Artículos

El
_
nuevo
_
cibercrimen,
_
organizado,
_
contra
_
todos
_
y
_
contra
_
todo

Ciberseguridad  ·  Podcast

El crime as a a service ha cambiado el cibercrimen de un modelo aislado y en solitario a “organizaciones que hacen como con el cerdo: sacarlo todo para forrarse a tu costa”. Así de contundente lo explica el experto en ciberseguridad, Roman Ramírez, en el tercer episodio del podcast Cuidado con las macros ocultas de Cuatroochenta que analiza el modus operandi de los ciberdelincuentes y cómo defenderse de ellos.

Cada 11 segundos se produce un ciberataque en el mundo. Hace 5 años, era cada 40, según un estudio de Cybersecurity Ventures. 11 segundos es el tiempo que más o menos tardas en consultar una notificación en tu móvil, atarte los zapatos o beber un vaso de agua. Y en ese mismo tiempo, aunque los ciberdelincuentes llevaran mucho más al acecho, se han hecho con el control de una organización y han encriptado sus datos para impedir que pueda continuar con su actividad.

Así de rápido y sencillo. La sofisticación y profesionalización del cibercrimen, ligadas a la aceleración de la transformación digital de las empresas y el incremento de las vulnerabilidades por la pandemia, han provocado un incremento del 33% de los ciberataques en los últimos dos años. Una tendencia que, según expertos y estudios, irá en aumento, agravada por una mayor dependencia tecnológica de los negocios.

Escalada del cibercrimen: ya factura más dinero que el narcotráfico

6 billones de dólares es el coste del cibercrimen en todo el mundo en 2021, el doble que en 2016.

Segundo delito más frecuente en España, detrás de los robos a domicilio.

La mitad de los ciberataques son tipo ransomware.

Entre 2.000 y 50.000 euros es el daño causado, de media, por un ataque informático a una compañía en España, según INCIBE.

Los ciberdelincuentes son actualmente grupos criminales y mafias perfectamente organizadas “muy sistematizadas, profesionales y estructuradas” que incluso tienen programas de afiliados para monetizar el ataque a una compañía, según Román Ramírez experto en consultoría estratégica de ciberseguridad y fundador del principal evento de ciberseguridad de España RootedCON. Así lo explica en el episodio “Autopsia de un ciberataque. El modus operandi de los ciberdelincuentes” del podcast sobre tecnología para los negocios Cuidado con las macros ocultas de Cuatroochenta. Ramírez advierte, además, que el cibercrimen aprovecha que “en algunos casos las empresas actúan lentas y tienen procesos de ciberseguridad anticuados”.

Y es que ningún sector, ni público ni privado, se salva de los tentáculos del cibercrimen. Es una “amenaza para todo el mundo”, tanto para pymes como para grandes organizaciones y administraciones públicas. El problema, resalta Ramírez, “es pensar que esto no va conmigo”. Los delincuentes juegan con esta baza y son, en muchas ocasiones, mucho más flexibles, adaptativos y rápidos que las compañías.

«Claro que es un problema el crime as a service, porque el modelo que antes era un incidente aislado de un tío solitario, ahora es una organización que va a hacer como con el cerdo: te va a sacar todo lo que haga falta para que ellos se forren a tu costa.»

Román Ramírez, experto en ciberseguridad y fundador de RootedCON

10 controles de seguridad para tecnología operativa

Roles y responsabilidades

Capacitación

Respuesta de incidentes

Copias de seguridad y restauración

Medios portátiles

Inventario de activos

Segmentación de la red

Rastreo y detección de registros

Configuración segura

Parcheo

Fuente: Gartner

Lo datos son el verdadero botín de los ciberdelincuentes

La pregunta es entonces: ¿cómo deberían protegerse las organizaciones o al menos intentar minimizar los riesgos?. La respuesta es clara: prevención. Los ataques no se producen por la utilización de tecnología avanzada, según Ramírez, sino porque “hay cosas que no se han hecho bien”. Las compañías deberían implementar medidas de seguridad más estrictas, sobre todo para proteger uno de los bienes más preciados: los datos. En este sentido, las políticas de aislamiento son un buen ejemplo. Aunque puedan parecer impopulares y engorrosas, restringir el acceso a la información a solo las personas necesarias es una de las medidas más sencillas y efectivas.

La inteligencia artificial tiene un papel fundamental en la ciberseguridad para, entre otras cosas, identificar patrones de comportamiento e impulsar la automatización de procesos.

Lecciones aprendidas de un ciberataque

1

La seguridad total no existe.

2

Aunque no hay ningún plan de continuidad ni contingencia. perfecto, son imprescindibles para hacer frente a una crisis.

3

Implicación de la persona usuaria en la ciberseguridad.

4

La transparencia como mejor defensa de la reputación.

5

Resiliencia de la organización.

La multinacional española de seguros MAPFRE sufrió el mayor ciberataque de su historia el 14 de agosto de 2020, en plena pandemia. Con más de 60.000 equipos y 12.000 servidores fue víctima de un ataque ransomware la víspera del día del año con más desplazamientos por carretera en España. El atacante lo sabía y era consciente que era “nuestro momento valle”, según relata con detalle el director de seguridad de la compañía, Guillermo Llorente, en el episodio del podcast. El atacante lanzó la orden de cifrado a las 21:04h y, a penas, unos minutos más tarde llegaron las primeras alertas al sistema de control y 20 minutos más tarde, viendo la envergadura del problema, ya se había activado el comité de crisis.


Un año antes, los ciberdelincuentes compran unos dominios similares.


Meses más tarde, consiguen las credenciales de una persona empleada.


El primer acceso ilegítimo al sistema se produce el 1 de agosto de 2020. Los ciberdelincuentes van subiendo en el sistema de privilegios con técnicas de hacking.


Esperan el momento oportuno para ejecutar el ransomware. Es 14 de agosto de 2020 a las 21:04h.


A las 21:09h el sistema de control detecta las primeras alertas.


Y a las 21:30h se activa el comité de crisis y se ponen en marcha los planes de continuidad de negocio y contingencia.

El análisis forense, es decir, la investigación minuciosa del ciberataque fue, junto al plan de contención y la atención a los clientes, las líneas de actuación básicas para reducir el impacto del ataque para la firma de seguros. “Tenemos que ser conscientes que la seguridad total no existe”, recuerda Llorente, quien añade que las empresas deben tener presente el riesgo en todo momento, porque “muchas empresas dependen vitalmente de la tecnología y la falta de la misma te hace vulnerable”.

«Pese a ser conscientes que los planes de continuidad de negocio y de contingencia no son perfectos, no hay mejor solución y son absolutamente imprescindibles. No son una varita mágica, pero es la única llave inglesa para arreglar ese motor.»

Guillermo Llorente, responsable de seguridad de MAPFRE

La suplantación de identidad es uno de los ciberataques más comunes 

La compra de unos dominios fue el inicio del ciberataque que sufrió MAPFRE. Los ciberdelincuentes los suelen adquirir para suplantar su identidad, acceder de forma ilícita a las comunicaciones, extorsionar a la empresa o coaccionarla para obtener un lucro, ya sea económico o en forma de obtención de información. Existen herramientas tecnológicas de alertas o sistemas de detección temprana, explica la experta en ciberinvestigación, perito judicial y CEO de Onbranding, Selva Orejón, que permiten identificar el registro de dominios similares, las credenciales filtradas e, incluso, documentos o código fuente filtrado.

«Cualquier cosa que esté digitalizada y que esté publicada es susceptible de un robo. (…) Debemos ser conscientes del riesgo a perder el control y por eso son importantes las herramientas de alertas y también comprender qué podemos hacer para eliminar esa información.»

Selva Orejón, perito judicial, experta en ciberinvestigación y CEO de Onbranding

La mayor parte de las empresas, según alerta Orejón, no están haciendo rastreo ni solicitud de eliminación de información y deberían incluirlo en sus planes de ciberseguridad, y más teniendo en cuenta que la suplantación de identidad es un tipo de ataque con un impacto reputacional y económico muy importante. Puede acarrear pérdidas para una compañía que pueden ir de los 1.500 a los 250.000 euros. Y en esta suma se incluye tanto el dinero que ha dejado de ingresar la organización por el incidente como la cuantía que debe ingresar para subsanar la situación.

El cibercrimen es una amenaza para cualquier organización, desde una pyme a una gran compañía o administración pública. Disponer y actualizar de un plan de ciberseguridad que, integre sistemas de monitorización, detección temprana y alerta es la principal medida para protegerse de unos ciberdelincuentes cada vez más profesionalizados y organizados.

Escuchar episodio completo