La ciberseguridad, en el punto de mira
Miguel Ángel Arroyo, de SEMIC, es especialista en ciberseguridad y uno de los mejores ‘hackers’ éticos de España. Hablamos con él de tipo de ataques y recomendaciones para evitar malos mayores.
Hace unas semanas supimos que decenas de despachos de Lleida habían perdido todos sus archivos por culpa de un ataque informático. Un hecho muy grave y que conlleva grandes perjuicios a cualquier empresa que lo sufra y que, por desgracia, se está convirtiendo en tendencia.
Miguel Ángel, pongámonos un poco en antecedentes. Eres especialista en ciberseguridad.
Hace unos quince años que me dedico a esto. Empecé en el mundo de los antivirus, la seguridad defensiva, pero poco a poco di el paso a las soluciones avanzadas. Veía que las empresas necesitaban personal cualificado que ayudara a evaluar su seguridad. Y me verifiqué en seguridad ofensiva, que se trata de emular todo aquello que puede hacer un ciberdelincuente a nuestra empresa, para poder evaluar nuestro sistema y anticiparnos a cualquier incidencia que podamos tener.
Hace unas semanas decenas de despachos de Lleida sufrieron un secuestro de archivos. Y unos días después conocíamos el ataque al SEPE. ¿Cómo fue? ¿Es el mismo caso?
Aunque la consecuencia es común, que es el secuestro de datos y la parada completa y temporal de los negocios, las causas son diferentes. En el caso de Lleida, en la que despachos trabajaban con soluciones a la nube, afectó a muchas empresas a la vez. No fue un ataque ransomware, que entra a través de un correo electrónico y nos bloquea el sistema y pide un rescate. Lo que pasó es que los atacantes accedieron a los servidores de la empresa que ofrecía los servicios de nube y a partir de aquí accedieron a todos los datos de las empresas y clientes.
Hace años leíamos una vez al mes noticias de ciberataques en empresas. Hoy podemos leerlas cada día. Es un hecho global que ya mueve más dinero que las armas o la droga
¿Y cómo entran en este sistema?
Seguramente a través de una vulnerabilidad del sistema que no ha sido arreglada o actualizada a su momento. Los atacantes lo revisan, atacan y entran remotamente al servicio. A partir de aquí, cifran los contenidos y archivos y piden un rescate.
Un rescate económico, entiendo.
Sí. Y lo hacen en criptomonedas, que son mucho más difíciles de rastrear y de hacer la trazabilidad. Sigue una tecnología de blockchain, y es imposible o muy difícil saber dónde va a parar este dinero.
¿Y las empresas acceden a pagar este rescate?
Sí, por desgracia es habitual. Tenemos que saber que cuando nosotros pagamos un rescate estamos financiando una delincuencia que va mucho más allá. Y no sabemos para qué servirá este dinero, si para la compra de armas o para financiar el mundo de la droga. De hecho, ya mueve más dinero que la venta de armas o de droga.
En caso de ataque informático o de secuestro de información recomendamos no hacer nada en caliente y ponerse en contacto con profesionales que aconsejen
Pero se tiene que pagar para recuperar los archivos.
Nosotros recomendamos siempre no hacerlo. Pero nos tenemos que poner en la piel de los empresarios, que necesitan seguir accediendo a los servicios y archivos. Depende del precio del rescate.
Hablemos del precio. ¿Cuánto piden?
Un ejemplo reciente. La semana pasada trabajamos en el caso de uno ransomware que afectó a un cliente. Inicialmente nos pedían 2 bitcoins, que al cambio son unos 80.000 euros de rescate. El cliente nos preguntaba qué tenía que hacer, ya que no quería pagar pero necesitaba los archivos para seguir trabajando. Entonces contactamos con los atacantes y negociamos a través de correo electrónico, explicándoles los motivos para recuperar lo que había dentro de los servidores. Entonces se puede empezar un tanteo para rebajar el precio del rescate.
¿Y cómo acabó?
En este caso bajaron el rescate de 80.000 euros a 20.000. Y la última oferta que nos hicieron fue de 10.000 euros. Al final, entre lo que pudo rescatar la empresa de las copias de seguridad conseguimos recuperar archivos y no pagar.
¿Las conversaciones por correo tampoco se pueden interceptar?
Es complicado. Utilizan correos que garantizan el anonimato, como Protonmail. Aunque se rastree, por IP, cuesta mucho movilizar policías otros países.
Hablemos de ataques. ¿Cuáles son los más habituales?
Si hablamos de empresas, el ataque ransomware es el más utilizado desde hace cuatro años. Cuando hablamos de personas individuales lo más nuevo ahora son los envíos de SMS fraudulentos que se envían incluso de contactos propios. Los atacantes entran en el móvil y utilizan los SMS para enviar virus y ataques a los contactos de esta persona. Y es más fácil que la persona que los recibe los abra. Pero normalmente lo más complicado son los ataques a las empresas, que mueven mucho dinero.
Desde hace siete años formas parte de SEMIC. ¿Qué recomendaciones puedes darnos?
Recomendamos sobre todo adaptar la postura de que tarde o temprano recibiremos un ataque y sufriremos algún tipo de incidencia. A menudo se dice que las empresas se dividen en dos, las que han sido atacadas y las que serán atacadas. Cuanto antes nos hagamos a la idea, mejor preparados estaremos. Como medida preventiva básica, hablaría de las copias de seguridad, que nos permitirían evitar el pago de rescate a los criminales. Hacer regularmente copias de seguridad en discos duros externos y fuera físicamente de nuestra oficina es una muy buena medida inicial que funciona para recuperar información.
EN SEMIC habláis de la ciberseguridad 360. ¿Qué es?
El concepto de 360 grados abraza toda la prevención de las diferentes etapas, desde la detección a la respuesta. Es un círculo de trabajo y de servicios en que nosotros realizamos medidas preventivas y de resiliencia y de respuesta para poder volver al estado de trabajo el más bien posible después de un ataque de seguridad. Tener presencia en todas las etapas de la seguridad.
Y habéis desarrollado un sistema que reduce al 0,02 los correos maliciosos.
Estudios cifran que el 90% de los casos de ransomware entra a través del correo electrónico. Y por mucha formación que hagamos no podemos delegar la responsabilidad al usuario final. Por eso en SEMIC hemos conseguido que a los trabajadores sólo les lleguen los correos buenos y legítimos a través de un servicio de Proxy que limpia a todo el correo antes de que llegue a la bandeja. Estamos muy satisfechos y funciona muy bien.
¿Eres optimista, con respecto a la ciberseguridad?
La seguridad 100% no existirá nunca. Hoy estamos avanzando en la transformación digital, que supondrá todavía más riesgo, pero cada vez somos más conscientes de la prevención.
Hoy muchas pequeñas empresas se han lanzado al 'ecommerce’.
A nivel tecnológico se utilizan las mismas herramientas que una gran empresa, y por eso la exposición y vulnerabilidad son las mismas. Y hay la falsa sensación que, al confiar en servicios de terceros, una empresa pequeña no sufrirá ataques, y no es así. EN SEMIC también trabajamos con estos casos, ofreciendo un nuevo sistema de protección que garantiza que todo el tráfico que llegue a los servidores de las empresas sea limpio y legítimo.
Mejor prevenir que cuidar, pues.
¡Siempre, sin duda!