Hace dos meses, una gran empresa, con 300 trabajadores y una facturación anual superior a los 30 millones de euros, sufrió un ataque con ransomware a sus bases de dates. Los ciberdelincuentes le pedían 375.000 dólares en concepto de rescate. Entre esos momentos de incertidumbre, miedo y nervios, entró en juego Lorenzo Martínez, experto en ciberseguridad y mediador en este tipo de casos. “Primero bajaron las pretensiones a unos 40.000 dólares, y finalmente no se pagó nada”, explica a El Independiente. El nombre y el sector de la compañía se mantiene en el anonimato para que no se pueda identificar.

En un mundo en el que todo pasa por los datos, los ataques de este tipo son un quebradero de cabeza para las Fuerzas y Cuerpos de Seguridad del Estado. Fuentes especializadas de la Policía Nacional señalaron recientemente en un reportaje en este periódico que el dinero que mueven las ciberestafas es mayor “que el tráfico de drogas desde hace años". Martínez lo tiene claro ante estos casos: “Siempre recomiendo no pagar a los malos”.

Pero, ¿qué es el ransomware? Muy simplificado, es un “secuestro” de los datos de un usuario, empresa o administración. De una u otra forma (el malware quizás es la manera más conocida), los ciberdelincuentes consiguen penetrar la red de seguridad de una compañía y bloquear el acceso a todo tipo de documentos, dejándolos inutilizados. El objetivo es pedir un rescate, un pago a cambio de devolver todos esos bytes de información, o venderlos en el mercado negro al mejor postor. “El pago no asegura que te los vayan a entregar”, afirma Martínez, quien dirige la empresa Securízame y colabora en materia de ciberdelincuencia con la Guardia Civil. Es lo que recientemente le ha pasado a algunos ayuntamientos, como el de Sevilla, o a un hospital en Barcelona este marzo.

Así se hace el pago

Si la empresa finalmente da el paso para abonar la cantidad a los delincuentes, este experto entra en contacto con los ciberdelincuentes. “Siempre se hace a través de un método de contacto que ellos facilitan”. Empieza entonces una negociación, un tira y afloja para rebajar las pretensiones económicas. “Hace unos 10 años pedían 200, 300 euros… Ahora llegan a pedir cientos de miles”. El pago siempre se hace con criptomonedas, “especialmente en Bitcoin, es el preferido”. El experto informático calcula que en el 60 o 70% de los casos las empresas acaban pagando. “El problema es que no tienen copias de seguridad fiables”, apunta.

“El ransomware es lo que más vemos en los últimos años. Es el top1 en estafas”, sentencia pero señala que últimamente también estan encontrando muchos casos de “business email compromise”. Este tipo de estafa se produce cuando un ciberdelincuente tiene acceso al mail de un proveedor o de un cliente y modifica datos de una factura o suplanta la identidad de alguien. El objetivo es que el pago final se haga de manera ilícita a otra cuenta bancaria. “Ahí también se mueve mucho dinero porque de una tacada el pago ilegítimo puede ser muy grande”.

Las empresas se enfrentan a varios tipos de extorsión cuando son atacadas con ransomware: primero el de pagar por el propio rescate, después el de la amenaza de publicar o vender los datos robados, y por último el de comunicar a los clientes o a la prensa la situación, degradando así la imagen de marca. “Ahora estamos viendo que también se ponen en contacto con el organismo regulador del país para que multen o sancionen a la compañía”, explica Martínez.

Cualquiera puede ser susceptible de recibir estos ataques, pero los ciberdelincuentes se centran en empresas, que tienen más capacidad para pagar que una persona cualquiera. Pero empresas y PYMES, de cualquier tamaño. Una posibilidad para conseguir sus objetivos es que contacten con alguien de la empresa que quieren atacar para comprarlo y que le den sus credenciales. Es más fácil que buscar una ‘puerta’ por la que entrar.

También está el caso contrario. En 2020 un trabajador de Tesla fue sobornado con un millón de euros para que facilitase información de la compañía a un grupo de ciberdelincuentes. El FBI detuvo por este intento de ataque a un ciudadano ruso, Egor Igorevich, de 27 años. En vez de venderse, el trabajador puso en conocimiento de la dirección lo que había pasado.

Copia de seguridad

Aunque cualquiera puede sufrir estos ataques, hay grupos de ransomware que están especializados en sectores empresariales, como pueden ser los bufetes de abogados. Pero también los hay que buscan empresas estratégicas o administraciones que gestionen infraestructuras críticas. Martínez explica que en otros casos buscan softwares muy utilizados (como determinados servidores de correos electrónicos o de aplicaciones) para conocer sus debilidades y encontrar compañías que, por ejemplo, no tengan actualizada la última versión y en su sistema haya uno de estos servicios en estado vulnerable.

“No hay una fiabilidad del 100% que te asegure que no te van a cifrar los datos”, apunta Martínez. Hay medidas más seguras que otra, pero el riesgo cero no existe. La más fiable, en su opinión, es la de tener copias de seguridad a prueba de ransomware. En su empresa este servicio lo han llamado Reborn. A día de hoy, todos los grupos de este tipo de ataque buscan dónde están las copias de seguridad de las empresas. “Hay casos que se pegan semanas analizando una organización hasta entender y conocer bien sus procesos IT”. Buscan eliminar todas, incluso las que puedan tener en la nube, para dejar a las empresas a expensas de la organización criminal y que tengan que pagar.

“La denuncia hay que hacerla en el momento en el que se detecta la brecha de seguridad”, explica Martínez haciendo alusión al Reglamento General de Protección de Datos, que obliga a las compañías a poner la situación de vulnerabilidad en las primeras 72 horas de tener consciencia de ello. Además, este ingeniero informático anima a denunciarlo ante el organismo policial que corresponda.

Datos de ciberdelitos

Las Fuerzas y Cuerpos de Seguridad registraron un total de 374.737 ciberdelitos en 2022, un 22% más que durante el año anterior, según recoge el Informe sobre la Cibercriminalidad en España 2022, publicado por el Ministerio del Interior a finales de octubre.

Del total de ciberdelitos conocidos nueve de cada diez (335.995) fueron fraudes informáticos (estafas), que se incrementaron un 26% respecto a 2021. Le siguieron las amenazas y coacciones cometidas a través de Internet (15.982 casos), que representan un 4,2%, pero que se han reducido un 7,7%. Descienden también los delitos contra el honor, la propiedad industrial e intelectual y la interferencia de datos.

El informe señala que el perfil del ciberdelincuente es un hombre (72% de los detenidos o investigados), de entre 26 y 40 años y de nacionalidad española. Por ámbito territorial, Cataluña y Madrid son las comunidades autónomas con mayor número de ciberdelitos denunciados, superando los 63.000 hechos en ambos casos. Le siguen Andalucía, con 56.900 infracciones, y Comunitat Valenciana, con 34.000.

El número de detenidos e investigados ha alcanzado en 2022 la cifra de 15.097 personas, lo que supone un aumento de un 9,4% con respecto al año 2021.

En cuanto a los ciberincidentes, las infraestructuras críticas recibieron en 2022 un total de 546 ciberataques, lo que supone un descenso del 19,7%. La mayor parte de los incidentes contra las infraestructuras críticas fueron ataques contra los sistemas (60%), seguidos de los robos de información (21%) y los fraudes, intrusiones y el uso de malware.