Los castillos medievales lo sabían. La amenaza estaba ahí fuera, siempre merodeando y en busca de una debilidad. Había que ponérselo difícil por si el enemigo osaba intentar acceder. Los muros, cuanto más numerosos y altos, mejor. Los pozos, profundos rodeando la fortaleza. Nada era suficiente para blindarse y proteger a los suyos y sus bienes. Hoy, los castillos del siglo XXI son las grandes compañías, las grandes empresas que mueven una economía. También los hay más pequeños, las Pymes que concentran el tejido empresarial. Unos y otros están amenazados… y desprotegidos. Trabajan sin muros ni pozos digitales, son presas vulnerables para cualquier ciberdelincuente avezado que quiera hacerse con sus datos, sus sistemas o simplemente a anularlos hasta recibir un rescate.

El último ejemplo es de esta misma semana. Iberdrola, el gigante energético, una de las primeras empresas del país, reconocía haber sido víctima de un ciberataque que afectó a 1,3 millones de clientes. La agresión ocurrió el pasado 15 de marzo y según la compañía pudo ser repelido a tiempo sin que causara más daños que el acceso a los nombres y DNI de los clientes. No ha sido el único, instituciones como el Congreso de los Diputados o el Servicio de Cercanías de Renfe también han sido víctimas de ciberdelincuentes.

“En España estamos en pañales, a día de hoy, las medidas que se toman en la mayoría de las empresas para prevenir este tipo de ataques son muy preliminares o no existen”, asegura Víctor Mayoral, fundador de la compañía Alias Robotics, especializada en ciberseguridad robótica. Recuerda que mientras los estándares internacionales recomiendan la segmentación y segregación de redes de las empresas en tres o cuatro niveles o “barreras digitales” -o incluso en hasta seis o siete en casos de información o material más sensible-, “lo que estamos encontrando es que en la mayoría de empresas esa segregación simplemente no existe”.

De su experiencia en los últimos años, Mayoral concluye que falta mucha concienciación en los niveles directivos de las empresas para apostar por un refuerzo real de la protección digital, “cuando vienen a nosotros es cuando su infraestructura ya ha sido atacada, sus datos ya han sido encriptados y la situación ya es más difícil de resolver”.

Decenas de miles de ataques

El Instituto Nacional de Ciberseguridad (INCIBE) gestionó sólo en 2020 algo más de 133.000 incidentes relacionados con la ciberseguridad en empresas, ciudadanos y operadores estratégicos. El 35% correspondían a malware o virus maliciosos y otro 32% a fraudes.

El sector médico es uno de los más concienciados. La mayor exigencia normativa que proviene del ámbito europeo ha contribuido a ello. “Creo que no basta con aspirar a una concienciación mayor, es necesario que exista una exigencia normativa para protegerse, sólo así se avanzará”. Mayoral asegura que otros sectores, como el de la automoción, también figura entre los más mentalizados, pero aún lejos de los niveles deseables.

Su compañía, Alias Robotcs está especializada en el análisis y seguridad de los robots, presentes en la mayor parte de la cadena productiva de las empresas: “Existe una mayor preocupación de que estos sistemas robóticos no dañe al trabajador o su entorno, pero en cambio no tanto en que desde fuera no se pueda comprometer el comportamiento y uso de esos sistemas robóticos. En realidad, para asegurar la primera es necesaria la segunda”. Recuerda que estos robots están presentes en ámbitos muy sensibles, “como los quirófanos donde se opera” y cuya manipulación maliciosa podría tener consecuencias muy peligrosas.

“La ciberseguridad en la robótica va a ser más importante que en cualquier otro sector. Si yo jaqueo un teléfono comprometo unos datos, pero no llegaré muchos más allá. Pero en cambio, si jaqueo un robot que condiciona el uso de un coche, que opera a un paciente u otro tipo, las consecuencias pueden ser mayores”.

Fallos en dispositivos

Una investigación liderada por Alias Robotics, junto con especialistas de ciberseguridad de multinacionales y gobiernos han detectado una quincena de peligrosas vulnerabilidades en el Sistema Operativo de Robots (ROS) y sus sistemas de comunicación DDS, los más comunes de los robot empleados en la Industria: “De ser manipulados por cibercriminales podrían tener consecuencias devastadoras”. Fallos que también se han detectado en hasta 650 dispositivos existentes en Internet y empleados en campos como el de la salud o el ámbito militar.

Mayoral considera que por eso es importante que sean los propios sistemas los robots los que incorporen sistemas de ciberseguridad: “No sentimos esa necesidad de protegernos ante ciberdelincuentes hasta que nos toca. Lo de prevenir antes que curar siempre funciona”.

En la inmensa mayoría de los casos la pretensión del ciberdelincuente es obtener un rédito económico, un rescate por devolver el control sobre ciertos sistema o cierta información, “para muchos es un modo de vida”: “Ahora tienen un mar de oportunidades, de opciones para atacar. Siempre buscarán las más sencilla. Por eso es importante protegerse. No es una inversión costosa ni hacerlo demuestra ningún tipo de debilidad sino más bien al contrario. Aquí aún no existe esa presión para hacerlo”.  

Otra compañía española, Secure&It también ha alertado de la vulnerabilidad cibernética de las empresas españolas. Sus Centros de Seguridad Avanzada gestionan cada mes más de 150.000 intentos de ataque. La compañía vasca asegura que la “ciberguerra en Europa” y en prácticamente en todo el mundo se libra desde hace años. En 2021 el número de ataques estiman que aumentaron en un 50%. “Nuestro trabajo consiste en intentar neutralizar las amenazas antes de que se produzcan, hay que detectarlas antes de que impacten”, asegura Francisco Valencia, director general de la compañía.

Rusia, China y Corea del Norte

La guerra en Ucrania y el incremento del riesgo de posibles ataques llevó incluso al Gobierno a recomendar a todas las instituciones oficiales a reforzar sus sistemas de protección.

Desde Secure&It señalan que el contrario de lo que se pueda pensar, la amenaza no siempre procede del exterior de las organizaciones empresariales sino de dentro. La falta de formación, la carencia de medidas, incumplimientos legales o la acción de empleados descontentos pueden estar detrás del origen de problemas de ciberseguridad. “La alta dirección de una empresa debe ser consciente de todo esto. Hay que trabajar la seguridad de la información, hacerlo de forma pausada y desde todos los puntos de vista: normativo, de procesos, de medidas técnicas y vigilancia. Una vez que se ha puesto cierto orden en la organización la probabilidad de sufrir un incidente se reduce muchísimo”.

Valencia alerta de que pese al importante incremento de episodios de ciberataques que se producen “la sociedad no está siendo consciente de ello y más cuando España sigue escalando posiciones entre los países más atacados del mundo”.

La Unión Europea planteó la creación de una unidad informática conjunta que podría operar desde junio para hacer frente al creciente número de ataques cibernéticos contra gobiernos, empresas y ciudadanos de la UE. Valencia asegura que muchos de los ataques a países comunitarios proceden de países a los que les interesa dañar el modelo económico occidental, “países como Rusia, China y Corea del Norte suelen ser origen de ciberataques dirigidos a Estados Unidos y Europa, los dos pilares de la economía occidental”.