Ciber riesgos y ciberseguridad, el auténtico desafío

"De acuerdo con la experiencia que teníamos, un hackeo de mi marcapasos era posible, por lo que decidimos inhabilitar su conectividad [en el año 2007]”.

Dick Cheney, ex-vicepresidente de los EEUU.

El pasado 27 de noviembre, Prosegur, la empresa española de seguridad y la mayor tenedora de efectivo de España (en sus depósitos habría más dinero que en las arcas del Banco de España), sufrió un ciberataque que obligó a desconectar sus sistemas. La compañía emitió hasta tres comunicados durante las 48h siguientes, señalando el tipo de ataque, un ciber secuestro o ransomware, y el virus empleado, el Ryuk, un código malicioso, posiblemente de origen ruso, que llevaría infectando sistemas alrededor de año y medio; luego su Twitter enmudeció, completamente, durante dos semanas. Este es uno de los tipos de ataques más habituales a nivel empresarial, por el que el virus encripta la información más sensible de los sistemas y exige un pago, generalmente en bitcoins, para recuperarlos.

El Instituto Nacional de Ciberseguridad, Incibe, señala en su página web que nunca se debe pagar el rescate. Como vemos, la actuación de los secuestradores y de los afectados sigue las mismas en el mundo virtual que en el físico. Y, por lo que sabemos por fuentes cercanas a la compañía, esta fue la actuación de Prosegur. Durante el primer fin de semana de octubre, este mismo software malicioso infectaba la red de hospitales públicos de Alabama, “tumbando” sus sistemas; la dirección, en ese caso, decidió pagar el rescate. En España, otras empresas afectadas en el último mes han sido Prisa (la matriz de la Cadena SER) y la consultora tecnológica Everis.

TE PUEDE INTERESAR

Prosegur, última víctima de un ciberataque, se ve obligada a cerrar sus servicios

Á. M.

Muchos lectores recordarán el caso de WannaCry, el virus que abrió telediarios durante el ataque a escala global del fin de semana del 12 de mayo de 2017, aprovechando una brecha de seguridad de Windows, conocida y advertida por el gigante de Redmond. Como señalamos en Alquimia, más de 300.000 ordenadores en más de 150 países resultaron afectados en las primeras 24 horas. Empresas como Telefónica, Nissan o FedEx, así como el sistema público de salud británico fueron secuestrados. Y, aunque pueda parecer que es un problema interno de la empresa, sus consecuencias son enormes; Prosegur es, con Loomis, la única empres que recoge y entrega billetes en España; la caja de bares, establecimientos de juego, gasolineras o bancos depende de ella.

Al finalizar el año 2017 en el que WannaCry actuó, existían alrededor de 20.500 millones de dispositivos conectados a Internet. Hablamos, fundamentalmente, de equipos de sobremesa y teléfonos inteligentes, pero también de equipos médicos, por ejemplo. La previsión es que, en 2025, sean 75.500 millones. Electrodomésticos grandes y pequeños, sistemas de alarma, vehículos, relojes, pulseras de salud, sensores relacionados con los riesgos de la naturaleza (sísmicos, de oleaje, de viento, de inundación…), medios de pago como tarjetas de crédito, cámaras de seguridad… Pero también surtidores de combustible, peajes de autopista, la luna delantera del coche, las señales de tráfico, los semáforos, todos los registros administrativos, robots industriales y comerciales.

Prácticamente todas las operaciones que realicemos, a lo largo del día, en cada momento, dejarán una huella digital, seamos o no conscientes de ello. Desde el agua que consumimos en la ducha hasta la luz de la mesilla que apagamos al acostarnos, toda nuestra actividad quedará, potencialmente, registrada, en algunos casos, como el del nuevo barrio de Kalatasama de Helsinki, por el propio diseño original de las viviendas. Esto tiene unas ventajas enormes para la vida diaria, aunque plantea desafíos no menos importantes.

La presidenta y CEO de IBM, Ginni Rometty, señaló ya en 2015 que "la delincuencia cibernética es la mayor amenaza para todas las empresas del mundo". El inversor Warren Buffet va un poco más allá, al decir que los ataques cibernéticos son el problema número uno con la humanidad, incluso mayor que las armas nucleares.

En otros casos, este tipo de crimen adopta una forma más incómoda, como es el DDoS o ataque de denegación de servicio. Este puede dañar la imagen de la víctima y representar una amenaza para cualquier organización con un sistema de información conectado a Internet. Persigue que el sitio web no esté disponible, y no pueda, por tanto, ofrecer el servicio esperado. Una de las características más dañinas de este tipo de ataque es que, con un coste relativamente pequeño, puede provocar un enorme daño, debido a la posibilidad de alargar el ataque en el tiempo. Por ejemplo, los tres ataques más largos de 2017 tuvieron una duración de 277 horas (más de 11 días), 215 horas (casi 9 días) y 146 horas (algo más de 6 días). Durante ese tiempo, los servidores del atacado dejan de estar operativos, provocando una suma de costes directos e indirectos realmente importantes.

La presidenta y CEO de IBM señaló ya en 2015 que "la delincuencia cibernética es la mayor amenaza para todas las empresas del mundo"

Los costes del cibercrimen podrían alcanzar los 6 billones de dólares anuales en 2021, frente a los 3 billones de solo cinco años antes. Esto representaría la mayor transferencia de riqueza económica en la historia, con enormes riesgos de incentivos para la innovación y la inversión, y sería, sin duda, más rentable que el comercio mundial de todas las principales drogas ilícitas combinadas. Los gastos de ciberseguridad podrían aumentar en un billón de dólares entre 2017 y 2021. La creciente ola de delitos cibernéticos está impulsando la seguridad de la información a inversiones de más de 86.400 millones de dólares en 2017, según un informe de Gartner que no incluye las inversiones en seguridad relativas a la Internet de las cosas ni al automóvil, entre otras.

En el año 2010, Irán adquirió a Siemens una serie de controladores de válvulas para sus centrifugadoras de uranio. Posiblemente a través de una memoria USB, alguien introdujo un virus como un archivo de configuración para el software de la empresa alemana. Si bien Stuxnet, que así se llamaba el patógeno, pudo haber destruido completamente el complejo nuclear de Natanz, el objetivo de los cibercriminales era otro, bien distinto: retrasar al máximo el programa nuclear iraní. En su segunda versión, en cambio, Stuxnet utilizó vulnerabilidades de Windows no detectadas previamente (técnicamente, denominadas 0-day) para infectar unidades USB y saltar así de un ordenador a otro. Aproximadamente una vez al mes, el virus se activaba y reducía la velocidad de los rotores desde las 63.000 revoluciones por minuto hasta las 120 para luego volver a su velocidad de trabajo.

TE PUEDE INTERESAR

Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas

M. A. Méndez Guillermo Cid

En ese esfuerzo, los rotores pasaban por diversas velocidades críticas que provocaban vibraciones, reduciendo su vida útil. Finalmente, el sistema mecánico sufrió tanto con las modificaciones de velocidad y de temperatura que alrededor de 1.000 máquinas de Natanz se desintegraron. La capacidad de Stuxnet era tan letal que logró anular los interruptores de apagado de emergencia de las centrifugadoras afectadas, que fueron alrededor de un 20% del total. El golpe sigue sin tener un padre claro, aunque parece que la colaboración de la NSA norteamericana con el Mossad israelí pudo estar detrás de la operación.

En 2022, alrededor de 6.000 millones de personas podrían estar en el radio de alguna ciber amenaza, lo que supondría aproximadamente tres de cada cuatro personas en el mundo. Las empresas de ciberseguridad prevén que habrá más de 7.500 millones de usuarios de Internet en 2030, representando esa cifra el 90 por ciento de la población mundial de mayores de 6 años. Diversos autores señalan que, virtualmente, todo el mundo está expuesto al ciber riesgo en alguna medida.

En este artículo señalaba que la guerra comercial entre EEUU y China era la excusa perfecta para ocultar la lucha que se está dando entre el mundo libre y el Matrix chino. Hoy sabemos que el Ministerio de Defensa español ha recomendado (sic) a todos sus empleados no acceder a la red interna del ministerio desde ningún terminal de Huawei, que es, nada menos, el primer proveedor mundial de servicios de telecomunicaciones y segundo fabricante de móviles. Quizá deberíamos empezar a tomarnos las cosas en serio.