El mencionado informe, que empezó siendo un documento interno y era sólo ilustrativo, tomó cuerpo y fue creciendo por las circunstancias. Elaborado por ATGroup entre enero y marzo de 2021 entre varios cientos de empresas de la Comunidad de Madrid y de Cataluña se centra en los esfuerzos que hacen las compañías en referencia a la protección de datos. La principal conclusión es que el sector de la seguridad privada no está totalmente adaptado a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y su correspondiente Reglamento, sobre todo porque dos de cada tres de ellas no tienen un delegado de protección de datos. El informe recomienda que las empresas elaboren planes integrales de privacidad, seguridad o de datos con una parte organizativa y otra tecnológica, que realicen auditorias periódicas y que incrementen la formación especializada, entre otras recomendaciones.
Tras la lectura del informe a cargo de Jordi Ortega, de ATGroup, intervino Pablo López, jefe del área normativa y servicios de seguridad del CCN. El Centro Criptológico Nacional es un organismo adscrito al Centro Nacional de Inteligencia (CNI).
López arrancó poniendo en valor la importancia de “tener un orden” y el reto de “mejorar los procesos” dentro de un marco adecuado de referencia -ellos emplean el Esquema Nacional de Seguridad (ENS), pero puede ser cualquier otro tipo de estándar. A eso lo llaman “prevención proactiva”.
“Dentro de la transformación digital, la ciberseguridad ha venido para quedarse y debemos ser conscientes de que existen una serie de amenazas en el ciberespacio, pero sin entrar en una paranoia ni en una permanente alarma. Esos problemas se materializan en ataques complejos y sofisticados. Ante ellos, ¿qué debemos hacer? Ser capaces de gestionarlos y conocerlos”, dijo López. Nos enfrentamos a la compra de credenciales de accesos remoto a la organización en el mercado negro, a la entrada en la red por un acceso remoto a la misma y la elevación de privilegios a administrador en un servidor, a la instalación de herramientas de control remoto para controlar toda la red, al robo de información de la organización que le permita la extorsión y fuerce el pago del rescate, al cifrado de datos de la organización y la solicitud de un rescate (ransomware).
El objetivo de los ataques pasa por explotar la confianza en la tecnología. Los ataques a la cadena de suministro se están convirtiendo en una tendencia preocupante, una forma muy efectiva de distribuir software dañino y aprovechan la relación de confianza entre los proveedores de software y los usuarios. Lo esencial es asegurar la continuidad del servicio, pero no a cualquier precio. Para ello, hay que conocer que te están atacando, parametrizar la amenaza para poder mitigarla y garantizar la prestación del servicio en condiciones adecuadas; tener mecanismos de respuesta oportuna, la notificación del incidente sin dilación indebida es fundamental para asignar recursos y aplicar planes de contingencia; mejorando las capacidades de monitorización, vigilancia, detección y respuesta.
“Ser humildes, aprender de los errores, mejorar nuestras capacidades, implementar la resiliencia”, enfatizó López.
En cuanto a las medidas de protección de incidentes, citó las siguientes:
- Auditoría: Activa las auditorías de los sistemas de acceso perimetral.
- Vigilancia: Monitoriza de forma proactiva y continua la seguridad de la infraestructura de teletrabajo.
- Acceso: Limita el acceso de teletrabajo a las localizaciones conocidas.
- Redundancia: Refuerza la disponibilidad de tu infraestructura de teletrabajo.
- Parches: Actualiza todos tus sistemas y equipos cliente con los últimos parches de seguridad, especialmente aquellos expuestos a Internet y los utilizados en teletrabajo.
- Respaldo/Backup: Revisa tus planes de copia de seguridad y realiza test de recuperación.
- Ancho de banda: Incrementa el ancho de banda para garantizar las conexiones concurrentes de teletrabajo.
- Contingencia: Diseña un plan de contingencia y continuidad de negocio.
- Autenticación: Implementa el doble factor de autenticación (MFA) a los usuarios que realicen teletrabajo.
- ENS: Aplica las medidas de seguridad necesarias tomando como referencia el Esquema Nacional de Seguridad, “que ha sido nuestro faro”.
López remarcó que es mejor adelantarse al problema, con medidas proactivas, porque la ciberseguridad es prevención, es detección y es respuesta. Antes, en el siglo pasado, todo era prevención, con atalayas privilegiadas y cámaras acorazadas… Pero esas atalayas eran vulnerables.” Luego nos dimos cuenta de que siempre vamos a rebufo de la amenaza, siendo reactivos y pasamos a ser proactivos. No debemos esperar a que llegue el incidente del ransomware porque entonces siempre seré incapaz de adelantarme a él”, subrayó.
Para esto es esencial determinar la superficie de exposición, mejorar de forma continua y reducir el tiempo de respuesta. Todo eso lo llaman en el CCN “cumplimiento y vigilancia”, donde el cumplimiento es el marco normativo, una forma de hacer las cosas; y la vigilancia “ponerse el termómetro y ver el estado de exposición a las amenazas”.
A continuación, expuso un decálogo de acciones:
- Aprobar una estrategia de ciberseguridad.
- Establecer una gobernanza de la ciberseguridad con actores y roles.
- Desarrollo regulatorio posibilista
- CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) de referencia, CSIRTs sectoriales y SOC (Centro de Operaciones de Seguridad).
- Capacidad de detección y alerta temprana,
- Mayor vigilancia a través del SOC. Evaluación continua y servicio de cibervigilancia.
- Formación y certificación de personas.
- Búsqueda de talentos.
- Asociación público-privada (comunidad).
- Intercambio de información (confianza).
Pablo López también habló de la amenaza interna, de mitigar la mala praxis, porque no todos los ataques con éxito basados en ingeniería social son debidos a la ingenuidad de los empleados, la mayoría de los casos se debe a la ignorancia de buenas prácticas de seguridad y a la falta de concienciación por parte de los usuarios del sistema. De ahí que la formación y la concienciación sean importantes.
Y todos estos servicios tienen unos costes asociados en personas o en inversiones a la hora de adquirir licencias y software. “La ciberseguridad no es gratis”, enfatizó el ponente del CCN.
Y también hay que hacer prospectiva para ver las tendencias en el ciberespacio, cuáles son las amenazas, qué es lo que está de moda, por lo que los observatorios digitales han venido para quedarse.
“La ciberseguridad es prestar un servicio y lo importante es saber cómo lo prestamos, con una monitorización continua, una coordinación, una gestión, un soporte”, explicó López. El reto está en conseguir que el cumplimiento y la vigilancia vayan de la mano adaptadas al nivel de madurez y recursos disponibles de las entidades. “La ciberseguridad se basa en un proceso de mejora continua, donde a partir de un ecosistema de seguridad implemento la seguridad, donde capacito al usuario y al personal especializado y donde la toma de decisiones es un elemento clave. La ciberseguridad implica la toma de decisiones para que la superficie de exposición sea lo más adecuada y esté dimensionada”, concluyó.
A continuación, tomó la palabra Félix Barrio, gerente de Ciberseguridad para la Ciudadanía de INCIBE, siglas del Instituto Nacional de Ciberseguridad, una organización dependiente del Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Barrio compartió algunas reflexiones sobre las tendencias y retos de la ciberseguridad. El primer mensaje que lanzó fue el de la interdependencia en materia de lucha contra las amenazas tecnológicas.
Mostrando un mapa de España, hizo referencia a que muchos de los episodios detectados se convierten en incidentes de ciberseguridad que son notificados. Otros de estos episodios pasan desapercibidos para las propias organizaciones que no son conscientes de ellos. Y otros son denunciados.
Así, citando el informe de criminalidad del Ministerio del Interior señalaba que había habido hasta 260.000 ciberdelitos denunciados en 2020 frente a 218.000 en 2019. Estamos hablando de vulnerabilidades o infecciones que pueden ser explotadas por los cibercriminales.
Si vemos por tipo de ataque en el mapa de las últimas 16 semanas, el más numeroso es un tipo de infección de sistemas que se conoce como Bot, un tipo de software malicioso que generalmente se expande por las redes, por computadoras, por móviles y que está controlado de forma remota por un ciberatacante mediante redes zombies. El más común es FluBot, un software malicioso detectado a finales de 2020 que sobre todo afecta a dispositivos móviles con sistemas operativos Android y que se reproduce a través de sistemas de mensajería SMS. Es un phishing o suplantación para robar sus datos y realizar un fraude económico. Este un ejemplo, pero en tercer lugar está Conficker, un tipo de software malicioso de 2008, diseñado para atacar usuarios de Windows y que se subsana con un simple sistema antivirus dentro del ordenador. Conficker nos indica que hay un parque informático que tiene un nivel de obsolescencia por falta de mantenimiento o por falta de actualización. Se ve novedad y antigüedad.
El problema es que todas estas infecciones muchas veces pasan desapercibidas, indicó el especialista de INCIBE, también para las empresas víctimas. Hay diferentes estimaciones sobre cuánto se tarda en identificar un ciberataque. Fireye, una firma líder en sector, lo estimaba en 2020 en una media de 56 días. Hay pues una latencia entre el momento del ataque y el momento en que se toma conciencia de ello y eso es preocupante. Porque según los datos del Ministerio del Interior en 2020 se ha producido un repunte del número de ataques cibercriminales porque se ha acelerado esa dependencia de la sociedad y la economía digitales. Desde el Centro de Respuesta de Incidentes de INCIBE en 2020 gestionaron más de 133.000 casos, de los que 1.190 eran operadores críticos y unos 25.000 a la red académica. INCIBE mandó más 850.000 notificaciones enviadas a terceros para su implicación en el análisis, mitigación y resolución de incidentes.
ENISA, la agencia europea de ciberseguridad, engloba estos incidentes en cinco grandes grupos: software malicioso o malware, diseñado para obtener acceso a un dispositivo o dañarlo sin conocimiento del propietario; ataques que redirigen el tráfico desde navegadores web a sitios web maliciosos; ataques que alimentan servidores vulnerables y/o aplicaciones móviles con inputs maliciosos con el objetivo de inyectar código malicioso; el phishing, es decir, el intento de robo/intercepción de nombres de usuario, contraseñas y credenciales (el 90% de las infecciones de malware y del 72% de las brechas de datos en organizaciones); y los ataques DDoS, es decir, de denegación de servicio con objetivo en negocios y organizaciones que vuelve indisponibles los sistemas de correo electrónico o las redes de los usuarios.
Los ataques normalmente vienen de organizaciones muy sofisticadas, con más de 10 personas trabajando en los ataques. Ya no existe la visión romántica del hacker que actúa desde casa. Esto es un negocio del crimen donde a veces hay concertación de acciones entre organizaciones y Estados-nación. Eso hace que permanentemente estemos auditados. “Cualquier sistema informático conectado a Internet es auditado al menos una vez a la semana por alguno de estos actores”, enfatizó Barrio a los asistentes, porque el 80% de los ciberataques tiene una base humana.
La mayor parte de los ataques persigue un fin de tipo económico (fraude), dijo explicando la evolución de los malwares desde los años 80 del siglo pasado que antes eran muy ruidosos. “Hay una enorme facilidad para acceder y comprar a software malicioso en la red profunda de internet, en la red TOR”, declaró. También se pueden adquirir los servicios de cibercriminales, alquilarles para lanzar un ataque del tipo ransomware o algún tipo de extorsión.
Los bots se están desarrollando con la Internet de las Cosas. De hecho, según la consultora Gartner, referente en el sector, en 2025, el número de cosas conectadas será de 50.000 millones, lo que facilita uno de los vectores de ataque y creciendo. Puede ser un rooter, un electrodoméstico el que quede infectado… Y citó el caso de una niña pequeña acosada en 2019 por un hacker desde la cámara de vigilancia de su habitación. O el de las lámparas que se conectan por Internet y que están transmitiendo datos a China… Mirai es un software malicioso que utiliza el Internet de las Cosas y que da muchos quebraderos de cabeza.
Todo esto se traduce en que la ciberseguridad sea uno de los elementos que más preocupa a los responsables de inversión en nuevas tecnologías de las empresas y también influye la lentitud de introducción de nuevas tecnologías como el de comunicaciones de 5G, especialmente diseñado para este mundo. El Internet de las Cosas prolifera por las ciudades y se llenan de sensores.
En 2019 empezó la gran avalancha de ataques basados en ransomware. Hasta 174 ciudades sufrieron extorsión por secuestros de sistemas informáticos. Recientemente ocurrió el caso de Colonial Pipelines, en EEUU, que vio colapsadas sus actividades por este tipo de software malicioso. El crecimiento ha sido exponencial con estimaciones del 6000% en los últimos cinco años. Y un dato muy interesante: el 61% de los ataques con éxito en ciudades procedían de ataques que emplearon como vector de entrada la red escolar, porque probablemente tenía menor nivel de preparación de sus sistemas.
Al hablar de los entornos industriales, Félix Barrio se refirió a la industria 4.0 con dispositivos electrónicos inteligentes con capacidad de autocontrol y reacción automática y eso hace que sean un espacio más vulnerable y más dependiente de ciberataques. Y los ataques tienen un gran coste: una hora de interrupción en el corte de acceso a internet para el sector manufacturero se cifraba hace dos años en dos millones de dólares. Y con software especialmente diseñado para afectar a grandes entornos. Hay están los casos de Wannacry o Petya que en 2017 paralizaron hospitales, autopistas y fábricas en más de 150 países durante semanas. “Y especialmente críticas son las pequeñas y medianas empresas y en España predominan las pymes”, enfatizó el gerente de INCIBE. “Y donde a veces es difícil acometer la necesaria inversión en ciberseguridad”.
El año pasado, durante la pandemia, Accenture, a través de su informe anual de ciberseguridad, alertaba de que un 73% de las empresas españolas podría haber reducido su inversión en ciberseguridad por efecto de la crisis. Esto evidencia que “debemos acelerar el nivel de preparación y de desarrollo de las capacidades”, declaró Barrio.
Y el COVID-19 ha provocado que los hackers creen nuevos instrumentos maliciosos vinculados a búsquedas de información, a sistemas vulnerables o a servidores de protocolo de escritorio remoto, con el auge del teletrabajo. Es decir, los delincuentes también se han actualizado con la llegada de la pandemia y sus efectos.
En cuanto a medidas y hábitos de seguridad en Internet, todavía es muy importante el número de usuarios que carece de antivirus en sus dispositivos móviles, es un 40%; y hasta un 90% de los usuarios no es consciente del nivel de permisos que dan a sus aplicaciones instaladas en sus teléfonos móviles y que no tienen una adecuada instalación de seguridad. Esa es una brecha muy relevante.
Desde INCIBE no sólo ofrecen un número telefónico de consultas, una línea de ayuda, el 017, sino también cursos de formación, herramientas gratuitas, servicios de asesoría con paneles de perfiles empresariales.
