, informáticos: los criminales del futuro que amenazan a las empresas
Con métodos cada vez más sofisticados, los ciberdelincuentes ingresan ya 1,5 billones al año. ABC accede a uno de los mayores centros de seguridad del país para averiguar cómo trabajan expertos y hackers para defender a las empresas
Los nuevos criminales nunca serán como Bonnie y Clyde . Aquello de robar un banco a punta de pistola será cosa del pasado; en el futuro -y ya en la actualidad- entrarán a los bancos por internet, burlando una seguridad informática que se queda obsoleta cada segundo. Y nada de ladrones con pasamontañas, violentos y amantes de la adrenalina. Eso también pasará a la historia porque la nueva delincuencia serán graduados universitarios: ingenieros, informáticos, matemáticos... todo perfiles técnicos con capacidad analítica, de aprendizaje, de síntesis, acostumbrados a trabajar con datos y especializados en apropiarse de lo ajeno.
En 2014 el Incibe gestionó 17.888 ciberataques; en 2018, la cifra ascendió a 111.519 incidentes. Seis veces más en cuestión de un lustro. En ese tiempo han ocurrido casos tan sonados como los de Wannacry o NotPetya, con consecuencias multimillonarias para usuarios y empresas. Según un informe de Accenture , de 2019 a 2023 el coste de estas brechas y robo de información sería de 5,2 billones de dólares, lo que equivale a más de cuatro veces el PIB de España. Lo peor es que hay tantos cibercriminales con experiencia en disciplinas tan distintas que resulta imposible «cazarlos» a todos. «Hay muchas áreas de conocimiento y no todos tenemos las mismas capacidades», explica Deepak Daswani, hacker y experto en ciberseguridad. Y prosigue: «Las motivaciones de los atacantes son varias, pero la más importante es el lucro económico». También están las reivindicaciones de los activistas y el robo de información a cambio de poder. Lo irrefutable son los 1,5 billones de dólares anuales que se embolsan estos delincuentes. Lo hacen sentados en una silla, frente a una pantalla. No todo el mundo es capaz de entender esa dimensión.
Para hacer frente a esto hay que prepararse. Y para ello sirven los Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés). ABC ha accedido al EMEA Cybersphere Center de Deloitte , situado en Madrid. Una torre con dedicación exclusiva a esta materia.
Las primeras plantas son como un edificio al uso. Sus filtros de acceso, una sala de formación para sus empleados -esta materia exige constante actualización-, el comedor... Lo interesante empieza al ir escalando alturas. Primera parada: un departamento dedicado a simular ciberataques sobre maquetas reales para poder anticiparse. Por ejemplo, cuando este diario visitó el SOC tenían una reproducción real de una central nuclear sobre la que realizar pruebas; qué ocurriría en caso de que se abrieran ciertas compuertas, qué pasaría al apagarse un reactor de golpe...
Concienciación
Segunda parada: el «bunker». Un espacio cerrado de aspecto hermético en el que sientan a directivos para explicarles las consecuencias de un ciberataque. Una toma de contacto con la realidad, un caso real para que se conciencien . «Haciendo esto se incrementa mucho el compromiso de la dirección», dice Gianluca D’Antonio, socio de Risk Advisory de Deloitte. Ha cambiado mucho la percepción estos años: «Ha evolucionado la preocupación de las empresas de forma reactiva y no proactiva». Se refiere a que muchos no reaccionan hasta que ven que les han «secuestrado» su sistema. Y, según las cifras que maneja Deloitte, se denuncia menos de un 20% de los ataques por diferentes razones: vergüenza, reputación, miedo a multas... y porque hay empresas que ni siquiera se enteran. «Para una pyme, perder todos sus archivos puede significar la desaparición», prosigue D’Antonio. El 43% de los ciberataques se concentra en ese tipo de compañías.
Tercera parada del SOC: un espacio diáfano con decenas de personas mirando a sus ordenadores, y una gran pantalla común al frente. Ahí monitorizan en tiempo real los incidentes a nivel mundial. Se cuentan por miles, pero allí nadie parece alterado. En ese departamento resuelven y analizan las brechas más sencillas y otras de mayor complejidad pasan a un segundo nivel donde todo se estudia al detalle. «Hace 20 años nadie se preocupaba y esto se veía como un problema técnico que se solucionaba con un informático y un antivirus» , dice el socio de Risk Advisory.
Lo que aconsejan ahora los expertos es pensar antes de actuar a lo loco. «La primera recomendación es hacer un ejercicio de reflexión interno: ¿qué es lo más importante en mi organización? ¿Cuáles son mis activos esenciales? ¿Qué consecuencias tendría para mí un ciberataque?», expone Alejandro Alonso, presidente ejecutivo de Cipher (Prosegur). Y pone un ejemplo práctico: si una empresa de I+D quiere proteger sus patentes, tendrá que crear una barrera específica para ellas; «control de accesos, seguridad perimetral, almacenamiento seguro de la información, trasmisión segura, etc.», añade.
Pese a todo, ahora las compañías ya están más concienciadas de la necesidad de protegerse. Especialmente las grandes, que o bien externalizan este servicio o bien lo prestan ellas mismas. Pero hay una brecha de seguridad que es impredecible: el fallo humano. «Uno de los puntos más débiles siempre son las personas. Muchas veces pensamos que la ciberseguridad consiste en ordenadores muy potentes, líneas de comunicaciones seguras... Eso es más difícil de romper que llamar a una persona y pedirle una serie de datos. Tenemos que educar a los propios empleados para que identifiquen los fraudes porque no estamos tan atentos cuando nos llaman por teléfono. Los humanos somos el eslabón más débil: la seguridad la tienes en la periferia pero tienes un problema si alguien no ha cuidado bien su ordenador», destaca Alberto López, responsable de Ciberseguridad y Soluciones Digitales para España y Portugal de Mastercard. Y esto no solo afecta a las empresas sino también a usuarios particulares e incluso ayuntamientos. No son extraños los casos en que «secuestran» el ordenador de un consistorio para pedir un rescate en bitcoins. «Nadie está libre de ciberataques», añade. Hay compañías que ya aplican esta filosofía de que sus empleados tienen que ser el filtro más fuerte ante las amenazas. «Se calcula que el 60% del correo electrónico que circula por internet contiene algún tipo de carga maliciosa y que el 50% de los ordenadores personales en España tiene algún tipo de malware. En Caixabank realizamos formación específica dirigida a toda la plantilla», comenta Alberto Rosa, director corporativo de Security & Governance de Caixabank. Esas «clases» se refieren a simulacros de «phising» o programas específicos de concienciación.
El buen hacker
Más allá de ello, no todos los hackers son «malos». Existe el hacking ético, es decir, el proceso de entrar ilegítimamente en los sistemas de una empresa, aunque de manera legal gracias a un contrato, para detectar vulnerabilidades. «Hay que entender cómo piensan», dice el responsable de la entidad financiera. Y desde dentro del sector del hacking ético confirman que la demanda de ese servicio cada vez es mayor. «Es algo que se hace desde hace mucho tiempo, pero los incidentes de estos años han provocado una necesidad mayor», comenta Daswani. Antes solo pensaban en ello las grandes empresas y ya empiezan a verlo las pymes. Será porque el 50% de ellas recibieron algún ciberataque en 2018, según Cepyme . Todos están en la diana; el objetivo es que las balas de los nuevos criminales no impacten en su objetivo.
Noticias relacionadas
