Están ahí, aunque no les veamos. Pueden aparecer detrás de la cámara de nuestro ordenador, en el micrófono de tu móvil o paseando entre tu información más valiosa. La ciberdelincuencia ha venido para quedarse y cada día aumenta más, tal y como lo recoge el Ministerio del Interior en su último informe de 2019. Dicho año se denunciaron 218.302 delitos cometidos en internet y, en 2020, las cifras se dispararon un 70% durante el confinamiento por la pandemia.

El Servicio Público de Empleo Estatal (SEPE) también se ha unido este pasado martes a la lista de instituciones públicas que han sufrido ciberataques. La introducción de un virus (ransomware) denominado Ryuk por parte de la banda rusa Grim Spider, que se dedica a burlar los sistemas de grandes corporaciones o administraciones a cambio de dinero, logró paralizar la actividad de 710 de sus oficinas presenciales y 52 telemáticas.

Deepak Daswani, hacker experto en ciberseguridad y embajador jefe de seguridad de ElevenPaths de Telefónica, ha explicado a COPE, entre otras cosas, por qué suceden estos secuestros informáticos.

- Este virus paralizó la actividad total de las oficinas que prestaban servicios en todas partes de España, ¿Cómo es posible que todo el servicio informático estatal sea tan vulnerable?

Estamos acostumbrados ya a ver incidentes de este tipo. Realmente, ya casi cualquier cosa que pasa no nos sorprende. Hemos visto en los últimos años cómo organizaciones grande y punteras como Telefónica, FedEx o el Servicio de Seguridad británico (Security Service), quedan paralizados por un ciberataque de este tipo que, en concreto, es un ransomware. Esto es un ciberataque que lo que hace es secuestrar la información o los datos de una empresa y cifrar todo el contenido para que quede inutilizable y, a cambio, los ciberdelincuentes pidan un rescate económico para volver a restaurar los datos.

Este tipo de ataques, que llevan sucediendo desde 2013, han evolucionado muchísimo. En un principio secuestraban solo la sesión de un equipo, ahora secuestran los datos. Y, en los últimos años, son ataques más sofisticados en los que, en algunos casos, no solo van a paralizar la actividad de un servicio, sino que a lo mejor llevan tiempo infiltrados en la organización monitorizando toda su actividad para hacerse con copias de esos datos y chantajear a las empresas para publicar datos en el caso de que no se pague un rescate.

Esto es algo que lleva pasando mucho tiempo y el SEPE no es primer caso que ve parada su actividad por un ataque de este tipo.

- ¿Los ciberdelincuentes solo buscan un beneficio económico o hay más intencionalidades detrás?

Hay varias motivaciones para el cibercrímen. Las principales son: el lucro económico, el activismo utilizando el hacking o el control de la información. Ya sabemos que la información es poder. Pero, por lo general, la motivación suele ser la económica porque, desde hace muchos años, los ciberdelincuentes se han dado cuenta de que con esto de los ataques ransomware pueden rentabilizar sus ataques y obtener un rédito económico a raíz de esta distorsión. De todas formas, parece ser que el ataque que han sufrido los del SEPE viene dado por un ransoware llamado Ryuk, que opera desde al año 2018, y que, además, está asociado a ciberdelincuentes de Rusia.

• Left6:No existe configuración de publicidad para el slot solicitado

- Además de la publicación de los archivos confidenciales o sensibles, ¿qué otras consecuencias pueden tener un atraco de este tipo?

Dependiendo de cómo se haya producido el incidente, a pesar de que desde el organismo del SEPE se haya dicho que los ciberdelincuentes no han tenido acceso a la información sensible, realmente en la práctica ellos no lo pueden saber. Porque lo más difícil a día de hoy es saber que hay alguien en tu red robándote información. Así que, realmente, el daño puede ser bastante alto, puesto que en un organismo como el SEPE manejan muchísima información sensible de ciudadanos.

Más allá de esto, aparte de poder ciberatacar sus infraestructuras y utilizar sus sistemas informáticos, el mayor peligro, a mi modo de ver, es que hayan podido tener acceso a información sensible que pueda ser publicada en la red abiertamente o pueda ser facilitada a terceros que les sea de interés.

- ¿Realmente tardará el SEPE solo dos días en recuperar todo su sistema informático?

Es que eso depende, esto es muy relativo. Generalmente tarda un tiempo. Recordemos que, por ejemplo, una emisora de radio sufrió un ciberataque muy parecido el año pasado y estuvieron muchísimos días teniendo que cambiar sus emisiones a nivel regional porque no era posible y centralizando solo la emisión a nivel nacional, ya que la recuperación del ransoware no es una cosa sencilla. Todo depende del número de equipos infectados, del número de servidores, de los recursos, la barrera, la tipología y del alcance de la intención, así como de las copias de respaldo y seguridad.

Date cuenta que cuando se cifran archivos, se le cambia la extensión y deja de ser útil. Por tanto, ya estamos hablando de que no es solo la pérdida de documentos Words, fotos o vídeos, sino básicamente de todo el software que corre en los equipos: servidores, máquinas de producción, servicios que puedan estar en internet... Entonces, en este caso, lo primero que hay que hacer es localizar la infección, erradicarla y luego poner a prueba todos los mecanismos de respaldo y copia de seguridad para poder tener todo, más o menos, como estaba.

Hablamos de que es una organización que, en teoría, debe de tener los medios y el equipo para ello. Supongo que los informáticos encargados de arreglar el sistema estarán echando horas sin parar, incluso noches sin dormir, para poder restablecer todo lo antes posible. El número de días que tarden dependerá básicamente de sus medios, el alcance de la infección y una serie de variables que desconocemos. En algunos casos se ha llegado a tardar semanas para poder tener del todo restablecido sistemas de este tipo porque son muy complejos.

- ¿Se conseguirá imponer represalias para los responsables de este ciberdelito o quedarán impunes?

El cibercrimen es uno de problemas a día de hoy. En la actualidad el cibercrimen, de hecho, forma parte del top cinco de riesgos en el informe que Word Economic Forum elabora todos los años. Es decir, el cibercrimen mueve más dinero en la realidad de hoy que el mundo del narcotráfico. Es un coste para la economía mundial de alrededor de 500 mil millones de dólares. Estamos hablando de algo que no es sencillo. Evidentemente, fuerzas y cuerpos de seguridad del Estado, tanto de España como de otros países tienen que trabajar de manera conjunta e intentar perseguir la presencia de estas cibercriminales, pero no es sencillo desarticular una red de este tipo. Son organizaciones cibercriminales muy profesionalizas, con una estructura considerable, con medios, que llevan operando tiempo... E, incluso, en algunos casos ya se hablan de ciberdelincuentes que crean un ransonware para que, cualquiera que quiera, pueda utilizar el software para hackear a otras personas a cambio de alquilar esa infraestructura de malware.

¿Qué cuerpos se encargan de perseguir esto? Pues el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil o de la Policía Nacional, el Mando Conjunto del Ciberespacio (MCCE) y, entre otros, CCN cert, el organismo responsable de la protección de las infraestructuras críticas y todos los sistemas de administración pública. Todos velan por la ciberseguridad y actúan en cooperación con cuerpos internacionales para desarticular estas organizaciones, pero es algo que lleva tiempo.

Por poner un ejemplo, una de las campañas de ransoware ocurrió en 2012 y no fue desarticulada hasta años después, consiguiendo incautar equipos y a muchos de los integrantes que formaban parte de una red que censuraba muchos puntos del globo.

- ¿Cree usted que se volverán a repetir este tipo de ataques?

Por supuesto. Estamos viendo que, desde hace mucho tiempo, ya las organizaciones son víctimas de ciberataques de este tipo. Ya no se intentan evitar los incidentes al cien por cien porque siempre puede suceder. La mayor aproximación al mundo de la seguridad es crear un plan de respuesta de incidentes y estar preparado para responder lo mejor posible cuando algo pase, como en este caso.

No me refiero a que se repita en el SEPE o ninguna organización en concreto, sino que a lo largo del tiempo seguiremos viendo ciberataques. Todo lo que es tecnología es susceptible de ser comprometido y esto forma parte ya de nuestra realidad.

- ¿Qué consejo le daría a cualquier organización para curarse en salud o, por lo menos, intentar tener el menor número de ciberataques posible?

No hay una fórmula concreta, pero hay una serie de cosas que las organizaciones tienen que pasan por crear políticas de seguridad. Como te digo, tener un plan de incidentes para estar preparados cuando ocurra. Un plan íntegro de seguridad empieza primero con una evaluación de cuáles son los activos digitales y tecnológicos que forman parte de la organización, evaluar la encriptación, el riesgo al que están expuestos y, por supuesto, hacer auditorías de seguridad, como test de intrusión. Con esto, los expertos en ciberseguridad intentan comprometer toda la seguridad de tu sistema para garantizar que se cubren todas las vulnerabilidades y que esos agujeros sean cerrados antes de que los exploten los ciberdelincuentes.

Por otra parte, hay que destacar que la efectividad de este tipo de ciberataques se suele dar por alguna vulnerabilidad del sistema o alguna humana, porque en algunos casos se engañan a los usuarios mediante campañas de fishing para que abran documentos y habiliten las macros de un documento Word o pinchen un enlace, se bajen un archivo y lo ejecuten, generando el malware. La única manera de combatir esto, además de lo ya mencionado, es mediante la concienciación en seguridad a los trabajadores. Es formación y es algo que es esencial. Hasta que los usuarios no lo ven en sus propias carnes, con una demostración en directo, realmente no son conscientes del peligro y de las buenas prácticas que deben acometer para poder evitar este tipo de situaciones.