Cyberlawyer: la ciberdécada prodigiosa

Cyberlawyer: la ciberdécada prodigiosa

No es cierto que en 2020 se haya iniciado una nueva década. El año “cero” no existió y, por lo tanto, este año que comienza es el final de una década no el principio. Así pues, no deberíamos hacer rankings con “los mayores ciberataques de la década”; “las diez fake news más famosas de la década”; “el top cinco de robo de datos de la década”, o “el top ten de empresas que tras sufrir un ciberataque tuvieron que cerrar en la década”.

La década que cierra este año comenzó en 2011 y el Cyberlawyer no se resiste a esperar un año para comentar algunos datos muy llamativos (de estos últimos nueve). Aunque ha estado buscando, no existe una palabra que denomine el período de tiempo de nueve años. Pero, como en historia una década es una etapa relevante de aproximadamente diez años, el Cyberlawyer ha decidido que es importante contar lo que ha ocurrido en este “decenio menos uno”. Él lo denomina “la ciberdécada prodigiosa”. Lo hará de manera anonimizada. Dirá el pecado, pero no el pecador; el ataque, pero no el atacado ni el atacante; la mentira, pero no el mentiroso.

Los mayores y mejores ciberataques de la década

Sin orden ni concierto, empecemos por un notable -yo diría sobresaliente- ataque perpetrado en 2017. Dio a conocer el término ransomware que hoy, como todos sabemos, consiste en cifrar todos los ficheros de un ordenador y pedir dinero a cambio de poder acceder de nuevo a ellos. Fueron cuatro días de espanto en los que el monstruo consiguió propagarse, raudo y veloz, por Internet y las redes locales. Aprovechó una vulnerabilidad del sistema operativo de una compañía tecnológica multinacional propietaria de LinkedIn y Skype. Las devastadoras consecuencias supusieron la inhabilitación de más de 200 mil ordenadores entre los que se encontraban los de infraestructuras hospitalarias. En nuestro país, los doce mil trabajadores en la sede principal recibían un correo electrónico: “Urgente: ¡apaga tu ordenador ya!”. El apagón corporativo, que no todas las compañías se pueden permitir, puso a prueba el plan de contingencia de las organizaciones ante un ataque de estas características.

Pero estemos tranquilos, la vulnerabilidad utilizada había sido publicada dos meses antes. Las empresas habían priorizado la actualización y aplicado el parche de seguridad en sus sistemas. Además, las organizaciones realizan copias de respaldo y de recuperación de los sistemas que se llevan a cabo de la manera prevista en el plan de recuperación en un desastre (en inglés Disaster Recovery Plan).

  • El ciberataque más costoso hasta la fecha

El siguiente en la lista ha provocado otra epidemia que cifra todo lo que pilla a su paso. Dicen de él que ha sido el ciberataque más costoso hasta la fecha: 10 mil millones de dólares. Los investigadores del malware, que inició su devastador recorrido en Ucrania y que afectó a varios sectores (eléctrico, financiero, administración pública y comercio minorista, entre otros), le pusieron el nombre de otro malware anterior añadiendo Not, al darse cuenta de que no estaba relacionado con éste. Todo un alarde de originalidad.

Pero nos sobran los motivos para estar confiados. Entre las medidas preventivas que INCIBE (Instituto Nacional de Ciberseguridad) recomendó para afrontar esta ciberamenaza, y que las organizaciones siguen a pies juntillas, destaca la de “no abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables”. Las campañas de concienciación y reforzamiento de los usuarios, que seguro llevan a cabo periódicamente las compañías, nos permiten ser optimistas sobre la actuación de nuestro diligente personal.

  • Primer ciberataque que daño la infraestructura del «mundo real»

Que un país con capacidad para enriquecer uranio sufra un ciberataque es preocupante. Que a mil máquinas que participan en la producción de materiales nucleares se les ordene que se autodestruyan es alarmante. Pero, que llegara la infección mediante un USB infectado, aterroriza. Fue el primer ciberataque que logro dañar la infraestructura del “mundo real” y lo hizo un “gusano”. La guerra digital había comenzado y una nación hoy puede atacar a otra sin declaración formal de hostilidades previa. Recordemos los últimos ciberataques recibidos por el gendarme del mundo, como venganza (por el asesinato de uno de sus generales) de un país donde hay unos señores llamados ayatolás.

Pero estemos calmosos con lo que Dios ya planeo. Las infraestructuras críticas y las empresas industriales se toman muy en serio la criticidad de sus actividades. Se dotan, en consecuencia, de herramientas de ciberseguridad en el camino de su transformación a la industria 4.0.

  • Millones de personas sin acceso a las webs más populares del mundo

Érase una vez objetos cotidianos conectados a Internet, el llamado Internet de las Cosas. Y érase otra vez esos mismos dispositivos inteligentes sin seguridad. Érase que se era, unos señores malos interesados en reclutar esos objetos para sus fines maléficos. Érase 2016 y el ataque llevado a cabo por los malos utilizando el ejército de nuestros dispositivos. Unos dispositivos pobremente protegidos, e infectados para contagiar a otros y así, lanzar un ciberataque de Denegación de Servicio Distribuido (DDoS). Érase un mundo inocente, donde el proveedor de servicios DNS de grandes firmas no pudo soportar este ataque masivo y dejó a millones de personas sin poder entrar en las webs más populares de ese mundo.

Afortunadamente, el futuro negro que este virus nos pinta no es tal. No solo las empresas han adoptado medidas para mitigar este vandálico ataque, sino que los usuarios somos conscientes de que la ciberseguridad es cosa de todos. Nos preocupamos de la seguridad de todos los objetos inteligentes que adquirimos. Lo hacemos para evitar que un día, cuando queramos utilizar un servicio de Internet crítico para nosotros, no podamos. Puede que, además, nos demos cuenta de que alguno de nuestros dispositivos forma parte de la botnet que no nos permite acceder.

  • Ciberespionaje

Directivos y funcionarios de alto nivel fueron espiados durante su estancia en hoteles asiáticos, usando la red wifi para infiltrarse en sus ordenadores. Un caso claro de ciberespionaje. Este asunto está hoy de tremenda actualidad. Se debe al caso de uno de los hombres más poderosos del planeta, extorsionado con publicar fotos privadas y mensajes intercambiados con su amante, tras el hackeo de su dispositivo móvil. El hombre más rico del mundo, hoy menos después del multimillonario acuerdo de divorcio, era el empleador (en un periódico de su propiedad) del periodista asesinado salvajemente en un país productor de petróleo. ¿Se puede concebir un enredo similar para un film de éxito? Un multimillonario, un muerto, un divorcio, una actriz, un país árabe, un medio de comunicación…

Nuevamente, no nos pongamos nerviosos. Todos sabemos que las redes wifi públicas de cafeterías o aeropuertos no son las más seguras. Y no pensamos, en absoluto, que las redes de los hoteles son seguras. ¡Y qué decir de los móviles y los archivos recibidos en el Whatsapp!

  • El pasado más reciente

Si nos situamos en un pasado reciente (finales de 2019), una triada de malware maldita, que actúa de manera conjunta, causo verdaderos estragos en empresas y organismos públicos. Un malware con nombre de primer ministro de faraones o sumo sacerdote de dinastía egipcia, y otro con nombre de un ser sobrenatural japonés, que invita a los seres humanos a la muerte. Suicidio, es lo que les sucede a las empresas que no han tomado medidas para detectarlos. Una importante empresa referente del sector de la seguridad, no es una ironía, sucumbió al ataque. Esto provocó la caída de la red, primero en España y luego al resto de los países donde opera. Dentro del mensaje de la empresa a sus clientes para comunicarles el incidente se encontraba la siguiente frase: “[…] la compañía ha restringido las comunicaciones con sus clientes para evitar cualquier posibilidad de propagación”. Yo me pregunto: ¿cómo trabaja una compañía de seguridad si no puede comunicarse con sus clientes?

Más afectados del citado ataque fueron: un gran medio de comunicación que, se vio obligado a hacer sus guiones a mano, como hacía años que no pasaba, y una filial de una gran compañía de comunicación. Esta última está especializada en la integración de sistemas, cuenta con presencia en España y es de origen japonés. Digo yo que podían haber avisado a sus colegas españoles sobre la maldad del ser sobrenatural original de su país.

  • El correo electrónico como vector de ataque

También tenemos que hablar de todo un gran ayuntamiento del sur de España, que se vio gravemente afectado. El vector de ataque fue el correo electrónico y, en palabras de la alcaldesa de la localidad, “el sistema que utilizan son correos que resultan familiares y es normal que pinches y ya a partir de ahí, entra”. Olé, olé y olé. Eso justo cuando se acaban de cumplir diez años desde la entrada en vigor del Esquema Nacional de Seguridad (ENS). Precisamente, para confeccionar el Informe del Estado de la Seguridad del Sector Público se desarrolló la solución INES (Informe Nacional del Estado de Seguridad). En 2019, 1.006 entidades habían cargado sus datos, frente a las 799 de un año antes. Solo quiero decir que en España existen 8.115 ayuntamientos.

Pero, todo el mundo quieto. Las organizaciones dan una importancia extrema a la pérdida de credibilidad. Los sistemas antispam, los firewalls y los endpoints se implantan de manera preceptiva en las compañías. La concienciación es una asignatura obligatoria y, gracias a ello, el personal no clickea en correos sospechosos.

Las fake news más famosas de la década

El Cyberlawyer no ha encontrado un ranking de las fake news que hayan colaborado de manera efectiva en el éxito de un ciberataque. No obstante, debemos preguntarnos: ¿son las fake news una nueva amenaza para la ciberseguridad?

Podemos afirmar categóricamente que lo son. Dos situaciones lo corroboran:  las noticias falsas tienen hasta un 70% más de probabilidades de ser compartidas que las auténticas y los cibercriminales las utilizan para infectar dispositivos y, también, para dañar la reputación de las empresas.

Las fake news se comparten masivamente en redes sociales y pueden ser utilizadas como estrategia de ataque, para infectar a los usuarios mediante malware o phishing. Compartimos multitud de datos e información diariamente, a través de las redes sociales. Accedemos a estas redes incluso en el trabajo, con lo que un ataque a un dispositivo personal podría expandirse a la red de una empresa.

Como muestra un botón. En 2014, se enviaron una serie de emails maliciosos que incluían información falsa y videos sobre la desaparición de un vuelo. Lo malicioso estaba en la instalación de un troyano que permitía el acceso remoto al ordenador de la víctima.

Suplantación de identidad

Miedo le da al Cyberlawyer el uso que hagan los malos de las tecnologías. Esas capaces de imitar o copiar la voz, que podrían suponer un nuevo impulso para las fake news, teniendo en cuenta la credibilidad que les aportaría un testimonio. Qué me dicen ustedes de la tecnología que permite suplantar la identidad en video: videos manipulados difícilmente detectables. Hagamos uso de la “ciberficción”. Recibimos primero un audio por Whatsapp suplantando la voz de nuestro jefe. Nos solicita la realización de una transferencia. A continuación, nos llega un vídeo manipulado con la grabación de nuestro jefe que nos interpela para realizar el traspaso lo antes posible, ya que se trata de una urgencia.

Seguro que concienciamos a los usuarios a desconfiar ante la duda del mensaje recibido, investigar y contrastar la información y verificar la fuente de la noticia. Además, nuestra política contempla el uso restringido de la red corporativa para fines particulares, ¿verdad? En España, el 60% de usuarios creemos que sabemos detectar las noticias falsas. La realidad revela que solo un 14% es capaz de hacerlo. Es decir, no solo no lo hacemos, sino que tampoco somos conscientes de que no lo hacemos.

Top de robos de datos

En este epígrafe, el Cyberlawyer podría hacer un top 10, 20, 50, 100 o infinito. Solo en la última década se han robado casi 4.000 millones de datos. Además, de las 15 mayores violaciones de datos en la historia, 10 han tenido lugar en estos últimos diez años. En 2019 han ocurrido las dos mayores exposiciones de todos los tiempos. Obviamente, influye el hecho de que ha aumentado de manera considerable la cantidad de personas que suministran confiadamente sus datos personales a grandes empresas tecnológicas. A pesar de que las regulaciones han tratado de poner orden y concierto a esta situación, aún hoy deja mucho que desear su aplicación.

  • 40 millones de tarjetas de crédito

En 2013, una cadena de grandes almacenes norteamericana fue el objetivo de unos hackers que expuso 40 millones de cuentas de tarjetas de crédito y débito. La red de esta compañía se vio comprometida a través de un ataque llevado a cabo a uno de sus proveedores.

¡Tranquilidad! Las empresas auditan periódicamente a sus proveedores y, si alguno no cumple con sus estándares, no lo contratan.

  • 152 millones de datos

En 2013, a una empresa cuyo nombre es sinónimo de ladrillo, le fueron robados 152 millones de datos. La entidad comunicó que había sufrido “un sofisticado ciberataque coordinado”. Nos escondemos tras un gran adjetivo para tapar nuestras vergüenzas.

  • 412 millones de cuentes de una red de adultos

No es que 2014 y 2015 fueran años de secano para los piratas informáticos, pero como no se rompió ningún record no los comento. Ya en 2016, otro ataque informático comprometió más de 412 millones de cuentas de una red para adultos. Los detalles expuestos incluyen preferencias sexuales, orientación sexual e, incluso, si lo usuarios estaban buscando relaciones “extramatrimoniales”. Imaginemos los posibles chantajes que se pudieron producir con esta información tan jugosa y delicada. Por cierto, me encanta el lema de estos lugares: “sitio para adultos de citas casuales”. El Cyberlawyer los llamaría “sitios para chantajear adultos con ataques casuales”.

  • Robo de datos a 143 millones de usuarios

En 2017, una empresa estadounidense de información sobre solvencia crediticia sufrió un robo de datos que afectó a 143 millones de usuarios. Entre la información robada constaban nombres, números de seguridad social, fechas de nacimiento, direcciones y hasta los números de algunos carnets de conducir de usuarios.

Resulta curioso acceder a la entrada en Wikipedia de la empresa en cuestión y ver que, a pesar de su antigüedad (1899), más de la mitad de la reseña está dedicada al fallo de seguridad, las infracciones cometidas, la violación de datos, las demandas y multas. Las acciones cayeron, el presidente dimitió, la compañía tardo tiempo en comunicar la violación y se descubrió que la CSO no tenía competencia o experiencia técnica solvente. Pero lo que llama poderosamente la atención es que la vulnerabilidad había sido descubierta y puesta en conocimiento de la compañía en diciembre del año anterior, pero no habían actuado en consecuencia.

Mantengámonos serenos. Las empresas realizan de manera periódica tests de intrusión para comprobar la fortaleza de sus activos tecnológicos.

  • Credenciales de inicio de sesión de 145 millones de usuarios

Un ataque informático en 2014 robó, a una empresa dedicada a la subasta y el comercio electrónico de productos a través de Internet, las credenciales de inicio de sesión de hasta 145 millones de usuarios. Nuevamente, clama al cielo la desidia de la empresa al notificar, con dos meses de retraso, a los usuarios -sus clientes- la brecha de seguridad. Los atacantes habían conseguido los datos de acceso de varios empleados de la empresa y, con ellos, accedido a la red corporativa.

La compañía podría haber sido igual de diligente que su fundador cuando, allá por 1995, preguntó a su primer cliente si realmente entendía lo que había comprado. Cuenta la leyenda que el primer artículo vendido fue un puntero láser inservible. El fundador, asombrado, contactó con el ganador de la subasta para interesarse por la situación. Su sorpresa llegó con la respuesta: “Me gusta coleccionar punteros láser inservibles”. Y es que “hay gente pa’ tó”.

Pero, como dirían los norteamericanos: “Keep calm!” Las empresas tienen programas de concienciación para el personal. Este fallo de seguridad no suele producirse, ya que los trabajadores tenemos muy clara la política de seguridad de la empresa. Además, esta es seguida a pies juntillas y, periódicamente, se reciben consejos de seguridad o ataques simulados para mantener alto el nivel.

  • Fuga de datos que afectó a 150 millones de usuarios

Llegamos a 2018. 150 millones de usuarios se vieron afectados por la fuga de datos de una empresa de ropa deportiva. La armadura de seguridad de esta compañía no fue lo suficientemente robusta para detener el ataque contra la página web y la aplicación que permite a sus usuarios llevar el control de una dieta equilibrada y del ejercicio físico. “La preparación física empieza con lo que comes” es su lema. El Cyberlawyer les diría que la reputación de una compañía empieza por proteger la información de sus clientes.

  • 500 millones de huéspedes de una cadena hotelera

Ese año no quiso marcharse sin dejar otra renombrada fuga de información que dejó el listón muy alto para el año siguiente. 500 millones de huéspedes de una famosa cadena hotelera de lujo fueron perjudicados por el robo de sus nombres, direcciones, números de tarjetas de crédito y números de teléfono. También se filtró información sobre itinerarios de viaje, números de pasaporte y fechas de llegada y salida. Ya éramos conscientes de la inseguridad del sector hotelero, que acomoda de manera muy confortable a los piratas informáticos. Menos alfombras rojas y dorados y más seguridad en el ciberespacio. No quiero quedarme en mi habitación encerrado por que los ciberdelincuentes hayan tomado el control del sistema de entrada.

  • 540 millones de datos disponibles en servidores desprotegidos

Nos situamos ahora en 2019. Las dos fugas de datos reveladas más importantes de la historia acontecieron en estos doce meses. En el año en que cumplía tres lustros la mayor red social del mundo (digo yo que con 15 años ya se es mayorcito para saber qué es lo que se hace). 540 millones de datos de usuarios estuvieron disponibles en servidores desprotegidos hasta abril de ese año. Usualmente, a esta compañía le cuesta mucho reconocer los fallos técnicos e, incluso, su evidente culpa. De hecho, su fundador pasa más tiempo en los tribunales que disfrutando de su extensa fortuna.

  • 885 millones de registros financieros confidenciales

Para finalizar el repaso, el último y más importante. 885 millones de registros financieros confidenciales fueron expuestos en servidores públicos donde cualquiera tenía acceso. El gigante de seguros americano manifestaba, en su nota, que creen en la seguridad, privacidad y confidencialidad, que es su prioridad y que están comprometidos con la información de sus clientes. No pongo en duda que sea así.  Pero, alguien debe decirles a las compañías que manejan ingentes cantidades de información personal que deben ser extremadamente proactivos en la protección de estos activos.

Top de empresas que cerraron tras sufrir un ciberataque

Ciberataques a pymes

Vamos con los datos que revela un informe publicado por una compañía rusa de ciberseguridad, junto a un instituto norteamericano de investigación, especializado en privacidad, protección de datos y seguridad de la información (con nombre que fácilmente se podría confundir con un videojuego que consiste en capturar y entrenar a unas extrañas criaturas). Según este estudio, el 60% de las pequeñas y medianas empresas que son víctimas de un ciberataque desaparece en los seis meses siguientes al incidente. El informe también recoge que las pymes son el blanco de más de un 43% de este tipo de ataques. Son, precisamente, estas empresas las que más subestiman el peligro; piensan que están a salvo por su reducido tamaño. Lo que es cierto, sobre todo en España, es que son el tejido empresarial más importante. Y, a una media 35.000 euros por ataque (coste directo), son muchos euros recaudados por los ciberdelincuentes.

Las grandes compañías

Las grandes, que sí son conscientes de ser objetivo deseable por parte de los ciberatacantes, son cada vez más ciberresilientes. Tratan de responder con mayor rapidez a los ataques que sufren. De ser exitoso el ataque, a los posibles despidos y problemas internos, se añade la pérdida de valor de la compañía. De acuerdo con otro informe (de una compañía dedicada a publicar comparativas para ayudar a los consumidores a adoptar la decisión adecuada de contratación de servicios tecnológicos), las empresas afectadas pierden un 7,27% de media de cotización de sus acciones.

Los más viejos del lugar recordaran la famosa frase que se leía al final de los títulos en la serie de Expediente X: “La verdad está ahí fuera (The Truth is out ther)”. Ransomware y sus colegas siguen ahí fuera poniendo en peligro la seguridad de los dispositivos de todo el mundo. La mentira y la ingeniería social también pasean por nuestras calles. Los bots esperan que alguien les dé instrucciones. En definitiva, los malos siguen pensando cómo sortear todas las trabas que les ponemos en esta carrera armamentística, en la que no jugamos todos con las mismas reglas.

Además de toneladas de papeles, informes y mugre, en la oficina del investigador de Expediente X, Fox Mulder, había un póster en el que figuraban un platillo volante y la frase “I Want to Believe” (en español, quiero creer). El Cyberlawyer quiere creer que el tono irónico, con el que ha comentado las acciones que deberían adoptar las organizaciones, no debería haberlo empleado porque no hay motivo que lo justifique.

De momento, ya está pensando en un nuevo artículo para conmemorar este 2020. Un año en el que se celebra el centenario del nacimiento de dos de los grandes representantes de la ciencia ficción: Isaac Asimov y Ray Bradbury. Asimov, creador del término “robótica” y quien acuñó sus tres famosas leyes. Bradbury, autor de Fahrenheit 451, obra inspiradora del “Error 451: la página web ha sido retirada por motivos legales”.

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather

Comments

Comentarios desactivados