Un ataque informático puede perseguir la destrucción de las redes y datos de una empresa, o bien exigir un rescate económico a cambio de la información robada. En ambos casos, todo empieza con una etapa de reconocimiento en dos fases, externa e interna. La primera, persigue averiguar cómo opera la compañía y sus filiales. La segunda, consiste en localizar e infectar las copias de seguridad (backups) de los datos. Sendas prácticas no suelen ser detectadas de inmediato y los bancos no son el mayor objeto de deseo de estos delincuentes: el sector público y las industrias manufactureras o de viajes han registrado a su vez incidentes, tanto en Europa como en Estados Unidos. Sin embargo, sigue fallando la respuesta como equipo de las instancias afectadas, porque, según han observado empresas como IBM, la ciberseguridad suele depender de un departamento separado del resto.
Es un chantaje en toda regla, y si las empresas restauran luego sus copias de seguridad sin haber hecho antes una investigación forense profunda, pueden recuperar datos todavía infectados
Para acceder a una firma o entidad de cierta envergadura, “hay que analizar su ecosistema externo”. “Si opera con firmas más pequeñas con acceso a sus redes de Internet, pero más vulnerables y sin presupuesto para protegerse bien, resulta más fácil para el atacante entrar por ahí para lograr su objetivo”, dice Francisco Galián, experto en ciberseguridad de IBM, que cuenta con un centro de operaciones especializado en simular cibertaques. Montado en un camión de 23 toneladas llamado C-TOC [Cyber Tactical Operations Center], viaja por el mundo y ha recalado estos días en Holanda. Sus instalaciones permiten poner a prueba a las compañías para meterse tanto en “la mente del atacante como en la de su víctima, entendida esta última como empresa, para dar respuesta a tiempo a una de estas crisis”, en palabras de Erno Doorenspleet, su responsable. La sorpresa empresarial es similar al bloqueo de un comprador anónimo atacado cuando solo buscaba, por ejemplo, regalos navideños. Ambas reacciones convergen “cuando la tensión por lo ocurrido impide casi pensar y se pierde un tiempo precisos; y ahí puede verse la madurez técnica de una compañía”, explica.
En las simulaciones, “tan intensas que, a veces, ha habido incluso conatos de enfrentamiento entre ejecutivos al verse inmersos en un incidente informático al que no pueden responder adecuadamente”, indica Doorenspleet, se explica la fase de reconocimiento interno de la infraestructura de la red elegida. Se va en busca de los datos, y si la intención de los ciberdelincuentes es causar el mayor trastorno posible, “darán la sensación de que se trata de un secuestro de datos (ransomware), que podrán ser luego recuperados, pero, en realidad, se han infectado y se destruyen, y también son perturbados los servidores y cualquier máquina atacada”, sigue Galián. “Si lo que pretenden es pedir un rescate para devolver la información sustraída, el asaltante cifrará todos los datos de la institución elegida y mandará luego una notificación de pago, generalmente en criptomonedas. Es un chantaje en toda regla, y si las empresas restauran luego sus copias de seguridad sin haber hecho antes una investigación forense profunda, pueden recuperar datos todavía infectados. El atacante suele permanecer en la red unos cinco o seis meses, y deja lo que denominamos mecanismos de persistencia, unas puertas traseras, en la red. Si pasado ese tiempo, comprueba que sigue habiendo cabos sueltos en la seguridad, pueden atacar de nuevo”.
La difícil detección en tiempo real de un ciberataque responde a los tiempos manejados por los delincuentes. Una vez obtenida la información que buscaban, pasan tres o cuatro semanas sin moverse en la red elegida. De esa forma, “cuando se lancen, crearán gran confusión en los equipos de seguridad, porque no hallarán movimientos extraños recientes”. “Aunque hay empresas con buenos equipos de seguridad, y otras tienen planes, los primeros suelen trabajar aislados del resto de los departamentos, y así no se puede reaccionar bien ante una crisis. En cuanto a los planes, muy pocas los ensayan, y el ciberdelincuente ya no es un tipo metido en un sótano con sudadera y capucha. Ahora son equipos profesionales, y aunque es difícil señalarlos, sí hay momentos claros de riesgo. Por ejemplo, cuando es Navidad en una parte del mundo, pero no en otras, y la gente se lanza en masa a consumir online”, advierte Galián.
El experto indica que dos de cada tres compañías averiguan que han sido atacadas cuando se lo notifican otros, porque sus datos se han hecho públicos, o al recibir una nota del ciberdelincuente pidiendo un rescate. Según el Instituto estadounidense Ponemon, que investiga de forma independiente la protección de datos, “solo el 36% de las 600 empresas de Información y Tecnología (IT) encuestadas en el país en 2018, aseguraron que sus equipos son lo bastante eficaces para detectar e investigar la ciberseguridad interna antes de que se produzca un ataque”. Por otra parte, “un 71% de los altos ejecutivos y gerentes no mantenían una comunicación fluida sobre los riesgos con los servicios de seguridad, y un 68% no captaba bien el peligro [de ciberataques] y el efecto negativo para la compañía”. Aunque las cifras no suelen hacerse públicas, la tendencia observada por especialistas como Galián indica que las aseguradoras están dispuestas a pagar rescates de esta clase hasta cierto límite, “digamos un millón de dólares”. Pero incluso así, no está garantizada la recuperación de datos.